Mientras se habla de si una futura AGI llegará a “dominar el mundo”, algo mucho más concreto ya está ocurriendo hoy en un lugar muy real: los laboratorios de la Universidad de Stanford. Allí, un sistema de inteligencia artificial llamado Artemis ha empezado a piratear redes mejor que casi todos los humanos a los que se ha enfrentado, y el impacto para la ciberseguridad ofensiva es mucho más inmediato de lo que parece.
El experimento se hizo en la propia red de ingeniería de Stanford y enfrentó a Artemis contra diez pentesters profesionales, es decir, hackers éticos que cobran por encontrar fallos. La misión de los humanos era clara: presionar al máximo al sistema, intentar engañarlo y probar sus límites, pero sin llegar a tomar el control completo.
Artemis se diseñó como un agente de hacking automatizado para escanear redes y buscar vulnerabilidades explotables, algo que hasta ahora era territorio casi exclusivo de los especialistas humanos en ciberseguridad ofensiva. No se trataba de un simple script con cuatro trucos, sino de un sistema capaz de recorrer grandes superficies de ataque de forma sistemática y, sobre todo, sin cansarse. Esa diferencia de ritmo es justo donde empieza a inclinarse la balanza.
Los resultados del cara a cara fueron directos: Artemis rindió mejor que nueve de los diez pentesters profesionales. En la práctica, eso significa que fue capaz de encontrar agujeros de seguridad útiles antes que casi todos los demás participantes humanos. El único experto que lo superó actuó como una especie de techo actual, pero el mensaje que dejan las cifras es incómodo: una IA ya puede hacer la mayor parte del trabajo crítico en ciberseguridad ofensiva con una ventaja clara en velocidad.
Esta ventaja no se explica solo porque la inteligencia artificial repita tareas rápidas, como lanzar escaneos o probar contraseñas. Los investigadores vieron que Artemis desplegaba una exploración sistemática de la red que, en conjunto, dejaba atrás a la mayoría de los profesionales humanos. Mientras un pentester suele ir combinando intuición, experiencia y herramientas más o menos estándar, el bot recorría el mapa con un método constante y casi obsesivo que apenas dejaba huecos sin mirar.
Al mismo tiempo, los responsables del proyecto introdujeron un detalle que muestra hasta qué punto eran conscientes del riesgo: un interruptor de emergencia para poder apagar Artemis al instante si algo se salía de control. Ese botón rojo no formaba parte del espectáculo, sino de la gestión real del miedo a que un sistema de ciberseguridad ofensiva empezase a comportarse de forma inesperada en una red viva.
Si miras los números, el golpe económico es igual de fuerte que el técnico. Un pentester humano suele cobrar entre 2.000 y 2.500 dólares por día de trabajo especializado. Artemis, según el experimento, funcionaba por unos 60 dólares la hora. Si haces cuentas, en una jornada larga el coste de la inteligencia artificial puede quedar muy por debajo del de una persona, pero ofreciendo una velocidad y un alcance que ponen mucha presión sobre el modelo clásico de consultoría de ciberseguridad ofensiva.
La comparación se vuelve todavía más delicada cuando miras el rendimiento total. No solo trabajaba más rápido, sino que mantenía esa velocidad sin fatiga ni distracciones, y eso en tareas de ciberseguridad ofensiva se traduce en más máquinas escaneadas, más webs revisadas y, al final, más oportunidades reales de intrusión. Había una trampa en todo esto que los investigadores no tardaron en detectar.
La inteligencia artificial no fue perfecta. Alrededor de un 18 % de los reportes de Artemis acabaron siendo falsos positivos, es decir, avisos de seguridad que en realidad no apuntaban a un fallo explotable. Para un equipo de ciberseguridad ofensiva, ese ruido puede suponer horas perdidas revisando alertas que no llevan a ninguna parte. Un humano con experiencia tiende a filtrar parte de ese ruido, mientras que el bot, por ahora, peca de exceso de celo.
También hubo al menos un fallo evidente que los humanos detectaron casi de inmediato y que la IA pasó completamente por alto. Ese punto ciego recuerda que, aunque la inteligencia artificial empiece a dominar la ciberseguridad ofensiva en muchas tareas, su superioridad no es absoluta. Sigue necesitando supervisión, contexto y, sobre todo, esa mirada humana que a veces ve lo obvio donde un algoritmo se pierde en patrones más complejos.
La historia no se queda ahí. Artemis también descubrió un bug que ninguno de los diez pentesters humanos llegó a ver en toda la prueba. Esa vulnerabilidad estaba escondida en una web que no funcionaba en Chrome ni en Firefox, los navegadores que usan casi siempre los expertos humanos. Para ellos, era una página muerta y sin interés práctico. Para la IA, una pieza de código más que merecía ser inspeccionada línea a línea.
La razón está en cómo trabaja el sistema. Artemis no interactúa con las webs como tú lo harías desde un navegador, haciendo clic en botones y esperando a que carguen. Analiza directamente el código y las respuestas del servidor, sin verse afectado por errores de interfaz o problemas visuales. Esa capacidad le permite escapar de límites muy cotidianos, como una página que “no abre” o un script que solo falla en un navegador antiguo.
