Llevo toda mi vida profesional buscando bugs, y la búsqueda de vulnerabilidades de forma automática ha sido algo que ha existido desde que se creó Internet. Escáneres que buscan puertos para localizar sistemas conocidos, herramientas de webcrawlings o frameworks de pentesting que buscaban tipos de bugs. Esto ha sido parte del trabajo en seguridad informática, y yo he estado años haciendo eso. Para mi trabajo del Ph.D me dediqué a diseñar un algoritmo para detectar vulnerabilidades explotables a ciegas de tipo SQL, XPath o LDAP, que fue de lo que estuve trabajando esos años.
Figura 1: El impacto de Mythos en concreto y la
IA en general en el trabajo de los CISOs
Como parte de esta visión de buscar vulnerabilidades automáticas,
en ElevenPaths creamos Faast para hacer
Pentesting Persistente, y buscar todas las vulnerabilidades de manera automática, de manera persistentes como fuera posible. El servicio era un
SaaS que llevaba el espíritu de la
FOCA y de mi trabajo de
PhD que estuvo escaneando webs de clientes de manera masiva antes incluso de que apareciera la tendencia de hacer
Continuos Monitoring. El objetivo, por supuesto, era reducir el tiempo de exposición de una vulnerabilidad publicada.
0xWord para formarse como pentester
En la parte de explotación de las vulnerabilidades, pues lo mismo. Desde que se creó
Metasploit, se busca eso. En este caso, con vulnerabilidades conocidas, pero automatizando con payloads la generación de exploits adaptados a objetivos concretos. De nuevo, con un objetivo de automatización y acelerar el proceso de explotación de
bugs descubiertos. Y por supuesto, permite la creación en nuevos vulnerabilidades y nuevos payloads con sus propio lenguaje. Lo que sería
The Art of Pentesting.
Y llegaron los LLMs
Por supuesto, cuando llegaron los LLM, estos comenzaron a ser parte de las herramientas de búsqueda de vulnerabilidades y de su explotación. Con la madurez, vimos como los resultados comenzaron a ser espectaculares. En el año
2024 tuvimos el
paper de "
LLM Agents can Autonomously Hack Websites", que sigue la filosofía de hacer un
Faast, pero utilizando modelos de lenguaje de
Inteligencia Artificial, lo que daba un resultados espectaculares construyendo SQL Inejction.
Se publicó en el año
2024, al igual que el paper de "
LLM Agents can Autonomously Exploit One-day Vulnerabilities" para dada una lista de CVEs parcheados en un software, utilizar LLMs para intentar hacer el exploit de manera automática. Todo esto antes de aquel 1 de Diciembre de 2024 cuando OpenAI publicó el primer modelo de Deep Reasoning que daría origen a la carrera de los Agentic AI.Con la llegada de los modelos de Deep Reasoning, todo cambió. Comenzamos a construir Agentes IA que hicieran Red Teaming, realizando las fases de footprinting, fingerprinting, busca de vulnerabilidades y explotación de las mismas.
Y llegaron los Deep Reaoning al mundo de la Ciberseguridad
Este trabajo anterior, tiene la gracia de que, sin utilizar MCPs, demuestra cómo, al crear una capa de abstracción para que el LLM pueda utilizar las herramientas sin pegarse con el CLI (Command Line Interface) a la que llama Incalmo - la efectividad del Agentic AI para hacer ataques a organizaciones es espectacularmente satisfactoria. Así que estaba claro que el futuro de la Seguridad Ofensiva pasaba por la IA.
En Abril
CAI (Cybersecurity AI) compite en competiciones
CTF (Capture The Flag) con equipos de hackers especializados, y consigue llegar al puesto número
20 del cuadro de ganadores, resolviendo
19/20 retos. Pero lo brutal es que quedó en esa posición porque no dio con la idaa feliz que resolvía el número
20, pero había sido el primero en resolver los
19 primeros retos.
Esto nos deja el año pasado con un escenario donde los modelos
LLM de
IA se utilizan para Buscar
Vulnerabilidades y
Explotarlas. El mundo del
Pentesting había cambiado definitivamente, y publicamos el libro de "
Hacking & Pentesting con Inteligencia Artificial" donde nos centramos en cómo sacarle partido a la
IA para hacer el trabajo de seguridad ofensiva que tantas veces hemos hecho sin ella.
Mi preocupación es que tenemos todo el código de los proyectos
OpenSource disponibles para que un modelo de
IA encuentra las vulnerabilidades, y que en todo caso, deberíamos utilizar esas capacidades para acelerar la creación de
partches. La plataforma
Plexicus, que está empujando
José Palanco, hace justo eso, generar parches con
IA de manera automática.
