Blog

La IA acaba de cruzar el umbral del atacante experto

En abril de 2026, un modelo de IA completó por primera vez de extremo a extremo un ataque a una red empresarial de 32 pasos. Varios informes independientes convergen ahora en una misma conclusión: el punto de inflexión ha llegado.

Durante dos años, cada evaluación de ciberseguridad con IA terminaba con la misma reserva: «pero ningún modelo puede completar un ataque completo de forma autónoma… aún». Esa reserva acaba de caducar.
El umbral de la era de la IA: el Internet visible es descubierto, seleccionado y explotado por agentes autónomos de IA, mientras que el Internet invisible protegido por NHP no puede descubrirse y, por tanto, no es atacable
El umbral de la era de la IA: la visibilidad es ahora la superficie de ataque. La infraestructura que puede descubrirse puede ser seleccionada y explotada; la que no puede descubrirse no es atacable.
🎯 22 de 32

El 13 de abril de 2026, el AI Safety Institute (AISI) del Reino Unido publicó su evaluación de Claude Mythos Preview —anunciado apenas unos días antes, el 7 de abril— sobre un ataque empresarial simulado de 32 pasos llamado «The Last Ones» (TLO), un escenario que a los expertos humanos les lleva unas veinte horas ejecutar.

El modelo completó 22 de los 32 pasos de media y terminó el ataque entero de extremo a extremo en 3 de cada 10 intentos. Es el primer modelo del que se tiene constancia que lo logra.

La generación anterior (Opus 4.6) promediaba apenas 16 pasos y nunca lo había completado.

No hubo ningún humano implicado. La IA ejecutó reconocimiento, acceso inicial, movimiento lateral, escalada de privilegios y exfiltración como una cadena autónoma continua.
📊 Los números que cambiaron el 13 de abril de 2026

Cuatro cifras del estudio de AISI merecen una reflexión detenida:

73 % Tasa de éxito en retos CTF de nivel experto
22 / 32 Pasos completados en el ataque empresarial TLO
3 / 10 Ejecuciones completas de extremo a extremo: una primicia
+59 % Ganancia al escalar la computación de 10 M → 100 M tokens

La cifra del 73 % importa porque ningún modelo anterior a abril de 2025 podía completar CTF de nivel experto en absoluto. En menos de un año, pasó de «capacidad nula» a «nota de aprobado».

La última cifra es la más alarmante. El rendimiento escala log-linealmente con la computación de inferencia, y AISI no observó ninguna meseta. Más dinero, más tiempo, más tokens → más capacidad. No hay ningún techo arquitectónico a la vista.

🔁 No es un único dato, sino una convergencia

El informe Mythos no es un caso aislado. Varios organismos independientes llegaron a la misma conclusión en el mismo trimestre:

FuenteHallazgo
International AI Safety Report 2026«Los sistemas de IA actuales ya pueden realizar de forma autónoma algunas tareas propias de los ciberataques.» Documenta un incidente real.
NCSC del Reino UnidoLa capacidad ofensiva de la IA de frontera se duplica cada 4 meses.
Malwarebytes 2026 Predictions«Cadenas de ransomware totalmente autónomas» que permiten a pequeños grupos atacar muchos objetivos a la vez.
PentestGPT v2 (académico)76,9 % de finalización en HackTheBox Season 8: entre los 100 mejores de 8036 participantes activos a nivel mundial.
Encuesta de Hadrian70 herramientas de pentesting con IA de código abierto catalogadas en marzo de 2026; 65 de ellas se lanzaron en 18 meses.

Cinco perspectivas distintas —gubernamentales, académicas, comerciales, de inteligencia de amenazas— y todas apuntan en la misma dirección.

