Fale conosco

Antropía y cURL: la IA ejerce presión sobre los equipos de seguridad

Noticias de IA
17/04/2026 11 minutos de leituraPor Rafael

Para compartir:

Índice

Anthropic y el nuevo desafío para los equipos de ciberseguridad ante las amenazas generadas por IAcURL está en todas partes, y eso importa muchoIA como herramienta de búsqueda de fallos: ¿oportunidad o sobrecarga?La diferencia entre cantidad y calidad en los reportesEl impacto real en los equipos de seguridad alrededor del mundoLa cuestión de la responsabilidad en el ecosistemaQué puede cambiar de aquí en adelanteIniciativas que pueden ayudar en la prácticaUn equilibrio que todavía necesita encontrarse

Anthropic y el nuevo desafío para los equipos de ciberseguridad ante las amenazas generadas por IA

Anthropic y otras empresas de inteligencia artificial están, sin querer, creando un nuevo tipo de presión sobre los equipos de ciberseguridad en todo el mundo. Y esta historia comienza con un nombre que tal vez no conozcas, pero que está detrás de casi todo lo que ocurre en internet: Daniel Stenberg, el creador y principal mantenedor de cURL.

En 2025, Stenberg recibió nada menos que 181 notificaciones de bugs y vulnerabilidades en el código que él y otros seis voluntarios mantienen. Para darse una idea de lo que eso significa, ese número es prácticamente equivalente al acumulado en los dos años anteriores combinados. Es decir, en apenas 12 meses, el volumen de alertas prácticamente igualó el período de 2023 y 2024 juntos.

Sentado en su oficina en Suecia, Stenberg resumió la situación de forma bastante directa: el año pasado fue bastante intenso en algunos períodos.

Pero ¿qué explica este salto tan abrupto?

La respuesta tiene todo que ver con el avance acelerado de las herramientas de inteligencia artificial, que se están utilizando cada vez más para rastrear fallos en proyectos de código abierto. Muchas veces, estas herramientas generan un volumen de alertas que equipos pequeños simplemente no logran absorber al mismo ritmo. El resultado es un escenario nuevo y preocupante para toda la cadena de ciberseguridad global.

cURL está en todas partes, y eso importa mucho

Para entender la magnitud del problema, primero vale saber qué es cURL y por qué es tan relevante. Se trata de una herramienta de código abierto y una biblioteca utilizada para transferir datos por internet mediante URLs. Está presente en prácticamente todo servidor, dispositivo conectado y sistema operativo que existe hoy. Se estima que cURL corre en más de 20 mil millones de instalaciones alrededor del mundo, desde routers domésticos hasta supercomputadoras industriales. Es el tipo de software invisible que mantiene internet funcionando sin que la mayoría de las personas lo note.

El problema es justamente ese: cuando una herramienta está presente en tantas cosas al mismo tiempo, cualquier vulnerabilidad descubierta en ella puede tener un efecto cascada inmenso. Una brecha en cURL no es un problema aislado de una aplicación específica. Puede afectar simultáneamente sistemas de salud, bancos, infraestructuras gubernamentales y servicios de comunicación a escala global. Por eso investigadores de seguridad, hackers éticos y, ahora, agentes de inteligencia artificial prestan tanta atención a este código.

Reciba el mejor contenido sobre innovación en su correo electrónico.

Todas las noticias, consejos, tendencias y recursos que buscas, directamente en tu bandeja de entrada.

Al suscribirte al boletín informativo, aceptas recibir comunicaciones de Método Viral. Nos comprometemos a proteger y respetar siempre tu privacidad.

El equipo que se encarga de todo esto está compuesto por apenas siete personas, la mayoría voluntarias. Daniel Stenberg es la cara más conocida del proyecto, pero el peso del trabajo recae sobre un grupo pequeño que necesita analizar cada reporte recibido, verificar si la vulnerabilidad es real, evaluar el impacto, crear un parche y comunicar el problema de forma responsable antes de que alguien malintencionado explote la falla. Es un proceso cuidadoso, técnico y extremadamente desgastante, sobre todo cuando el volumen de notificaciones empieza a crecer de forma exponencial.

