El lanzamiento de sistemas de inteligencia artificial diseñados para descubrir vulnerabilidades en código de forma autónoma podría transformar no solo la forma en que los desarrolladores blockchain encuentran fallos, sino también lo que la industria cripto considera una diligencia de seguridad razonable antes de desplegar código.
Durante años, la seguridad de los contratos inteligentes ha estado limitada por el presupuesto. Las auditorías exhaustivas suelen resultar costosas, lo que convierte a sistemas de IA como Mythos —brevemente publicado a principios de este mes antes de retirarse del mercado estadounidense— en una opción drásticamente más barata.
«Empuja el precio de una auditoría básica hacia cero», afirma Alexander Urbelis, director de seguridad de la información en ENS Labs. Trabajos que antes requerían semanas y gastos considerables podrían completarse en minutos, permitiendo a proyectos que antes no podían permitirse revisiones profesionales obtener evaluaciones de seguridad rápidas.
De la fuerza bruta al razonamiento automatizado
Tradicionalmente, los investigadores han dependido de herramientas automatizadas conocidas como fuzzers, que buscan fallos bombardeando programas con entradas y observando qué se rompe. Los sistemas de IA adoptan un enfoque diferente.
«Es un cambio de grado que probablemente causará un cambio de naturaleza», señala Urbelis. «Las máquinas han cazado bugs durante años. Pero ahora hablamos de un fuzzer con capacidad de razonar».
En lugar de limitarse a identificar errores técnicos, sistemas como Mythos pueden inferir qué se pretendía hacer con el código y compararlo con lo que realmente hace. En cripto, donde el código de los contratos inteligentes es público y los programas de recompensas por bugs pueden tener presupuestos elevados, esa capacidad podría ampliar significativamente la habilidad del sector para identificar vulnerabilidades antes del lanzamiento.
David Schwed, director de operaciones de la firma de seguridad blockchain SVRN y fundador del programa de ciberseguridad de la Universidad Yeshiva, describe el cambio como aún más significativo. «Estos modelos operan ahora como lo hace un atacante humano», explica. «Iteran, dan el siguiente paso basándose en lo que ven en tiempo real. Las herramientas antiguas eran solo flujos deterministas complicados».
Auditoría continua, no puntual
Pero Schwed considera que el mayor cambio puede no ser el descubrimiento de vulnerabilidades en sí, sino la aparición de la monitorización de seguridad continua. «El verdadero cambio es la auditoría continua con remedios sugeridos a una fracción del coste, en lugar de una revisión puntual que solo puedes permitirte una vez», afirma.
Si las revisiones de seguridad se vuelven baratas y continuas, los investigadores señalan que las expectativas del sector podrían cambiar en paralelo. Urbelis cree que la IA podría eventualmente remodelar el estándar de diligencia en torno al desarrollo de contratos inteligentes. Históricamente, los equipos podían señalar el coste y la complejidad de las auditorías como razón por la que ciertas revisiones no se realizaban. Ese argumento se vuelve más difícil cuando hay análisis de seguridad sofisticados disponibles bajo demanda.
«Un informe de IA limpio no se verá como una defensa», advierte. «Un demandante podría argumentar justo lo contrario: la herramienta existía, era barata, y deberías haberlo detectado».
La perspectiva plantea preguntas más amplias para el sector: si las revisiones de seguridad impulsadas por IA se vuelven ubicuas, ¿esperarán los inversores que se realicen antes de financiar proyectos? ¿Podría no ejecutar auditorías asistidas por IA verse finalmente como negligencia?
La IA no sustituye el criterio humano
A pesar de la promesa de la tecnología, ninguno de los investigadores consultados cree que la IA vaya a reemplazar a los auditores humanos. Mientras las máquinas destacan en identificar fallos de código, Urbelis señala que siguen siendo más débiles en detectar vulnerabilidades económicas y basadas en incentivos que han contribuido a algunas de las mayores pérdidas cripto.
«Los bugs que drenan tesorerías a menudo dependen de la intención y los incentivos adversariales», explica. «Esos todavía necesitan a un humano experimentado en la sala».
Schwed ofrece una advertencia similar. «‘Claude, audita mi contrato inteligente, no cometas errores’ no es un programa de seguridad», advierte. «Si la persona que ejecuta la herramienta no puede evaluar lo que devuelve, no has comprado seguridad, has comprado una falsa sensación de ella».
Muchos hacks no se deben a fallos de código
Ambos investigadores señalan que muchos de los incidentes más costosos de cripto no se originaron en vulnerabilidades de contratos inteligentes. Urbelis menciona el reciente compromiso de Drift, que describe como la culminación de una campaña de ingeniería social de meses que apuntó a colaboradores de confianza en lugar del código del protocolo.
«El contrato inteligente hizo exactamente lo que se le dijo», explica. «Lo que se comprometió y abusó fue la autoridad detrás de la instrucción».
Similarmente, Schwed cita incidentes como los de Ronin y Bybit, donde claves comprometidas y procesos de firma manipulados, en lugar de vulnerabilidades de software, jugaron papeles centrales. «Ningún escáner de código detiene a un firmante autorizado de aprobar una transacción que no puede verificar», señala.
Esa realidad sugiere que la IA no eliminará los desafíos de seguridad de cripto. Pero los investigadores argumentan que podría alterar fundamentalmente una parte de la ecuación: el coste de encontrar bugs y las expectativas en torno a su descubrimiento. Un panorama donde los modelos de IA más avanzados ya detectan bugs críticos se convertirá pronto en el nuevo estándar del sector.
Fuente: CoinDesk · Esta información ha sido elaborada por la redacción de Criptonews con apoyo de herramientas editoriales automatizadas.