Por Decrypt Agent
4 min lectura
Una agencia del gobierno del Reino Unido ha determinado que el modelo de inteligencia artificial más reciente de OpenAI puede llevar a cabo de forma autónoma ciberataques complejos, y que resolvió un desafío de ingeniería inversa en poco más de 10 minutos, tarea que le tomó a un experto humano en seguridad aproximadamente 12 horas.
El AI Security Institute (AISI), un organismo de investigación adscrito al Departamento de Ciencia, Innovación y Tecnología de Gran Bretaña, publicó el jueves sus hallazgos, los cuales revelan que GPT-5.5 se encuentra entre los modelos más potentes que ha evaluado en materia de capacidades ofensivas en ciberseguridad, ubicándolo en un nivel comparable al reconocido Claude Mythos de Anthropic.
El informe determinó que GPT-5.5 es el segundo modelo en completar la prueba más exigente del AISI —un ataque simulado a una red corporativa de 32 pasos denominado "The Last Ones"— logrando hacerlo de forma autónoma en dos de cada 10 intentos. El primer modelo en alcanzar este hito fue el Claude Mythos Preview de Anthropic, que completó la simulación en tres de cada 10 intentos.
La simulación de red corporativa, desarrollada junto a la firma de ciberseguridad SpecterOps, exige que un agente encadene tareas de reconocimiento, robo de credenciales, movimiento lateral entre múltiples bosques de Active Directory, un pivote en la cadena de suministro a través de un pipeline CI/CD y, en última instancia, la exfiltración de una base de datos interna protegida —pasos que el AISI estima tomarían aproximadamente 20 horas a un experto humano.
Quizás el resultado más llamativo involucró un desafío de ingeniería inversa de dificultad extrema. GPT-5.5 resolvió el reto —que requería reconstruir el conjunto de instrucciones de una máquina virtual personalizada, escribir un desensamblador desde cero y recuperar una contraseña criptográfica mediante resolución de restricciones— en 10 minutos y 22 segundos, con un costo de $1,73 en uso de API. Un experto humano, con herramientas profesionales, necesitó aproximadamente 12 horas.
En la batería de tareas avanzadas de ciberseguridad del AISI, GPT-5.5 alcanzó una tasa de aprobación promedio del 71,4% en el nivel más difícil, "Expert", superando levemente al Mythos Preview con un 68,6% y aventajando de forma significativa al GPT-5.4, que obtuvo un 52,4%.
Los hallazgos tienen implicaciones directas para la trayectoria general del desarrollo de la IA. El AISI concluyó que el desempeño de GPT-5.5 sugiere que la rápida mejora en capacidades cibernéticas podría ser parte de una tendencia general y no un avance aislado, y advirtió que, si las habilidades ofensivas en ciberseguridad están emergiendo como un subproducto de mejoras más amplias en razonamiento, programación y ejecución autónoma de tareas, los próximos avances podrían llegar en rápida sucesión.
El informe también señaló preocupaciones significativas sobre las barreras de seguridad del modelo. Los investigadores identificaron un jailbreak universal que generó contenido dañino en todas las consultas maliciosas de ciberseguridad evaluadas, incluidas configuraciones agénticas de múltiples turnos. El ataque requirió seis horas de red-teaming experto para desarrollarse. OpenAI actualizó posteriormente su stack de protección, aunque un problema de configuración impidió al AISI verificar si la versión final resultó efectiva.
El AISI advirtió que sus evaluaciones de capacidades se realizaron en un entorno de investigación controlado y no reflejan necesariamente lo que está al alcance de un usuario ordinario, señalando que los despliegues públicos incluyen salvaguardas adicionales y controles de acceso.
El informe llega en un contexto preocupante para la ciberseguridad británica. La Encuesta Anual sobre Brechas de Ciberseguridad del gobierno del Reino Unido, también publicada el jueves, encontró que el 43% de las empresas sufrió una brecha o ataque cibernético en los últimos 12 meses.
En respuesta, el gobierno anunció £90 millones en nuevos fondos para reforzar la resiliencia cibernética, e indicó que avanza con el proyecto de Ley de Ciberseguridad y Resiliencia para proteger los servicios esenciales. Las autoridades también publicaron orientaciones instando a las organizaciones a prepararse para un posible aumento en el descubrimiento de vulnerabilidades de software, a medida que la IA acelera el ritmo al que pueden detectarse y utilizarse como armas las fallas de seguridad.
Decrypt-a-cookie
This website or its third-party tools use cookies. Cookie policy By clicking the accept button, you agree to the use of cookies.