IA como herramienta de búsqueda de fallos: ¿oportunidad o sobrecarga?

Lo que cambió en los últimos meses fue la llegada masiva de herramientas de inteligencia artificial aplicadas directamente al análisis de código abierto en busca de fallos de ciberseguridad. Empresas como Anthropic, con su modelo Claude, y otras del sector comenzaron a ofrecer agentes de IA capaces de escanear repositorios enteros, identificar patrones sospechosos y generar reportes automáticos de posibles vulnerabilidades. El objetivo, en teoría, es noble: cuanto más rápido se encuentren los fallos, más rápido pueden corregirse antes de causar daño real.

En la práctica, sin embargo, lo que ocurrió con cURL revela una cara menos glamurosa de este avance tecnológico. Muchos de los 181 reportes recibidos por Stenberg en 2025 llegaron de herramientas automatizadas o de investigadores que utilizaron IA como apoyo para el descubrimiento. El gran desafío es que la IA todavía comete muchos errores del tipo falso positivo. Esto significa que identifica algo como una potencial falla de seguridad cuando, en realidad, el comportamiento del código es completamente intencional y seguro.

Cada una de estas alertas, aunque sea equivocada, necesita ser investigada con seriedad por el equipo de mantenedores. Ignorar un reporte legítimo puede tener consecuencias graves para millones de usuarios en todo el mundo. Esta dinámica obliga a los mantenedores a gastar horas analizando falsas alarmas, tiempo que podría invertirse en mejoras reales del proyecto o en la corrección de fallos genuinos.

Esto crea una ecuación difícil de resolver. Por un lado, la IA está acelerando el descubrimiento de fallos reales, lo cual es genuinamente positivo para el ecosistema de ciberseguridad. Por otro, está inundando a equipos pequeños con un volumen de trabajo que simplemente no existía antes, sin necesariamente ofrecer los recursos humanos o financieros para lidiar con esta nueva demanda. El resultado es una presión creciente sobre personas que, muchas veces, trabajan de forma voluntaria y sin una remuneración proporcional al impacto que su trabajo tiene en el mundo.

La diferencia entre cantidad y calidad en los reportes

Un punto que merece destacarse en esta conversación es la diferencia abismal entre la cantidad de reportes generados por IA y la calidad real de esos hallazgos. Cuando un investigador humano experimentado identifica una vulnerabilidad, el reporte generalmente viene acompañado de contexto, una explicación sobre por qué ese comportamiento es problemático, escenarios de explotación y, en muchos casos, una sugerencia de corrección. Esto facilita enormemente el trabajo del mantenedor.

Los reportes generados por automatización con apoyo de IA muchas veces carecen de ese contexto. Señalan fragmentos de código que parecen sospechosos según patrones estadísticos, pero no explican de forma convincente por qué eso representa una amenaza real. Para el equipo de cURL, esto significa que cada reporte necesita ser abierto, leído, investigado, probado y, en muchos casos, descartado después de horas de análisis. Stenberg llegó a comentar públicamente que algunos de los reportes recibidos estaban tan mal formulados y tan claramente generados por automatización sin revisión humana que tomaban más tiempo para ser descartados que lo que los legítimos tardaban en resolverse.

El impacto real en los equipos de seguridad alrededor del mundo

El caso de cURL no es un caso aislado. Otros proyectos de código abierto ampliamente utilizados, como OpenSSL y decenas de bibliotecas críticas para internet, también reportaron un aumento significativo en el volumen de notificaciones de vulnerabilidades en los últimos meses. El patrón es siempre parecido: una herramienta de inteligencia artificial escanea el repositorio, genera una lista de posibles problemas y el investigador o empresa detrás del escaneo envía todo al equipo de mantenedores sin necesariamente filtrar lo relevante del ruido.

