hacking / abril 26, 2026 / 12 min de lectura / 👁 50 visitas

El fin del hacker artesano y la llegada de la cadena de montaje

Ayer me pilló la tarde dándole vueltas a una idea mientras me tomaba el tercer café del día en una de esas cafeterías del centro de Cartagena, cerca de la Muralla del Mar. Estaba pensando en cómo ha cambiado el cuento. Antes, si alguien quería entrar en un sistema ajeno, se imaginaba a un tipo solitario, con capucha, rodeado de pantallas verdes y tecleando a una velocidad absurda. Era un trabajo de artesanía, de paciencia, casi de orfebre digital. Pero la charla que ha tenido Jesús Cristóbal sobre Mythos me ha dejado una cosa clara: esa imagen romántica tiene los días contados. Estamos pasando de la forja manual a la fábrica de Ford, pero en versión digital y con intenciones bastante más oscuras.

La verdad es que hablar de «industrializar» el hacking suena a película de ciencia ficción de serie B, pero es una realidad que nos está explotando en la cara. Jesús Cristóbal, que de esto sabe un rato largo (y no porque lo diga su LinkedIn, sino porque lleva años en el barro de la ciberseguridad), plantea una duda razonable: ¿Puede una herramienta como Mythos convertir el ataque informático en un proceso automatizado, masivo y, sobre todo, barato? La respuesta corta es que sí. La larga es la que nos debería quitar el sueño a los que gestionamos sistemas o, simplemente, a cualquiera que tenga una cuenta bancaria y un smartphone en el bolsillo.

Y es que, para que nos entendamos, Mythos no es solo un programa más. Es el síntoma de que la Inteligencia Artificial ha dejado de ser esa cosa que nos ayuda a escribir correos corporativos aburridos para convertirse en el motor de una maquinaria de guerra digital. Ya no hace falta ser un genio de las vulnerabilidades; ahora basta con saber orquestar a la máquina para que ella encuentre el hueco por ti. Vaya, que el listón de entrada ha bajado tanto que hasta el vecino del quinto podría darnos un susto si se lo propone.

¿Qué narices es Mythos y por qué Jesús Cristóbal le sigue la pista?

Si nos ponemos técnicos, pero sin pasarnos, Mythos representa esa convergencia entre los modelos de lenguaje de gran tamaño (LLM) y las herramientas de ejecución de exploits. No es que la IA «piense» en cómo atacarte, es que es capaz de procesar trillones de líneas de código en busca de ese punto y coma mal puesto que un humano tardaría meses en encontrar. Jesús Cristóbal lo analiza con esa frialdad necesaria del que ha visto muchos servidores caer. Él sabe que el peligro no es la herramienta en sí, sino la escala.

Imagina que tienes un cerrajero muy hábil. Ese cerrajero puede abrir una puerta en diez minutos. Ahora imagina que tienes un millón de cerrajeros robóticos que no se cansan, no cobran horas extra y pueden probar todas las llaves del mundo simultáneamente en todas las puertas de España. Eso es la industrialización del hacking. Mythos, en este contexto, actúa como el capataz de esa fábrica. Organiza el caos, identifica los objetivos más débiles y lanza el ataque sin que le tiemble el pulso (básicamente porque no tiene).

Además, hay un detalle que a veces se nos escapa. En España, muchas de nuestras empresas, especialmente las pymes que levantan el país, todavía piensan que «a mí quién me va a atacar si no soy nadie». Error de bulto. A la IA de Mythos le da igual si eres una multinacional del IBEX 35 o una mercería en la calle Mayor de Cartagena. Eres una dirección IP, un puerto abierto, una oportunidad. La industrialización significa que el ataque ya no es personal; es estadístico.

