Noticias de la industria

¿Por qué el gobierno utiliza su mayor riesgo de seguridad para corregir sus mayores brechas de seguridad?

La CISA está utilizando la IA Mythos de Anthropic para escanear el código gubernamental en busca de errores, a pesar de las recientes fricciones de la startup con la Casa Blanca y el Pentágono.
¿Por qué el gobierno utiliza su mayor riesgo de seguridad para corregir sus mayores brechas de seguridad?

Si bien la narrativa pública a menudo presenta a la inteligencia artificial como una simple herramienta para escribir correos electrónicos o generar imágenes, la realidad es mucho más industrial. La Agencia de Seguridad de Infraestructura y Ciberseguridad, conocida como CISA, utiliza actualmente un potente modelo de IA de Anthropic para escanear el software gubernamental en busca de errores. Este movimiento supone un cambio radical respecto a la reciente historia de tensiones entre la startup de San Francisco y los reguladores federales. Hace solo unos meses, el Pentágono calificó a Anthropic como un riesgo para la cadena de suministro, una medida que esencialmente equiparaba a la empresa con entidades extranjeras sospechosas de espionaje. Hoy, esa misma empresa es la columna vertebral invisible del esfuerzo para proteger el código federal de los espías extranjeros.

Mirando el panorama general, esta adopción demuestra que el gobierno valora la capacidad por encima de los desacuerdos políticos. La CISA está utilizando un modelo de IA específico llamado Mythos para auditar repositorios de código en varios departamentos. Estos repositorios son almacenes digitales donde el gobierno guarda el software que gestiona todo, desde el procesamiento de impuestos hasta la logística. Mythos actúa como un pasante incansable que lee millones de líneas de código en segundos, buscando los pequeños errores que un programador humano podría pasar por alto después de un largo turno. Estos errores son las ventanas abiertas que los ciberdelincuentes y las agencias de inteligencia extranjeras utilizan para acceder a datos estadounidenses sensibles.

Un pasante incansable para el repositorio de código federal

Bajo el capó, el proceso de auditoría de código es históricamente lento y costoso. Un investigador de seguridad humano solo puede revisar unos pocos cientos de líneas de código en una hora con alta precisión. El gobierno de EE. UU. gestiona miles de millones de líneas de código, gran parte de ellas escritas hace décadas en lenguajes que los programadores modernos rara vez utilizan. Esto crea un enorme retraso de vulnerabilidades potenciales. Mythos cambia la lógica de este proceso porque es una herramienta disruptiva diseñada específicamente para el análisis de ciberseguridad. No se limita a buscar errores tipográficos; comprende cómo interactúan las diferentes piezas de software para crear riesgos sistémicos.

Según personas familiarizadas con el asunto, el equipo de Evaluación de Superficie de Ataque de la CISA es el grupo que lidera esta iniciativa. Este equipo realiza evaluaciones de seguridad digital y ejercicios de hacking para encontrar debilidades antes que los atacantes reales. Al utilizar Mythos, el equipo ya ha descubierto una gran cantidad de vulnerabilidades. Si bien la naturaleza específica de estos errores no es pública, la velocidad del descubrimiento sugiere que la IA está rindiendo a un nivel que los equipos humanos no pueden igualar. Esta eficiencia es necesaria porque el volumen de código que el gobierno debe defender crece cada día.

La rocosa relación entre Anthropic y la Casa Blanca

Anthropic tiene una historia complicada con las autoridades a las que ahora asiste. La empresa se encuentra actualmente en proceso de una oferta pública inicial confidencial, pero su camino hacia el mercado de valores ha sido volátil. En febrero, la relación entre Anthropic y la Casa Blanca alcanzó un punto bajo. La empresa se negó a eliminar las salvaguardas internas que impedían que su IA se utilizara para armas autónomas o vigilancia nacional. Esta negativa llevó al Pentágono a imponer a la empresa una designación formal de riesgo para la cadena de suministro. Se trata de una etiqueta severa que suele aplicarse a empresas que el gobierno cree que están facilitando el espionaje extranjero.

Esta extraordinaria lista negra no duró mucho. Un juez bloqueó la orden en marzo y la tensión disminuyó tras el lanzamiento privado de Mythos. Curiosamente, incluso cuando la política oficial era de sospecha, la Agencia de Seguridad Nacional (NSA) ya estaba utilizando el modelo. Informes de finales de junio indican que los analistas de la NSA probaron Mythos en entornos clasificados y descubrieron que sus capacidades no tenían precedentes. La agencia es el principal brazo de escucha del gobierno, y su respaldo a Mythos sugiere que la herramienta es altamente eficaz tanto para encontrar como para explotar debilidades digitales.