La diferencia cognitiva entre el bot y las personas es una de las claves de su poder en ciberseguridad ofensiva. No es que piense mejor o peor, es que piensa distinto. Donde un pentester humano combina experiencia, intuiciones y hábitos de trabajo, la IA sigue reglas de exploración que pueden parecer casi alienígenas, y justo por eso acaba encontrando huecos en los que nadie más se había fijado. Esa mezcla de velocidad, perseverancia y otra forma de “mirar” es lo que empieza a desequilibrar el tablero.
Todo este avance no se queda en un laboratorio controlado. El uso de inteligencia artificial por parte de ciberdelincuentes es una realidad consolidada desde hace tiempo. Hoy se emplea para mejorar malware, automatizar ataques y escalar operaciones que antes requerían equipos humanos grandes y bien formados. La ciberseguridad ofensiva ya no es solo cosa de expertos con años de experiencia, y ahí es donde la preocupación se hace mucho más amplia.
Un ejemplo reciente viene de Anthropic, la compañía detrás de varios modelos de IA comercial. La empresa reveló que un grupo de hackers chinos había usado Claude Code como agente autónomo en una campaña de espionaje a gran escala. El sistema se encargó de gestionar prácticamente todo el ciclo de ataque, desde la intrusión inicial hasta las fases de movimiento lateral y extracción de datos, con una autonomía operativa que ya no parece ciencia ficción.
Ese caso no es una anécdota aislada, sino una señal de hacia dónde va el uso de inteligencia artificial en ciberseguridad ofensiva. Cuando una herramienta puede escribir código malicioso, probarlo, corregirlo y lanzarlo en bucle, el tiempo que hace falta para montar una campaña compleja baja de semanas a días, o incluso a horas. “Ya no hace falta ser un genio del exploit para causar un daño serio”, resumía un investigador de amenazas consultado en un informe reciente.
La consecuencia directa es que la inteligencia artificial reduce de forma brutal la barrera de entrada al hacking. Un actor con pocos conocimientos técnicos, pero con acceso a estas herramientas, puede lanzar ataques que antes estaban reservados a grupos muy especializados. En la práctica, eso significa más atacantes potenciales, más campañas en paralelo y menos tiempo para que los defensores puedan reaccionar.
Si lo comparas con la app típica de un hacker novato de hace diez años, la diferencia es llamativa. En lugar de seguir tutoriales y copiar comandos sin entenderlos, ahora vas a poder pedir a un modelo que te genere el código, que lo corrija, que te explique cada parámetro e incluso que te proponga nuevas variantes. Para la ciberseguridad ofensiva, esto se traduce en un salto de escala que preocupa tanto a empresas como a gobiernos.
Paradójicamente, las mismas capacidades que hacen tan útil a Artemis para atacar también pueden servir para defender. Un sistema de inteligencia artificial parecido podría escanear de forma continua la infraestructura de una empresa, localizar fallos antes de que los encuentre un adversario y priorizar qué parches aplicar primero. Esta ciberseguridad ofensiva aplicada de forma controlada puede convertirse en una especie de “vacuna” interna contra ataques reales.
Si se despliegan bien, estos agentes automáticos podrían revisar grandes redes cada pocas horas, frente a las auditorías puntuales que se hacen hoy cada varios meses. La diferencia de frecuencia es brutal y, aun con falsos positivos, te daría tiempo para arreglar muchos problemas antes de que exploten. El reto está en que estas herramientas se apliquen de manera responsable y sistemática, y no solo como un experimento llamativo.
En paralelo aparece una pregunta incómoda que muchos profesionales ya se hacen en privado. Si una IA puede realizar el trabajo de un pentester mejor, más rápido y a una fracción del coste, ¿qué pasa con los empleos de ciberseguridad ofensiva? No se trata solo de que haya menos encargos, sino de que cambie el tipo de tareas para las que se contrata a una persona.
Es probable que, a corto plazo, veamos una división del trabajo distinta. La inteligencia artificial asumirá gran parte del escaneo masivo, la búsqueda sistemática de vulnerabilidades conocidas y la generación automática de informes. Los humanos, por su parte, se centrarán en interpretar resultados, pensar escenarios creativos de ataque, coordinar respuestas y tomar decisiones legales y éticas que un modelo no puede valorar por sí mismo.
La ciberseguridad ofensiva entra en una nueva era en la que el principal riesgo ya no es solo que la IA pueda atacar, sino que llegue a hacerlo mejor que quienes deberían defender. Si empiezas a ver más ofertas que piden experiencia trabajando “con” agentes automáticos en lugar de “como” pentester puro, sabrás que el cambio se está consolidando. El próximo gran hito será cuando estos sistemas se integren de forma estándar en las auditorías de seguridad de grandes empresas, y a partir de ahí la discusión ya no será si usarlos, sino cómo controlar su poder para que trabaje de tu lado y no en tu contra.
Directora de operaciones en GptZone. IT, especializada en inteligencia artificial. Me apasiona el desarrollo de soluciones tecnológicas y disfruto compartiendo mi conocimiento a través de contenido educativo. Desde GptZone, mi enfoque está en ayudar a empresas y profesionales a integrar la IA en sus procesos de forma accesible y práctica, siempre buscando simplificar lo complejo para que cualquiera pueda aprovechar el potencial de la tecnología.
La Newsletter Diaria Sobre Inteligencia Artificial. Además: Portal de Noticias, Tutoriales, Tips y Trucos de ChatGpt, Openai e Inteligencia Artificial.
Nuestra web está alojada en:
