(Bloomberg) -- Un hacker llamado Xbow ha encabezado una prestigiosa tabla de clasificación del sector de la seguridad estadounidense que registra quién ha encontrado y notificado el mayor número de vulnerabilidades en el software de grandes empresas. Xbow no es una persona, sino una herramienta de inteligencia artificial desarrollada por una empresa del mismo nombre.
Es la primera vez que el producto de IA de una empresa encabeza la tabla de clasificación de HackerOne en EE.UU. por reputación, que mide cuántas vulnerabilidades se han encontrado y la importancia de cada una, según el cofundador de HackerOne, Michiel Prins. Ahora, la startup, de un año de antigüedad, ha recaudado US$75 millones en una nueva ronda de financiación liderada por Altimeter Capital, con la participación de los inversores existentes Sequoia Capital y NFDG. Se negó a compartir su valoración.
Los investigadores de seguridad y los hackers llevan mucho tiempo automatizando partes de su trabajo y la IA ha aparecido como una herramienta clave en los últimos dos años, dijo Prins. Casi todos los hackers humanos aumentan ahora sus esfuerzos con IA y hay un puñado de empresas que intentan hacer lo que hace Xbow - Prins las llama empresas hackbot.
Xbow, fundada en enero de 2024 por el veterano de GitHub Oege de Moor, automatiza las pruebas de penetración, en las que los hackers tratan de encontrar fallos de seguridad e irrumpir en las redes corporativas. Las empresas suelen contratar o emplear a personas para hacer eso, denominadas equipos rojos, como forma de mejorar y proteger su red y su software. Pero los equipos rojos y las pruebas de penetración son costosos -18.000 dólares de media y algunas semanas de trabajo para una prueba en un solo sistema, dice de Moor- y por eso no suelen hacerse con la frecuencia suficiente. De Moor quiere vender su producto para permitir a los clientes pasar por el proceso de forma continua o al menos más a menudo, y antes de que los nuevos productos y sistemas entren en funcionamiento.
“Automatizando esto podemos cambiar completamente la ecuación”, dijo de Moor, que anteriormente supervisó Copilot de GitHub, propiedad de Microsoft Corp, para la generación de código de IA.
El reto es que los piratas informáticos bien financiados también están utilizando algoritmos de IA para automatizar los ataques y aumentar su frecuencia a un coste menor.
“Puede que haya un periodo de caos en el que no todo el mundo esté preparado para estos ataques potenciados por la IA”, dijo. Ahora, “podemos, por primera vez, tener una buena esperanza de que los defensores puedan encontrar y arreglar todas las vulnerabilidades antes de que un sistema salga”.
De Moor fundó Semmle, una startup para encontrar fallos de seguridad en el código que fue adquirida por GitHub en 2019. Microsoft había comprado GitHub el año anterior y nombró a Friedman consejero delegado. Quería hacer una serie de adquisiciones para añadir nuevos productos y talento empresarial.
Friedman y Apoorv Agrawal, socio de Altimeter Capital, dijeron que estaban buscando formas en que la IA pudiera impulsar la ciberseguridad cuando de Moor comenzó Xbow. “La ciberseguridad atraviesa una crisis de credibilidad. Hay muchas alertas”, dijo Agrawal. Lo que los responsables de la seguridad de la información “quieren es menos, no más, quieren simplicidad y menos alertas”, añadió. “¿Cómo hacer que esto funcione? La IA puede ayudar”.
HackerOne ofrece una plataforma de seguridad en la que las empresas que desean que su software sea examinado pueden ofrecer recompensas por encontrar fallos. Hay programas abiertos y otros a los que sólo se puede acceder por invitación. Xbow participa en ambos. Cuando una IA como la de Xbow encuentra una vulnerabilidad, HackerOne exige que un humano de la empresa la investigue para filtrar las alucinaciones de la IA. A continuación, Xbow se dirige a la empresa cuyo producto contiene el supuesto fallo. Si confirma el problema, Xbow gana puntos de reputación: los hackers obtienen más puntos cuanto más grave es el problema.
Como parte de ese trabajo, el producto Xbow ha encontrado y notificado con éxito fallos de seguridad a más de una docena de empresas muy conocidas, según de Moor. La lista incluye a Amazon.com Inc, Walt Disney Co, PayPal Holdings Inc y Sony Group Corp. De Moor declinó nombrar a los clientes actuales de Xbow, salvo para decir que son grandes empresas de servicios financieros y tecnología.
El equipo de Xbow incluye a veteranos de GitHub como Nico Waisman, que fue director de seguridad de la información en Lyft Inc. y ahora es jefe de seguridad de Xbow, y Albert Ziegler, jefe de IA de Xbow, que trabajó en GitHub y Semmle.
Aunque el algoritmo de Xbow hace bien en encontrar cosas como errores comunes de codificación y problemas de seguridad, hace mal en darse cuenta de cuándo un fallo es resultado de la lógica de diseño del producto. Por ejemplo, necesita que se le diga explícitamente al mirar un sitio web médico que las recetas deben mantenerse privadas, dijo de Moor. Y no entenderá que, si bien un médico o un farmacéutico necesita poder acceder a las recetas de varios pacientes, es un problema de seguridad que un paciente pueda ver las medicinas de otro.
En el futuro, Xbow también quiere añadir la capacidad de indicar a los clientes cómo corregir los fallos de seguridad y hacer sugerencias de codificación para esas correcciones.
La adopción generalizada también requerirá conseguir que los clientes cambien su forma de trabajar, dijo Agrawal de Altimeter.
“Siempre que hay una tecnología suficientemente avanzada, la adopción de última milla requiere un cambio de los flujos de trabajo”, dijo Agrawal. “Requiere un cambio de los comportamientos de las personas que han estado haciendo durante años, a veces décadas”.
Encontrará más artículos como éste en bloomberg.com
©2025 Bloomberg L.P.
