La ciberseguridad ha dado un vuelco drástico en este 2026, y no hablamos de un aumento en los típicos falsos positivos o alertas menores, sino de una oleada de exploits completamente funcionales, que están golpeando infraestructuras que siempre consideramos seguras, como el núcleo de Linux y los repositorios npm y PyPI.
Y en el centro de todo esto, la Inteligencia Artificial está funcionando como un excelente copiloto para encontrar errores en el código, pero también como un arma de precisión para los atacantes. Es precisamente esta doble faceta, la que está obligando a replantearnos qué tan seguros son los entornos de integración continua (CI/CD) y como el ecosistema de desarrollo de software debe evolucionar para evitar el caos que se vislumbra en el horizonte.
El boom de las auditorías de código automáticas
Después de todo, el uso de modelos de lenguaje avanzados, como Claudo Mythos, está cambiando para siempre las reglas del juego a la hora de buscar fallos de programación. Gracias a estas herramientas, ahora los investigadores cuentan con un «partner» que les permite revisar código de forma autónoma y con una gran cantidad de variables, para encontrar errores y generar exploits que los aprovechen.
Un ejemplo de esto es que hace poco se descubrió una vulnerabilidad crítica en el protocolo NFS de Linux que llevaba 23 años oculta. El exploit es complejo (requiere la coordinación de dos clientes NFS), pero aprovecha un límite de 1024 bytes en el identificador del propietario para desbordar un búfer de apenas 112 bytes en el servidor. El resultado, escalamiento de privilegios y la posibilidad de tomar el control total del servidor objetivo.
Qué es el software libre y cómo transformó la tecnología y las finanzas
Podemos pensar que esto es positivo, y lo es, encontrar problemas y solucionarlos es de lo mejor que puede pasar. Pero el verdadero problema es que la velocidad con la que las IA analizan código y diseñan ataques superó la capacidad de los equipos de soporte de estos proyectos. Willy Tarreau, un desarrollador clave del kernel, mencionó en la lista de correo del kernel, que la lista de seguridad de Linux pasó de recibir dos o tres reportes semanales a picos de entre cinco y diez diarios.
Aunque la mayoría de los reportes son técnicamente correctos, el hecho de que varios investigadores independientes envíen el mismo informe al mismo tiempo satura a los mantenedores. Por eso, el equipo de Linux tuvo que meter freno y estrenar reglas en las recientes versiones de la rama 6.x para regular el uso de estas herramientas.
La crisis de vulnerabilidades en el núcleo de Linux
Sin embargo, esto es solo una parte del problema. La realidad es que el kernel de Linux viene encadenando varios fallos de escalada de privilegios locales que son deterministas (no dependen de la suerte o de condiciones de carrera). Esto es un dolor de cabeza enorme para servidores en la nube y clústeres de contenedores. Al comprometer la caché de páginas en la memoria, un usuario sin permisos puede alterar binarios de administración comunes sin dejar rastro en el disco físico.

Cuatro grandes vulnerabilidades
El caso de Copy Fail demuestra cómo una optimización de rendimiento hecha en 2017 puede volverse en contra años después. Al combinar la interfaz de sockets criptográficos AF_ALG con la llamada splice(), un atacante puede escribir directo en datos compartidos de la memoria. Esto rompe el aislamiento de los contenedores y permite saltar al sistema host. Con una severidad de CVSS=7.8, el exploit logra acceso de root de forma consistente con un script de apenas 732 bytes.
Por otro lado, Fragnesia, descubierta por William Bowling, explota un fallo similar al juntar fragmentos de red en la pila IPsec. El kernel olvida activar la bandera SKBFL_SHARED_FRAG al mover datos entre búferes, ignorando que la memoria se respalda externamente. ¿El resultado? La descompresión y el descifrado AES-GCM ocurren directo sobre la caché de páginas de archivos de solo lectura como /usr/bin/su. El atacante solo necesita aplicar una operación XOR en la memoria para saltarse la contraseña y volverse superusuario al instante.
Claude Mythos tumba la seguridad de los nuevos chips M5 de Apple
Finalmente, el vector ptrace Exit-race (apodado ssh-keysign-pwn) usa un truco ingenioso para robar descriptores de archivos confidenciales. Cuando un proceso se cierra (do_exit), hay una ventana de tiempo milimétrica donde su descriptor de memoria se desvincula antes de cerrar sus archivos. En ese instante, el sistema no aplica las protecciones habituales de depuración porque el puntero es nulo. Un proceso local cualquiera puede llamar a pidfd_getfd(2) para duplicar los archivos abiertos por ejecutables SUID en su último aliento, robando llaves privadas de SSH o datos de /etc/shadow (un importante archivo de seguridad en Linux).
