La IA de esta startup superó al 99% de los humanos en seis competiciones de hacking de élite

Cada año, más de 100,000 expertos en ciberseguridad compiten en concursos globales de hacking, diseñados para demostrar su habilidad para vulnerar sistemas de seguridad y robar datos. Estos concursos plantean a los hackers desafíos de dificultad creciente, desde eludir contraseñas hasta ciberataques más complejos que requieren la explotación de vulnerabilidades ocultas en el software. Su objetivo final es superar todas las capas de seguridad que protegen una “bandera” digital, al igual que en el juego real de capturar la bandera.

Ahora, la startup israelí Tenzai afirma que a principios de este mes su hacker de IA tuvo un rendimiento superior al 99% de los 125,000 competidores humanos que se enfrentaron en una serie de seis competiciones denominadas “captura la bandera” (CTF, por sus siglas en inglés), que se actualizan periódicamente con nuevos conjuntos de desafíos complicados.

Tenzai adapta modelos de OpenAI y Anthropic para su uso en ciberseguridad ofensiva. La empresa demostró su valía tanto en competiciones tradicionales, donde los participantes debían hackear una aplicación web, como en otras más recientes, cuyo objetivo era infiltrarse en aplicaciones de IA mediante comandos que manipulaban los modelos de lenguaje subyacentes. Pavel Gurvich, cofundador y director ejecutivo de Tenzai, declaró a Forbes que la IA demostró una sorprendente habilidad para combinar exploits y aprovechar vulnerabilidades de software, algo que hasta entonces había sido difícil de automatizar.

“La proliferación de estas capacidades a prácticamente todo el mundo ya es una realidad y va en aumento”: Gadi Evron, cofundador y director ejecutivo de Knostic.

Según Gurvich, la seguridad ofensiva basada en IA ya no es teórica, sino que funciona a gran escala. Esto genera tanto preocupación como optimismo. Si los programas de inteligencia artificial son capaces de explotar sistemas informáticos complejos con rapidez, se reduce la barrera de entrada para prácticamente cualquiera que desee lanzar ciberataques potencialmente devastadores. Al mismo tiempo, la IA también podría encargarse de detectar y corregir un número significativo de vulnerabilidades de seguridad antes de que sean explotadas. Todo dependerá de qué IA descubra el problema primero.

También es significativamente más barato. Solo costó 5,000 dólares ejecutar los modelos de IA de Tenzai en todas las competiciones. Eso es una miseria para las agencias gubernamentales, las bandas de ciberdelincuentes o las empresas de vigilancia que quieran usar inteligencia artificial para espiar. Es francamente asequible para cualquiera con algo de dinero disponible que quiera causar daño. “Esto está saliendo rápidamente del ámbito de las naciones y las organizaciones de inteligencia militar y llegando a manos de estudiantes universitarios que pueden tener incentivos muy diferentes”, dice Gurvich. Cree que podría ser necesaria una regulación que limite a las empresas de IA a vender masivamente cualquier modelo que pueda poner agentes de pirateo altamente capacitados en manos del ciudadano común, restringiéndolos a clientes selectos.

Tenzai fue fundada en 2025 por un grupo de experimentados ejecutivos israelíes de ciberseguridad que trabajaron juntos en las agencias de inteligencia de su país. En seis meses, consiguió una ronda de financiación inicial de 75 millones de dólares y una valoración de 330 millones de dólares, atrayendo inversores con agentes de IA que poseían “capacidades ofensivas de élite a nivel nacional”.

Gurvich no es el primero en hacer que la IA compita abiertamente con hackers humanos. El año pasado, la startup Xbow llegó a la cima de la clasificación de HackerOne, que clasifica a los participantes según la cantidad de vulnerabilidades reales que han ayudado a encontrar y que han sido corregidas. El año pasado, Anthropic desplegó Claude en algunas competiciones de hacking para estudiantes , que son menos exigentes que aquellas en las que participó Tenzai. Aun así, tuvo un buen desempeño, ubicándose en el 3% superior en un CTF de Carnegie Mellon para estudiantes de secundaria y universitarios. El mes pasado, Anthropic anunció que Claude fue capaz de encontrar más de 500 vulnerabilidades de alta gravedad en software de código abierto.

Gadi Evron, fundador y director ejecutivo de Knostic, empresa de seguridad basada en IA, afirma que los hackers ya han vivido su momento de gloria. Antes, pasar de descubrir una vulnerabilidad de software a explotarla llevaba días o semanas . Con la ayuda de la IA, ahora solo se necesitan horas. «El hecho de que Tenzai demuestre que sus agentes ganan el 99% de seis CTF evidencia la madurez de esta capacidad en el mercado, a pesar de que su disponibilidad para prácticamente todo el mundo ya es una realidad y va en aumento».

No es que la IA siempre supere a los humanos. Si bien se ubicó entre los 100 mejores en la mayoría de las competencias en las que participó, la IA de Tenzai nunca alcanzó el primer puesto. “Todavía hay espacio en la cima para los humanos”, afirma Gurvich.

Este texto fue publicado originalmente en Forbes US.

Lea también: Amazon planea su regreso al mercado de los smartphones más de una década después del fracaso del Fire Phone