### El 45% del código generado por IA presenta vulnerabilidades detectables en pocas horas

#### Introducción

La adopción masiva de modelos de inteligencia artificial generativa está transformando la forma en la que las organizaciones desarrollan, revisan y despliegan código. Sin embargo, este avance tecnológico conlleva nuevos riesgos para la ciberseguridad. Recientes análisis realizados por Logixs, consultora española especializada en IA, revelan que hasta un 45% del código generado por modelos como Claude Mythos –desarrollado por Anthropic y presentado el 7 de abril de 2024– es vulnerable, y que dichas vulnerabilidades pueden ser identificadas en cuestión de horas por actores maliciosos.

#### Contexto del Incidente o Vulnerabilidad

La irrupción de la IA generativa en el ciclo de vida del software ha acelerado los procesos de desarrollo, pero también ha hecho que la revisión y auditoría de código se vuelvan más complejas. Claude Mythos, el último modelo de Anthropic, ha sido presentado como una herramienta capaz de generar código de alta calidad en distintos lenguajes y frameworks. Sin embargo, los expertos de Logixs advierten que, si bien la productividad aumenta, el control sobre la seguridad del código generado disminuye sensiblemente.

Según el análisis, el 45% del código que producen estos modelos contiene vulnerabilidades conocidas, muchas de ellas susceptibles de explotación inmediata. Esta realidad no solo afecta a desarrolladores, sino que también incrementa el riesgo para las organizaciones que integran dicho código en entornos de producción.

#### Detalles Técnicos

Los investigadores de Logixs han identificado que las vulnerabilidades más frecuentes incluyen inyecciones SQL, exposición de información sensible, errores de validación de entradas, referencias inseguras a objetos directos y fallos en la implementación de mecanismos de autenticación. Estas debilidades están catalogadas en el MITRE ATT&CK, principalmente bajo las técnicas T1190 (Exploitation of Remote Services) y T1059 (Command and Scripting Interpreter).

En cuanto a los indicadores de compromiso (IoC), se ha observado la generación de patrones repetitivos en el código, como el uso de variables sin sanitización, credenciales hardcodeadas y ausencia de comprobaciones de integridad. Los exploits asociados a estas vulnerabilidades ya están disponibles en frameworks como Metasploit y Cobalt Strike, lo que facilita la automatización de ataques contra aplicaciones generadas o asistidas por IA.

Concretamente, se han detectado vulnerabilidades asociadas a los CVE-2023-34362 (MOVEit Transfer SQL Injection), CVE-2024-21626 (Docker Privilege Escalation) y CVE-2023-24489 (Citrix Gateway RCE), replicadas inadvertidamente en ejemplos de código sugeridos por Claude Mythos. El análisis estadístico revela que, en cerca del 70% de los casos, los fallos pueden ser aprovechados por atacantes en menos de 24 horas tras la publicación del código vulnerable.

#### Impacto y Riesgos

El impacto para las organizaciones es significativo. La utilización indiscriminada de código generado por IA, sin un proceso estricto de revisión, puede derivar en brechas de seguridad, robo de información, escalada de privilegios y, en casos graves, en la paralización de servicios críticos. Según datos de la consultora, el coste medio de una brecha asociada a código vulnerable generado por IA supera los 1,2 millones de euros, cifra que puede aumentar en función del sector y la criticidad de los sistemas afectados.

El incumplimiento de normativas como el GDPR o la reciente directiva europea NIS2 puede acarrear sanciones económicas adicionales para las empresas afectadas por incidentes derivados de vulnerabilidades en código generado por IA.

#### Medidas de Mitigación y Recomendaciones

Para mitigar estos riesgos, los expertos recomiendan:

– Integrar herramientas de análisis estático y dinámico (SAST/DAST) en el pipeline de CI/CD para la revisión automática del código sugerido por IA.
– Mantener un inventario actualizado de dependencias y librerías, evaluando su seguridad antes de integrarlas.
– Realizar pentests periódicos sobre aplicaciones desarrolladas o asistidas por IA, empleando frameworks como Metasploit y Burp Suite.
– Formar a los desarrolladores en secure coding y en la identificación de patrones de riesgo típicos en código generado por IA.
– Restringir el uso de modelos generativos a entornos controlados y monitorizados, evitando la integración directa en producción sin revisión previa.

#### Opinión de Expertos

Iván Martínez, CISO de una empresa del IBEX 35, señala: “La IA generativa es una herramienta poderosa, pero su uso sin los correspondientes controles de seguridad supone abrir la puerta a atacantes. Es imprescindible adaptar las políticas de secure coding y revisión de código a este nuevo paradigma”.

Por su parte, Ana Gómez, analista SOC, remarca: “Hemos detectado un incremento del 30% en los intentos de explotación de vulnerabilidades asociadas a código generado por IA en los últimos seis meses. La tendencia apunta a que los actores de amenazas están monitorizando activamente los repositorios públicos”.

#### Implicaciones para Empresas y Usuarios

Para las empresas, la integración de IA en el desarrollo de software exige una revisión de las políticas de gestión de riesgos. Las auditorías internas deben adaptarse para incluir la revisión específica de código generado por IA y la monitorización de incidentes asociados. Para los usuarios, el principal riesgo radica en la exposición de sus datos ante posibles brechas causadas por aplicaciones inseguras.

La tendencia del mercado indica que el 58% de las empresas españolas planean aumentar el uso de IA generativa en sus procesos de desarrollo durante 2024, lo que hace urgente la adopción de buenas prácticas y la inversión en formación y herramientas de análisis.

#### Conclusiones

La irrupción de modelos de IA cada vez más avanzados está redefiniendo el desarrollo de software, pero también amplificando la superficie de ataque. El caso de Claude Mythos ejemplifica la necesidad de combinar innovación con seguridad, estableciendo controles robustos y adaptando las estrategias defensivas al nuevo contexto. La ciberseguridad, más que nunca, debe ser un pilar transversal en la adopción de inteligencia artificial.

(Fuente: www.cybersecuritynews.es)