El cierre global de Fable y su impacto

La situación se volvió más compleja cuando Anthropic lanzó una versión pública de Mythos llamada Fable. Esta versión incluía salvaguardas de ciberseguridad específicas destinadas al uso general. Sin embargo, la Casa Blanca intervino de nuevo exigiendo que Anthropic prohibiera el acceso al modelo a todos los usuarios extranjeros. Esta demanda provocó un cierre global total de Fable que duró hasta la semana pasada. La lógica del gobierno es que una herramienta capaz de corregir errores también es capaz de ayudar a un atacante a encontrarlos. Al restringir el acceso a los estadounidenses, la administración espera mantener este "petróleo crudo digital" dentro de sus propias fronteras.

Desde el punto de vista del consumidor, este tira y afloja resalta una paradoja central en la tecnología moderna. Queremos que la IA sea segura y restringida, pero también necesitamos que sea lo suficientemente potente como para defender nuestros sistemas más sensibles. El gobierno está tratando esencialmente de obtener ambas cosas al utilizar la versión privada y sin restricciones del modelo para su propia defensa, mientras restringe el acceso del público a la misma tecnología. Esto crea un sistema de niveles donde las herramientas de seguridad más robustas se reservan para el uso federal, dejando que el sector privado dependa de versiones más limitadas.

Qué significa esto para la seguridad de sus datos personales

Para el usuario promedio, el hecho de que la CISA esté utilizando Mythos es un beneficio neto para la privacidad. La mayoría de las personas no interactúan directamente con el código del gobierno, pero sus datos sí lo hacen. Su número de Seguro Social, su historial de impuestos y sus registros médicos se almacenan en los repositorios que Mythos está escaneando actualmente. Cuando la IA encuentra un error en un sistema del IRS o del Departamento de Asuntos de Veteranos, ese sistema se parchea antes de que un actor malintencionado pueda explotarlo. Esta es una aplicación práctica de la IA que tiene un impacto tangible en la seguridad de su información personal.

En términos prácticos, este cambio indica que la era de las auditorías de seguridad manuales está terminando. En los próximos años, es probable que más empresas del sector privado adopten herramientas como Mythos o Fable para proteger sus propias redes. Esto conducirá a una economía digital más resistente donde el software sea inherentemente más seguro desde el momento en que se escribe. Sin embargo, también significa que la barrera de entrada para los hackers aumentará. A medida que la defensa se automatiza, los atacantes también recurrirán a la IA para encontrar formas aún más sutiles de eludir las medidas de seguridad. El resultado es una carrera armamentista cíclica donde la velocidad de la IA determina al ganador.

Cambiando la perspectiva sobre la tecnología gubernamental

En última instancia, el uso de Mythos por parte de la CISA es una señal de que el gobierno está dispuesto a pasar por alto las fricciones corporativas para asegurar su infraestructura. El hecho de que una empresa pueda pasar de una lista negra a ser un socio de seguridad principal en pocos meses demuestra cuánto depende el gobierno de la innovación del sector privado. Para los usuarios, esto es un recordatorio de que la mecánica invisible de internet está gestionada cada vez más por algoritmos en lugar de humanos. Nos dirigimos hacia un modelo de seguridad descentralizado donde el trabajo más importante ocurre en segundo plano, lejos de la interfaz de usuario de nuestros dispositivos.

Al utilizar servicios gubernamentales o aplicaciones de banca digital, observe con qué poca frecuencia se producen interrupciones importantes del sistema en comparación con hace cinco años. Esta estabilidad suele ser el resultado de herramientas automatizadas como la que ahora utiliza la CISA. Mientras la batalla política sobre la seguridad de la IA continúa en Washington, la realidad técnica es que estas herramientas ya están trabajando intensamente. La conclusión es que su vida digital se está volviendo más segura porque el gobierno decidió que una IA que alguna vez estuvo prohibida era demasiado valiosa para ser ignorada. Este enfoque pragmático de la tecnología es un cambio fundamental en la forma en que el país defiende sus fronteras digitales.

Fuentes:

  • Evaluaciones internas de la Agencia de Seguridad de Infraestructura y Ciberseguridad
  • Presentaciones corporativas y declaraciones públicas de Anthropic
  • Informes de revisión técnica de la Agencia de Seguridad Nacional
  • Registros de designación de riesgo de la cadena de suministro del Departamento de Defensa
  • Fallos de tribunales federales con respecto a Anthropic vs. Departamento de Defensa
bg
bg
bg

Nos vemos en el otro lado.

Nuestra solución de correo electrónico cifrado y almacenamiento en la nube de extremo a extremo proporciona los medios más potentes para el intercambio seguro de datos, lo que garantiza la seguridad y la privacidad de sus datos.

/ Crear una cuenta gratuita