El código que ya no escribe un humano

Para los que os gusta mancharos las manos con un poco de Python, fijaos en cómo ha cambiado la película. Antes, para automatizar un escaneo de vulnerabilidades, tenías que picar código con mucho cuidado, integrar APIs de terceros y rezar para que el firewall no te detectara a la primera de cambio. Ahora, con la integración de modelos tipo Mythos, el proceso se parece más a esto (ojo, esto es un ejemplo simplificado, no me vayáis a montar un botnet en el garaje):

# Un pequeño script que ilustra la idea de "automatización inteligente"
import mythos_engine # Supongamos que esta es la librería del "mal"
import os

target_list = ["192.168.1.1", "empresa-local-ejemplo.es"]

for target in target_list:
    # La IA no solo escanea, decide qué herramienta es mejor según la respuesta del servidor
    print(f"Analizando {target}... con una pizca de malicia digital.")
    vulnerability = mythos_engine.analyze_and_predict_exploit(target)
    
    if vulnerability.confidence > 0.85:
        # Aquí es donde la cosa se pone fea: ejecución automática
        print(f"Vulnerabilidad crítica encontrada: {vulnerability.name}")
        mythos_engine.deploy_payload(target, vulnerability.best_exploit)
    else:
        print("Este objetivo está bien cerrado... por ahora.")

Lo que veis arriba, aunque sea una caricatura, es lo que preocupa a Cristóbal. La capacidad de «decidir» qué exploit es el más adecuado basándose en la respuesta en tiempo real del objetivo. Ya no es un script tonto que lanza ataques a ciegas; es un sistema que aprende de cada rechazo del firewall hasta que encuentra la grieta. Y lo hace a una velocidad que ningún equipo de seguridad humano puede seguir. La verdad es que da un poco de vértigo.

La realidad española: ¿Estamos preparados para el «Hacking as a Service»?

A ver, seamos realistas. En España tenemos un talento brutal en ciberseguridad. Tenemos el INCIBE en León, que hace una labor de locos, y empresas tecnológicas punteras. Pero el problema de la industrialización es que rompe las reglas del juego económico. Si atacar una empresa española cuesta 10 euros gracias a la automatización de Mythos, y el posible rescate (ransomware) es de 5.000 euros, las cuentas les salen muy rentables a los malos.

Jesús Cristóbal insiste mucho en que esto no es solo un problema técnico, sino de modelo de negocio. El «Hacking as a Service» (HaaS) se está convirtiendo en la nueva burbuja, pero una que sí genera beneficios reales para el cibercrimen organizado. Ya no necesitas saber programar en C++ o entender el desbordamiento de búfer. Solo necesitas una suscripción a una plataforma que use estos motores de IA. Es como el Netflix de la delincuencia, pero en lugar de series, eliges qué base de datos quieres exfiltrar hoy.

Y ojo con esto: el impacto en el mercado local es directo. Si una empresa de logística en Valencia o una conservera en Murcia se queda bloqueada tres días por un ataque automatizado, el daño en la cadena de suministro es real. No estamos hablando de bits y bytes, estamos hablando de camiones parados y gente que no puede cobrar su nómina a final de mes. La industrialización hace que estos ataques sean constantes, como una lluvia fina que nunca para.

¿Por qué ahora y no hace cinco años?

La pregunta es obligatoria. ¿Por qué estamos hablando de Mythos y de Jesús Cristóbal ahora? Pues porque la potencia de cálculo se ha democratizado. Hace una década, entrenar un modelo capaz de entender código y generar exploits requería un superordenador que solo tenían tres gobiernos contados. Hoy, cualquier grupo con unos cuantos miles de euros puede alquilar potencia en la nube y poner a correr su propia versión de una IA ofensiva.

Además, la superficie de ataque ha crecido de forma absurda. Tenemos el frigorífico conectado a internet, la calefacción controlada por una app y hasta las farolas de Cartagena tienen IP. Cada uno de esos dispositivos es una puerta potencial. Si a eso le sumas una herramienta que puede probar llaves maestras de forma industrial, el resultado es el que estamos viendo: una epidemia de brechas de seguridad que ya ni siquiera salen en las noticias de lo comunes que son.

El papel de la defensa: ¿Combatir fuego con fuego?