Para los profesionales de ciberseguridad que trabajan dentro de empresas, esto también representa un desafío concreto. Cuando una biblioteca como cURL tarda más en lanzar parches porque el equipo está sobrecargado con reportes, las empresas que dependen de ese software quedan en una posición delicada: ¿esperan la corrección oficial o intentan implementar soluciones propias? Este dilema es real y se está discutiendo activamente en foros de seguridad, conferencias como DEF CON y en grupos privados de respuesta a incidentes.

Anthropic y otras empresas del sector de IA han sido mencionadas en estas discusiones como agentes que, incluso con buenas intenciones, necesitan pensar mejor en cómo sus modelos interactúan con proyectos de infraestructura crítica. La preocupación no es con la existencia de estas herramientas en sí, sino con la forma en que están siendo utilizadas sin el debido cuidado en la etapa final, que es el filtrado y la validación de los resultados antes del envío.

La cuestión de la responsabilidad en el ecosistema

El debate va más allá de lo técnico y entra en territorio de responsabilidad. Si una empresa lanza un agente de IA que genera cientos de reportes automáticos de vulnerabilidades, ¿tiene alguna obligación de contribuir también con los recursos necesarios para que los mantenedores puedan procesar esos reportes? Esta pregunta todavía no tiene una respuesta clara en el sector, pero se está haciendo cada vez con más frecuencia.

Existe un paralelo interesante con lo que ocurrió en el pasado con los programas de bug bounty. Cuando grandes empresas comenzaron a pagar por descubrimientos de fallos en sus sistemas, el volumen de reportes creció dramáticamente, pero la calidad promedio cayó. Muchas plataformas de bug bounty tuvieron que implementar filtros rigurosos para evitar que reportes genéricos o duplicados atascaran las colas de revisión. Algo similar parece estar ocurriendo ahora con la IA, solo que a una escala aún mayor y afectando justamente a los proyectos que menos recursos tienen para lidiar con ello.

El volumen de alertas generadas por IA para proyectos de código abierto creció de forma significativa en 2025, creando una presión nueva y sin precedentes sobre equipos de seguridad pequeños y frecuentemente voluntarios.

Herramientas que usamos a diario

Traducción

Redes sociales

Reclutamiento

Programación

Productividad y Organización

Operación

Marketing y Ventas

Inspección de Texto y Clipping

Finanzas e inversión

Educación

Diseño y medios

Datos y analítica

Contenido y Escritura

Búsqueda e Investigación

Automatización

Qué puede cambiar de aquí en adelante

La buena noticia es que la conversación sobre este desequilibrio ya comenzó a darse en los lugares correctos. Algunas empresas de inteligencia artificial, incluyendo Anthropic, han invertido en programas de financiamiento y soporte a proyectos de código abierto que son críticos para la infraestructura de internet. La idea es que, si las herramientas de IA se benefician de estos proyectos y al mismo tiempo crean presión sobre ellos, tiene sentido que parte de los recursos generados por el sector vuelva para sostener a los mantenedores que mantienen todo funcionando.

Además, hay una discusión creciente sobre la necesidad de estándares mínimos de calidad para reportes de vulnerabilidades generados con apoyo de IA. Así como existe el proceso de divulgación responsable, que define cómo y cuándo una falla debe ser comunicada públicamente, especialistas en ciberseguridad argumentan que debería haber un protocolo específico para reportes generados por automatización, con filtros obligatorios de relevancia antes del envío. Esto reduciría el ruido y permitiría que equipos como el de cURL se enfocaran en lo que realmente importa.