Figura 11: Plexicus parchea con GenAI los bugs
Y esto es algo que para acelerar, se puede hacer con Neo de Sagittal.ai, que tiene en la generación de parches con IA una de sus capacidades de codificación más importantes. Usar IA para eliminar bugs que han sido descubiertos por IA.
En Octubre del año pasado
Google presentó CodeMender, que utilizando esta misma idea lo había estado usando para analizar y parchear código de proyectos
OpenSorce con un
Agente AI. Y si veis el proceso en el vídeo siguiente, el modelo es muy, muy, muy similar a lo que tenéis con
Pléxicus.
Y es una salvajada poder hacer eso, simplemente con
IA. Por supuesto, probando con el
86-DOS del año 1981 buscar los bugs y hacer los exploits en un sistema sin
DEP, ASRL, y demás protección de la pila, la memoria y la llamada a funciones, es un juego de niños para la
IA, como os conté.
Estaba claro hacía donde vamos, y las capacidades de la IA, así que no nos podemos dormir. Hemos visto en estos dos años cómo ha ido cambiando todo, pero de repente, esto se complica porque...
Y entonces llegó Mythos
Nos encontramos con que desde el descubrimiento de una bug, hasta su explotación, si el CVE está publicado, el tiempo se reduce hasta unas 20 horas, como hemos visto en el ejemplo anterior. Unos tiempos que dejan casi sin margen de maniobra a los equipos de seguridad que tienen que parchear sistemas complejos en la grandes empresas.
Figura 17: Reducción de Time-To-Exploit año a año
Y lo peor, con las capacidades de un modelo como Mythos, el principal problema para los CISOs es que, un atacante con estas capacidades puede encontrar Bugs Complejos, crear Exploits Robustos y Funcionales, y hacerlo no como era hasta hora, donde en bugs complejos necesitaba de un humano que le iba dirigiendo, sino que se hace en 1 Single Prompt.
Figura 18: Exploits con Mythos
Y parece que esto es así, porque si vemos la última actualización de seguridad e Mozilla Firefox - que ha sido auditado por Mythos - el resultado es que han parchado más bugs que en toda su historia, y más que sumados los últimos quince meses. No está mal.
Figura 19: Mozilla Firefox y 432 bugs parcheados tras auditarlo con Mythos
La Gestión después de llegar Mythos
Claro y... ¿cómo lo solucionamos? ¿Cómo lo gestionamos? Esa es la gran pregunta que deben responder los CISOs ante el comité ejecutivo de la empresa, y exige una inversión en la seguridad preventiva y en la fortificación de la plataforma.
Las vulnerabilidades están en los sistemas porque aunque es verdad que el ratio de líneas de código con bugs por volumen de líneas de código se ha reducido drásticamente, el número de líneas de código que tienen las tecnologías que se usan en la empresa hoy en día ha crecido exponencialmente. Y si ahora tenemos con la IA la posibilidad e encontrarlas mucho más rápido, explotarlas en tiempo record, y poder ponerlas en juego todas a la vez, la cosa se pone complicada.
Por supuesto, anticiparse a la auditoría de las vulnerabilidades es fundamental, así que hacer a revisiones de código con LLMs - Mythos o no - cuanto antes, es fundamental. Pero luego estresar los sistemas de defensa perimetral, ya que es mucho más fácil y rápido firmar los ataques externos que parchear un sistema en producción crítico de la organización.
Los equipos de
Cloudforce ONE y las protecciones en el
WAF de
Cloudflare gracias a ser la mayor plataforma en el
EDGE de
Internet, están detectando del orden de
232 Billones de ataque al día, con actualizaciones constantes cada hora de nuevas explotaciones de vulnerabilidades firmadas, actualizando la plataforma en todo el mundo en tiempos record por debajo del minuto.
Con el objeto de poner lo más difícil posible a un atacante poder explotar una vulnerabilidad existente en uno de los servicios expuestos en la red de cualquier empresa en
Cloudflare. Para eso, también se usa la
IA para hacer el triage del tráfico de red sospechoso, y para la generación de reglas de firmado y configuraciones de seguridad en los servicios de protección perimetral.
Con todo esto, más vale que si en tu empresa quieras apostar por la IA, comiences a apoyar no solo a tu CIO y tu CTO, sino a tu CISO, que el panorama que se viene por delante es, cuanto menos, muy retador. Ya sabes que en Ciberseguridad, los ahorros pueden salir muy caros.
¡Saludos Malignos!