Llegados a este punto, uno podría pensar que estamos perdidos. Pero no. La tesis de expertos como Cristóbal no es que debamos rendirnos, sino que debemos cambiar de estrategia. Si el ataque se industrializa, la defensa también tiene que hacerlo. No podemos pretender defender una red moderna con un técnico revisando logs manualmente mientras se toma un bocadillo de calamares. Necesitamos nuestra propia «fábrica» de defensa.

Aquí es donde entra la IA defensiva. Sistemas que sean capaces de detectar patrones anómalos antes de que el ataque se materialice. Por ejemplo, si Mythos empieza a hacer un reconocimiento silencioso de tu red, una IA defensiva debería notar que hay «alguien» preguntando demasiado, aunque lo haga de forma muy sutil y espaciada en el tiempo. Es una guerra de algoritmos. El que tenga el modelo mejor entrenado y los datos más frescos, gana la partida.

En España, esto se traduce en que las empresas tienen que empezar a invertir en seguridad gestionada que use estas tecnologías. Ya no vale con el antivirus que viene con Windows. Hay que ir un paso más allá. Y sí, eso cuesta dinero, pero como suele decirse en el gremio: «Si crees que la seguridad es cara, prueba a ver cuánto te cuesta un hackeo».

Una anécdota para bajar a tierra

Me contaba hace poco un colega que trabaja en seguridad en el puerto de Cartagena que detectaron un intento de intrusión que no seguía ningún patrón conocido. No era el típico ataque de fuerza bruta que intenta contraseñas como «123456» o «password». Era algo mucho más elegante. El sistema atacante probaba vulnerabilidades específicas según la versión del software que detectaba, y si fallaba, cambiaba de táctica en milisegundos. Parecía que había un humano superdotado al otro lado. Al final, resultó ser un bot automatizado, probablemente un precursor de lo que Mythos representa. Lo pararon de milagro porque tenían un sistema de detección de anomalías basado en comportamiento. Si hubieran confiado en las firmas de virus de toda la vida, hoy estaríamos hablando de un desastre logístico en el Mediterráneo.

La ética en el filo de la navaja

Hay un tema que Jesús Cristóbal suele tocar y que a mí me parece fascinante: la ética de crear estas herramientas. Porque, seamos sinceros, Mythos y similares pueden usarse para el bien (red teaming, auditorías de seguridad, encontrar fallos antes que los malos) o para el mal. El problema es que una vez que el genio sale de la lámpara, no hay forma de volver a meterlo.

¿Es lícito desarrollar una IA que industrialice el hacking si el objetivo es ayudar a las empresas a protegerse? Es el eterno debate de las armas. Un cuchillo sirve para cortar el pan o para algo mucho peor. La diferencia es que en el mundo digital, el cuchillo se puede replicar infinitamente sin coste. La responsabilidad de los desarrolladores y de los consultores de seguridad es máxima. No basta con ser un hacha del código; hay que tener una brújula moral bien calibrada.

En el contexto europeo, con el Reglamento de Inteligencia Artificial (AI Act) que se está cocinando, este tipo de herramientas van a estar bajo la lupa. España, como parte activa de la UE, va a tener que decidir cómo regula el uso de IAs ofensivas. No va a ser fácil. Si regulamos demasiado, dejamos a nuestras empresas indefensas frente a atacantes de fuera que no siguen ninguna regla. Si no regulamos nada, convertimos la red en el salvaje oeste.

¿Qué podemos aprender de todo esto?

Al final del día, la charla de Jesús Cristóbal sobre Mythos nos deja varias lecciones que no deberíamos ignorar. La primera es que la ciberseguridad ya no es un tema de «informáticos», es un tema de supervivencia de negocio. La segunda es que la IA ha cambiado las reglas del juego para siempre. Ya no hay vuelta atrás.

Para que nos entendamos, estamos en un momento similar al de la invención de la imprenta o la máquina de vapor. La capacidad de automatizar el ingenio (o la malicia) humano tiene consecuencias que apenas estamos empezando a vislumbrar. Mythos es solo el principio. Vendrán otros modelos más potentes, más rápidos y más difíciles de detectar.

