La IA Puede Encontrar Vulnerabilidades Críticas en las Criptomonedas: Expertos Advierten que la Industria No Está Lista

Un investigador de seguridad que utilizó Claude Opus 4.8 de Anthropic descubrió una falla crítica en el pool de privacidad Orchard de Zcash en cuestión de días, exponiendo una vulnerabilidad que había sobrevivido cuatro años de revisión por parte de los principales criptógrafos de conocimiento cero.

La divulgación hizo que ZEC se desplomara aproximadamente un 38% el jueves y generó una preocupación más amplia en la industria cripto sobre si los modelos de IA de frontera están volviéndose cada vez más eficaces para detectar vulnerabilidades que la mayoría de los humanos.

"Lo significativo no es realmente que la IA pueda encontrar bugs", dijo Ben Goertzel, fundador y CEO de SingularityNET, a Decrypt. "Es que el tipo de bug que ahora puede encontrar ha cambiado."

En lugar de simplemente señalar errores de codificación obvios, los modelos de frontera son cada vez más capaces de razonar sobre si el software se comporta de la manera en que sus diseñadores lo concibieron, señaló.

En mayo, Taylor Hornby, un investigador de seguridad contratado por Shielded Labs, descubrió una falla crítica en el circuito Orchard de Zcash con la asistencia de Claude Opus 4.8 de Anthropic. Oculto en dos líneas de código, el bug surgió de una verificación que parecía validar las entradas de transacciones pero que en realidad no aplicaba las reglas previstas, lo que potencialmente permitía a un atacante crear ZEC falsificado dentro del pool protegido sin ser detectado. Hornby desarrolló un exploit funcional para verificar la vulnerabilidad antes de reportarla a los desarrolladores. El 1 de junio se implementó una solución de emergencia.

Al pánico que afectó a Zcash y al mercado cripto en general el jueves y viernes se sumó el hecho de que la falla había permanecido sin ser descubierta durante más de cuatro años.

Para Goertzel, el descubrimiento es significativo no solo porque la IA encontró una vulnerabilidad, sino también porque apunta a un nuevo modelo para la investigación de seguridad.

"Creo que es un indicador temprano de un cambio que será difícil de exagerar", afirmó. "El modelo de investigación de seguridad como un puñado de especialistas humanos venerados que realizan auditorías lentas, artesanales y de profunda expertise no desaparece, pero deja de ser el único juego en la cancha."

Goertzel señaló que la falla de Orchard pertenece a una clase de bugs de lógica sutil que los modelos de IA de frontera son cada vez más capaces de detectar, como errores en contratos inteligentes, fallas en el control de acceso y situaciones en las que el software se comporta de manera diferente a lo que sus diseñadores pretendían. A medida que estas capacidades mejoran, agregó que la investigación de seguridad está evolucionando hacia un modelo en el que los especialistas humanos supervisan una revisión continua impulsada por IA que puede analizar bases de código de forma mucho más exhaustiva que las auditorías tradicionales.

La respuesta de Zcash en sí misma podría ofrecer un anticipo de ese futuro, según argumentó Goertzel.

"Que Shielded Labs contrate a un investigador específicamente para buscar fallas a nivel de protocolo con un modelo de frontera antes de que un actor malicioso pudiera hacerlo es, sospecho, la plantilla, no la excepción", dijo Goertzel. "La revisión proactiva, aumentada por IA y de diseño adversarial se convierte en el estándar mínimo, y los protocolos que no lo adopten serán cada vez más los que se enteren de sus vulnerabilidades por parte del atacante y no de un aliado."

Según Sean Ren, CEO de Sahara AI y profesor de ciencias de la computación en la Universidad del Sur de California, los avances en IA también están redefiniendo el equilibrio entre atacantes y defensores, ya que los modelos de frontera pueden probar estrategias de ataque rápidamente, aprender de los resultados e identificar debilidades.

"Para construir una mejor defensa, tenemos que utilizar estos modelos de IA de frontera como potenciales atacantes para someter a prueba de estrés estos sistemas", dijo Ren a Decrypt.

Ren señaló que las redes blockchain están especialmente expuestas porque su código de código abierto puede ser analizado directamente por modelos de IA de frontera, los cuales pueden probar estrategias de ataque rápidamente e identificar vulnerabilidades con mayor velocidad que las revisiones de seguridad tradicionales.

"Si piensas en laboratorios de modelos de frontera como OpenAI, Anthropic y Google DeepMind, tienen acceso anticipado a los modelos sin publicar más potentes y pueden realizar muchos experimentos en sistemas de redes públicas como las blockchains, por lo que tienen el poder en sus manos", afirmó. "Si alguien con intenciones maliciosas tuviera acceso a esas capacidades, podría llevar a cabo ataques y crear vulnerabilidades."

Esa ventana podría cerrarse más rápido de lo que muchos esperan, y según Danny Jenkins, CEO y cofundador de la firma de ciberseguridad ThreatLocker, el descubrimiento de vulnerabilidades asistido por IA está avanzando más rápido de lo que muchas organizaciones pueden proteger el software en el que ya dependen.

"Tenemos esta enorme brecha que tomará años y años superar", dijo Jenkins a Decrypt. "Todo este software tendrá todas estas vulnerabilidades, no contaremos con soluciones ni actualizaciones durante mucho tiempo, y la gente podrá encontrar esas vulnerabilidades muy rápidamente."

Jenkins señaló que la IA no está cambiando fundamentalmente la investigación de vulnerabilidades, sino que la está acelerando drásticamente. Tareas que antes requerían que los investigadores de seguridad revisaran código e hicieran ingeniería inversa del software manualmente ahora pueden realizarse en segundos con los modelos actuales.

"Antes de la IA, las amenazas y exploits de ciberseguridad aumentaban cada año", dijo. "Después de la IA, se ha vuelto aún más rápido, y creo que ha sido más rápido por dos razones. Una es que ahora puedes usar IA para encontrar vulnerabilidades y exploits, y el número de personas que tiene la capacidad de hacer esto ha crecido enormemente. Ya no tienes que ser un script kiddie."

A pesar de estos riesgos, Goertzel argumentó que el ecosistema cripto podría estar mejor posicionado que otras industrias para adaptarse, ya que su código es abierto y sus comunidades están muy orientadas a la seguridad.

"El cripto está más cerca de la puerta, pero también es la parte de la sala que puede ver cómo se acerca", dijo.