Iniciativas que pueden ayudar en la práctica

Algunas ideas ya están siendo debatidas y probadas por la comunidad de seguridad:

  • Sistemas de triaje automatizado con revisión humana obligatoria antes del envío de reportes a mantenedores de código abierto
  • Clasificación de confianza en los reportes, indicando si el hallazgo fue realizado exclusivamente por IA, con asistencia de IA o por análisis humano
  • Fondos de apoyo financiero dirigidos específicamente a proyectos de código abierto que son objetivo frecuente de escaneos automatizados
  • Límites de envío para herramientas automatizadas que interactúan con sistemas de reporte de vulnerabilidades, evitando la sobrecarga de reportes en períodos cortos
  • Alianzas entre empresas de IA y mantenedores para desarrollar pipelines de validación antes de que los reportes lleguen a los equipos responsables

Estas medidas no resolverían el problema de la noche a la mañana, pero crearían un ecosistema más equilibrado donde la velocidad de la IA no atropelle la capacidad humana de respuesta.

Un equilibrio que todavía necesita encontrarse

Lo que el caso de Daniel Stenberg y cURL nos muestra, de forma bastante concreta, es que el avance de la inteligencia artificial en el campo de la ciberseguridad es un arma de doble filo. Puede encontrar fallos que a los humanos les tomaría años descubrir, y eso es genuinamente increíble. Pero también puede crear un tsunami de trabajo para quienes necesitan validar, corregir y comunicar esos fallos, sin que el ecosistema alrededor haya desarrollado aún los mecanismos necesarios para lidiar con este nuevo ritmo.

Equilibrar estos dos lados será uno de los grandes desafíos del sector en los próximos años. La tecnología avanza rápido, pero las estructuras humanas que sostienen internet, muchas de ellas mantenidas por voluntarios apasionados como Stenberg, necesitan un apoyo proporcional al impacto que sufren. Si el sector de inteligencia artificial quiere genuinamente contribuir a un mundo digital más seguro, tendrá que ir más allá de solo encontrar problemas y empezar a formar parte de las soluciones de manera más activa y responsable. 🔐

Imagen de Rafael

Rafael

Operaciones

Transformo los procesos internos en máquinas de entrega, garantizando que cada cliente de Viral Method reciba un servicio de primera calidad y resultados reales.

CONTÁ
CTANOS

Rellena el formulario y nuestro equipo se pondrá en contacto contigo en un plazo de 24 horas.

Publicaciones relacionadas

ver todo

Google AI: Anuncios de marzo en tecnología e inteligencia artificial.

Noticias de IA
Google IA en marzo: un resumen honesto de lo que fue (y lo que no fue) anunciado y por qué
ler mais

Inteligencia artificial y retorno de la inversión: cómo adoptar soluciones en la empresa sin caer en la exageración.

Negocios y Mercado de IA, Noticias de IA
IA centrada en resultados: cómo las empresas exigen ROI real, reducen costos, aumentan la productividad y mejoran la atención con
ler mais

Inteligencia Artificial de OpenAI: Modelos Multimodales, Automatización y Datos Unificados

Negocios y Mercado de IA, Noticias de IA
Actualización semanal sobre IA: noticias, agentes autónomos, modelos abiertos, plataformas e impacto en marketing y producto.
ler mais

Receba o melhor conteúdo de inovação em seu e-mail

Todas as notícias, dicas, tendências e recursos que você procura entregues na sua caixa de entrada.

Ao assinar a newsletter, você concorda em receber comunicações da Método Viral. A gente se compromete a sempre proteger e respeitar sua privacidade.

Rafael

Online

Atendimento

Calculadora de Precio de Sitios

Descubre cuánto cuesta el sitio ideal para tu negocio

Páginas del Sitio

¿Cuántas páginas necesitas?

Arrastra para seleccionar de 1 a 20 páginas

En solo 2 minutos, descubre automáticamente cuánto cuesta un sitio a medida para tu negocio

Más de 0+ empresas ya calcularon su presupuesto

Fale com um consultor

Preencha o formulário e nossa equipe entrará em contato.