Un grupo de investigadores de seguridad ha encontrado un nuevo método para eludir las avanzadas medidas de seguridad de Apple Inc., utilizando un proceso asistido por IA para descubrir dos errores distintos en el sistema operativo macOS. El descubrimiento de la firma de seguridad Calif, con la ayuda de una versión temprana de la IA Mythos de Anthropic, marca un avance significativo en una nueva carrera armamentística entre la ofensiva y la defensa impulsadas por IA en la ciberseguridad.
'La técnica es notable porque Apple ha puesto mucho esfuerzo en blindar macOS', dijo Michał Zalewski, un antiguo investigador de seguridad de Google que revisó la investigación de Calif. Apple, que utiliza sus propios modelos de IA para buscar vulnerabilidades, está revisando el informe de 55 páginas. 'La seguridad es nuestra máxima prioridad, y nos tomamos muy en serio los informes sobre posibles vulnerabilidades', dijo una portavoz de la empresa.
Los investigadores de la firma con sede en Palo Alto dicen que su software vincula los dos errores para corromper la memoria del Mac, permitiendo el acceso a partes del dispositivo que deberían ser inaccesibles. Este exploit de 'escalada de privilegios', si se combina con otros ataques, podría permitir a un hacker hacerse con el control del ordenador. El equipo construyó el código para explotar las vulnerabilidades en solo cinco días.
El hallazgo refuerza la creciente preocupación entre los expertos en ciberseguridad por un 'Bugmageddon', una inundación potencial de vulnerabilidades de software recién descubiertas por modelos de IA avanzados de firmas como Anthropic y OpenAI. Esto podría desbordar a los departamentos de tecnología de las empresas responsables de parchearlas y crear un nivel de riesgo de ciberseguridad sin precedentes, lo que supuestamente ha llevado a la Casa Blanca a reconsiderar su enfoque sobre el desarrollo y la supervisión de la IA.
Colaboración entre humanos e IA
El ataque no fue obra únicamente de la IA. Thai Duong, director ejecutivo de Calif, aclaró que el exploit requirió la experiencia de sus hackers humanos. Señaló que, si bien Mythos es excelente replicando ataques que han sido documentados anteriormente, 'no hemos visto casos en los que proponga nuevas técnicas de ataque'. Este exploit exitoso fue una mezcla de ingenio humano y análisis impulsado por IA.
Las vulnerabilidades eludieron la aplicación de la integridad de la memoria (MIE) de Apple, una tecnología que la empresa introdujo el pasado septiembre como la 'culminación de un esfuerzo de diseño e ingeniería sin precedentes, que abarcó un lustro'. Los investigadores de Calif estaban tan seguros de sus hallazgos que condujeron hasta la sede de Apple en Cupertino para presentar el informe en persona.
Implicaciones para toda la industria
El uso de la IA para encontrar un exploit de tan alto nivel en un objetivo endurecido como macOS tiene implicaciones significativas para toda la industria del software. Sugiere que el coste y el tiempo necesarios para encontrar vulnerabilidades críticas podrían disminuir drásticamente, obligando a las empresas a invertir más fuertemente en pruebas de seguridad automatizadas y medidas defensivas basadas en IA.
Para Apple, la noticia es un desafío directo a su reputación de seguridad. Las acciones de la compañía, que cotizan a aproximadamente 30 veces los beneficios proyectados, mostraron poca reacción inmediata, pero un exploit exitoso contra su sistema operativo insignia podría afectar a la confianza del consumidor. Calif planea publicar todos los detalles del ataque una vez que Apple haya parcheado los problemas, algo que Duong espera que ocurra pronto.
Este artículo es solo para fines informativos y no constituye asesoramiento de inversión.