📈 Lo que realmente significa «duplicarse cada 4 meses»

Es fácil pasar por alto la evaluación del NCSC. No debería serlo. Crecer a ese ritmo produce cifras que los defensores deben tomarse en serio:

T+0 referencia T+4 mes 2× T+8 mes 4× T+12 mes 8× T+16 mes 16× T+24 mes 64×

Una vulnerabilidad que hoy le lleva a un agente de IA 8 horas explotar tardará 7,5 minutos dentro de dos años si se mantiene esta tendencia. Mientras tanto, los ciclos de parcheo empresariales aún se miden en semanas y los plazos entre la divulgación de una vulnerabilidad y su explotación ya se reducen más allá del punto de respuesta humana.

Las matemáticas del defensor no cuadran. No se puede parchear más rápido que una curva de capacidad que se duplica cada trimestre.
🏰 Por qué las defensas tradicionales pierden esta carrera

Las pilas de seguridad modernas —TLS, WAF, cortafuegos, EDR, SIEM— se construyeron sobre un supuesto fundamental: los servicios son visibles y la defensa comienza en el handshake. Se expone un puerto. Se publica un registro DNS. Se termina TLS. Y después se autentica.

Cada capa de esa pila asume que los tres primeros hechos son públicos. Para un atacante humano que opera a velocidad humana, era tolerable: el reconocimiento costaba algo y el fingerprinting requería esfuerzo.

Para un agente de IA que funciona 24/7 al coste marginal del token, esa visibilidad es la superficie de ataque. Cada puerto abierto es información gratuita. Cada registro DNS es un mapa. Cada certificado TLS filtra metadatos. La IA no necesita vencer la cerradura: estudia el plano, el horario de ocupación, la cadena de suministro y el historial de parches del proveedor, todo en paralelo, y elige el momento en que usted está más débil.

La primera pregunta que se hace un atacante autónomo es «¿qué hay ahí fuera?». Si responde a esa pregunta —aunque sea parcialmente—, ya ha perdido la ventaja temporal.
🚫 Zero Trust es necesario, pero insuficiente

Zero Trust rechazó con acierto la idea de la confianza interna implícita. La autenticación centrada en la identidad, la verificación continua y el privilegio mínimo son mejoras reales, y OpenNHP no las sustituye.

Pero la mayoría de los despliegues Zero Trust siguen abriendo la puerta antes de comprobar quién llama. El servicio es accesible. El puerto responde. El handshake TLS se completa. La autenticación sucede después del contacto.

Ese orden era adecuado en la era de amenazas a velocidad humana. En la era de la IA autónoma, significa que los atacantes pueden sondear, hacer fingerprinting, enumerar y realizar fuzzing antes de que se compruebe una sola credencial. Lo que a su vez les permite encontrar el único fallo que evita por completo la comprobación de credenciales: exactamente la clase de vulnerabilidad que el trabajo de Claude Code Security ha demostrado que la IA puede encontrar en masa.

Zero Trust reduce la confianza implícita. No elimina la exposición.
🌲 Doctrina del bosque oscuro: no dejarse ver

Escribimos sobre esta tesis en «Internet se está convirtiendo en un bosque oscuro». Los datos de AISI convierten esa tesis, de una metáfora literaria, en un requisito operativo.

En un bosque oscuro, cada sonido revela la ubicación y cada luz atrae a los cazadores. En el Internet de la era de la IA, cada puerto expuesto revela un objetivo y cada registro DNS publicado atrae reconocimiento automatizado.

Bosque oscuroInternet de la era de la IA
LuzPuerto abierto
SonidoDirección IP
SeñalRegistro DNS
CazadorAgente de IA autónomo

La tesis completa está en la página Visión. En una frase:

Visibilidad equivale a vulnerabilidad. La única defensa escalable es no estar ahí.
🔐 Cómo cambia OpenNHP el cálculo del ataque

OpenNHP, el Network-infrastructure Hiding Protocol, implementa la defensa del bosque oscuro en la capa de sesión:

