La IA convirtió la ciberseguridad en una guerra de guerrillas
Hace unos años, encontrar una vulnerabilidad grave en un proyecto open source importante le tomaba a un experto semanas de trabajo. Hoy, una máquina lo hace en minutos. Y no solo encuentra una: te devuelve varias en una sola pasada. Eso es lo que dice Varun Badhwar de Endor Labs, y no es exageración: de los miles de bugs validados en los últimos meses, menos del 5% tienen parche.
Este 25 de junio, un grupo de empresas lanzó Akrites, la iniciativa coordinada más grande de la historia para defender el software open source. Y no es cualquier grupo: están AWS, Google, Microsoft, Anthropic, OpenAI, IBM, NVIDIA, Cisco, JPMorganChase, Citi, Red Hat, CNCF, Rust Foundation, OpenSSF y varios más.
¿Qué cambió para que se juntaran?
La IA aceleró todo. Los atacantes ahora descubren vulnerabilidades a escala industrial, y el ciclo de parches no da abasto. Antes, cada empresa escaneaba las mismas librerÃas por su lado, mandaba reportes contradictorios y ahogaba a los maintainers con ruido. Con Akrites, la idea es tener un solo punto de coordinación confidencial.
La carta abierta deja claras tres cosas:
1. Parche primero, publicar después. Van a trabajar directamente con los maintainers, no por encima de ellos. Si un paquete crÃtico queda huérfano, se harán cargo ellos mismos.
2. Confidencialidad total. Como dicen en la carta: «una falla no publicada en un paquete ampliamente usado es, en efecto, un arma». No van a filtrar nada antes de tener el fix listo.
3. El éxito se mide en deploys, no en papers. No importa cuántas vulnerabilidades encuentren si después nadie actualiza. El foco es comprimir el tiempo entre el parche y la instalación real.
¿Por qué me importa esto?
Si eres de los que usan Linux, Kubernetes, Python, Rust o cualquier herramienta open source en tu pega, esto te afecta directo. El OpenStack Community ya sintió el cambio: este trimestre emitieron 20 avisos de seguridad, contra solo 2 en todo el 2025. La presión está subiendo y los maintainers no pueden solo con el peso.
Lo que me hace ruido es que esta vez no es otra fundación con buenas intenciones y poca plata. Están los bancos, los proveedores de cloud y hasta los mismos creadores de las IA que aceleraron el problema. Es como si los fabricantes de armas se juntaran a pagar los hospitales.
La pregunta que me queda es: ¿va a funcionar? La historia del open source está llena de iniciativas corporativas que empezaron con fuego y terminaron en nada. Pero si de verdad logran coordinar parches y que lleguen a los servidores de producción antes de que los atacantes actúen, esto podrÃa ser el punto de inflexión que necesitábamos.
Por ahora, al menos, es bueno ver que la industria reconoce que el open source no es gratis: es infraestructura crÃtica que hay que cuidar. Y si no lo hacemos entre todos, la IA nos va a pasar la apisonadora.
Fuente de inspiración: Akrites: Open Letter on Open Source Security