Pero no todo es pesimismo. Esta misma tecnología que permite industrializar el hacking también permite industrializar la protección. La clave está en la educación y en la anticipación. No podemos quedarnos esperando a que nos den el golpe. Hay que entender cómo piensan estas máquinas, cómo operan y, sobre todo, cómo podemos hacer que sus ataques dejen de ser rentables.

Pasos prácticos para no ser la próxima víctima de la «fábrica»

Si tienes una empresa o simplemente te preocupa tu seguridad digital, aquí te dejo unos consejos que, aunque parezcan básicos, son los que suelen fallar cuando una IA como Mythos llama a tu puerta:

  • Autenticación de doble factor (MFA) en TODO: A una IA le cuesta mucho más saltarse un código físico que llega a tu móvil que una contraseña, por muy compleja que sea.
  • Actualizaciones automáticas: Si Mythos busca fallos conocidos, no se lo pongas fácil. Parchea tus sistemas en cuanto salga la actualización. No esperes a mañana.
  • Segmentación de redes: No tengas todo en la misma «cesta». Si entran en el ordenador de recepción, que no puedan llegar al servidor de contabilidad.
  • Formación del personal: El eslabón más débil sigue siendo el humano. Una IA puede generar un correo de phishing perfecto, personalizado y sin faltas de ortografía. Enseña a tu equipo a desconfiar por defecto.
  • Copia de seguridad desconectada: Si te cifran todo de forma industrial, tu única salvación es esa copia de seguridad que no está conectada a la red. El «offline» es tu mejor amigo.

Mirando al futuro desde la costa murciana

A veces, cuando paseo por el puerto de Cartagena y veo los submarinos S-80, pienso en la cantidad de tecnología y de código que hay ahí metido. Esos sistemas son el orgullo de nuestra ingeniería, pero también son objetivos de primer nivel. La industrialización del hacking significa que los intentos de intrusión en infraestructuras críticas no van a ser eventos aislados, sino un bombardeo constante de algoritmos intentando encontrar una fisura.

Jesús Cristóbal nos ha abierto una ventana a un futuro que ya está aquí. Un futuro donde la inteligencia artificial no es solo una herramienta de productividad, sino un arma de doble filo. La pregunta no es si Mythos puede industrializar el hacking (porque ya lo está haciendo), sino si nosotros seremos capaces de industrializar nuestra resiliencia con la misma velocidad.

Vaya, que la cosa está movida. Pero bueno, no es la primera vez que nos enfrentamos a un cambio tecnológico que parece que nos va a pasar por encima. La clave, como siempre, es no perder la curiosidad, seguir aprendiendo de gente que sabe como Cristóbal y, sobre todo, no bajar la guardia. Que mientras nosotros dormimos, hay una IA por ahí que no necesita café y que está probando cerraduras digitales sin descanso. Y eso, la verdad, es para pensárselo dos veces antes de dejar la contraseña de siempre en el router de casa.

Para que nos entendamos, la era del hacker artesano ha muerto. Larga vida a la ciberseguridad inteligente, porque la vamos a necesitar más que nunca. Y ahora, si me disculpáis, voy a cambiar un par de contraseñas y a pedirme otro café, que después de escribir esto me ha entrado un poco de paranoia digital. ¡Nos vemos por la red, y ojo con lo que pincháis!

Productos recomendados en Amazon

Esterilla Yoga Antideslizante TPE

Esterilla Yoga Antideslizante TPE

€16,30
Esterilla Yoga Good Nite

Esterilla Yoga Good Nite

€16,56
AmazonBasics Cuerda Saltar

AmazonBasics Cuerda Saltar

€9,99
Tags:

¿Te ha gustado este artículo?

unpokitodxfavor

Propietario de aquinohayquienviva.es, web de noticias relacionadas con la ciencia, tecnología, y cultura en general.

Artículos relacionados

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Resuelve la operación para enviar el comentario * Time limit is exhausted. Please reload the CAPTCHA.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.