Ataques autónomos y malware en la cadena de suministro
Pero los cibercriminales también están usando la IA para crear campañas autónomas. El ejemplo más destructivo ahora mismo es el gusano Mini Shai-Hulud (bautizado así por las criaturas de Dune) creado por el grupo TeamPCP. Una vez libre, el malware actúa solo. A mediados de mayo de 2026, infectó de forma coordinada más de 170 paquetes en npm y PyPI, golpeando a proyectos masivos como TanStack, UiPath y plataformas como Mistral AI.
El punto de entrada suele ser la automatización descuidada en sistemas de CI/CD. El gusano aprovecha el patrón «Pwn Request» en GitHub Actions mediante el disparador pull_request_target combinándolo con envenenamiento de caché. Así extrae tokens de autenticación OpenID Connect (OIDC) de la memoria del runner, se salta el doble factor y genera paquetes maliciosos que parecen totalmente legítimos, incluso con certificaciones de seguridad SLSA de nivel 3.
El gusano infectó la biblioteca
El impacto en el ecosistema de desarrollo real fue inmediato. El gusano infectó la biblioteca @tanstack/react-router, lo que expuso credenciales de flujos de trabajo de varias empresas y comprometió dos dispositivos internos en OpenAI. Mistral AI también confirmó que un ingeniero de su equipo terminó con su equipo personal infectado tras descargar por error la versión comprometida 2.4.6 de su biblioteca de Python. La situación escaló tanto que agencias públicas, como el NHS del Reino Unido, tuvieron que lanzar alertas de emergencia para proteger sus redes.
A todo esto se suma el auge del «Vibe Coding» (programar delegando casi todo en la IA). Cuando TeamPCP publicó el código de Mini Shai-Hulud en GitHub, quedó claro que los atacantes usan modelos de lenguaje para desofuscar código malicioso al instante. Esto acelera la creación de nuevas variantes del malware y facilita que comunidades de hackers organicen «retos» para ver quién diseña el peor ataque a la cadena de suministro.
Google paga 32.000 millones por Wiz para competir en la seguridad de la IA
El reto del desarrollo seguro y las nuevas reglas
Sea como sea, el uso diario de asistentes de código como Lovable, Cursor y Replit Agent aceleró muchísimo la entrega de software comercial. Sin embargo, los expertos coinciden en que estamos acumulando una deuda técnica enorme. Escribir código tan rápido sin una revisión humana seria deja errores de lógica y gestión de memoria que los atacantes encuentran fácilmente usando escáneres automáticos.
Este escenario es el que obligó a cambiar las políticas en el kernel de Linux. Las nuevas reglas exigen que cualquier reporte hecho con ayuda de IA se gestione de forma pública, principalmente porque estas herramientas suelen sugerirle los mismos fallos a distintos usuarios en muy poco tiempo. Además, se prohibieron los reportes con explicaciones teóricas o impactos especulativos generados por bots; si quieres enviar un parche, tienes que incluir una prueba de concepto real, repetible y empírica.
¿Cómo nos defendemos de esto?
Sin embargo, hay una realidad muy clara: para frenar exploits como ptrace Exit-race o Copy Fail, hay que cambiar la forma en que configuramos la infraestructura. Así, con el fin de asegurar los flujos de desarrollo contra malware autónomo, la industria está explorando el uso de registros de transparencia criptográfica y sistemas de atestación firmados (como Sigstore). Registrar cada commit y los metadatos de los artefactos generados en una estructura pública e inalterable ayuda a garantizar que nadie altere el código en el camino.
También se está impulsando la estandarización de identidades de carga de trabajo efímeras basadas en OIDC, que busca asociar la identidad criptográfica de cada asistente de IA o bot de automatización a una política de acceso estrictamente vinculada a un supervisor humano o empresa legalmente responsable, evitando que las herramientas autónomas publiquen paquetes de forma libre o con perfiles falsos.
La seguridad perimetral tradicional ya no basta
En todo caso, el uso de tokens criptográficos y sistemas de control descentralizados también permite automatizar los permisos de escritura en los repositorios. Si un bot infectado roba las credenciales locales de un desarrollador, el daño potencial se reduce drásticamente porque el acceso está limitado y descentralizado. Además, este enfoque genera un historial de auditoría transparente y limpio, imposible de borrar o alterar por el malware.
Tendencias de ciberseguridad 2026: criptografía post cuántica en marcha
Sea como sea, la conclusión es clara: en la era de la programación asistida por algoritmos, la seguridad perimetral tradicional ya no basta. Necesitamos controles estrictos en las computadoras de los ingenieros, firmas SLSA obligatorias para cada paquete y una verificación matemática de las dependencias. Solo combinando infraestructuras verificables y protocolos criptográficos podremos hacer frente a ataques que se ejecutan a la velocidad de una máquina.