  • Knock criptográfico antes del handshake TCP. Una solicitud no autenticada no obtiene un SYN-ACK. Ni siquiera un ICMP inalcanzable. El servicio no está «filtrado»: es indistinguible de la nada.
  • NXDOMAIN para DNS no autorizado. Los clientes sin una prueba de identidad válida reciben la misma respuesta que recibirían para un dominio inexistente. Sin huella, sin metadatos, sin superficie de ataque.
  • Denegación por defecto en cada capa. Dominios, IP y puertos permanecen ocultos hasta que se demuestra la identidad con criptografía moderna (Noise Protocol, Curve25519, ChaCha20-Poly1305).
  • Sin estado y escalable. Construido en Go con memoria segura, con pruebas de 10 000 solicitudes de autenticación/s y latencia inferior a 100ms, de modo que la ocultación no penaliza el rendimiento.

Cuando un agente de IA autónomo escanea un entorno protegido por OpenNHP, su reconocimiento no devuelve nada desde lo que pivotar. La cadena de ataque TLO de 32 pasos se rompe en el primero, porque el primer paso requiere encontrar algo que atacar. No hay nada que encontrar.

Lea los detalles del protocolo en la página Especificación. El borrador se está estandarizando en el IETF y se referencia en la guía de la Cloud Security Alliance sobre Zero Trust en la capa de sesión.

⚡ Del protocolo al producto: Qurl de LayerV

OpenNHP es el protocolo de código abierto. Desplegar un protocolo sigue implicando ejecutar servidores, gestionar claves e integrar clientes. Para equipos que necesitan la defensa del bosque oscuro sin ese esfuerzo operativo, Qurl de LayerV es el producto construido directamente sobre OpenNHP, listo para usar.

El lema de Qurl capta la tesis con exactitud:

«No puedes vulnerar lo que no puedes ver.»

Con una sola llamada a la API, Qurl emite enlaces de acceso autodestructivos y con tiempo limitado a sus servidores, API e interfaces de administración. Hasta que se presente uno de esos enlaces, la infraestructura subyacente es invisible para escáneres, rastreadores y agentes de IA. El paso de reconocimiento de la cadena de ataque TLO no devuelve nada porque no hay nada que devolver.

  • Defensa NHP lista para usar: sin necesidad de integrar el protocolo
  • Acceso efímero: cada enlace tiene una vida útil y se revoca automáticamente
  • API primero: incorpórelo a un flujo de CI/CD, soporte o administración con una sola llamada
  • OpenNHP bajo el capó: la misma base criptográfica estandarizable y las mismas garantías de ocultación
OpenNHP es la tecnología de código abierto. Qurl es cómo la pone en producción el lunes.
🧭 La ventana se está cerrando

Si se mantiene la tendencia de duplicación que observó el NCSC, la distancia entre «la IA está preocupantemente capacitada para esto» y «la IA hace esto de forma autónoma, a escala, de forma barata, 24/7» se mide en un puñado de trimestres.

De ello se derivan tres cosas:

  1. La visibilidad ya no es un valor predeterminado neutro. Cada superficie expuesta es un subsidio a los atacantes automatizados.
  2. La detección y respuesta por sí solas no escalarán. No puede dotar a un SOC para igualar a un agente de ataque que cuesta 0,50 dólares/hora.
  3. La ocultación de red pasa a ser una base arquitectónica. No un control de nicho, no una función premium, sino un valor predeterminado.
La pregunta ya no es «¿cómo detectamos los ataques más rápido?», sino «¿cómo hacemos que los ataques sean computacionalmente irrelevantes?»

OpenNHP es una respuesta. Es de código abierto, estandarizable y desplegable hoy mismo. Las matemáticas del defensor solo cuadran si cambiamos las variables, y la única variable que controlamos es cuánto de nosotros mismos revelamos.

Los atacantes autónomos de IA no pueden explotar lo que no pueden encontrar.
OpenNHP oculta su infraestructura por defecto.

Leer la visión completa →
NHP
El equipo de OpenNHP
16 de abril de 2026 Amenazas de IA Zero Trust Seguridad
← Volver a OpenNHP.org