Vulnerabilidad en OpenBSD de 27 años revelada por la IA Claude Mythos

El 29 de abril de 2026 quedará marcado en los anales de la informática no solo como el día en que la arqueología digital alcanzó su madurez, sino como el momento en que la industria tecnológica comprendió que su infraestructura más “segura” era, en realidad, un castillo de naipes frente a la inteligencia artificial de frontera. La revelación de la vulnerabilidad en OpenBSD, un fallo que permaneció oculto durante 27 años en el sistema operativo más auditado y robusto del planeta, ha enviado ondas de choque a través de centros de datos y agencias de seguridad nacional, obligando a una reevaluación total de lo que consideramos “código confiable”.

Mythos: La IA que Anthropic se negó a liberar

Todo comenzó el 7 de abril de 2026, cuando Anthropic anunció la existencia de Claude Mythos Preview. A diferencia de sus predecesores, Mythos no fue diseñado para ser un asistente generalista. Se trata del primer modelo fundacional cuya capacidad de razonamiento lógico y ejecución de código es tan avanzada que la compañía tomó la decisión inédita de retenerlo del dominio público. La razón: sus “capacidades destructivas autónomas”.

Según el informe técnico de Anthropic, Mythos no solo entiende el código; entiende la semántica de los fallos. Mientras que los fuzzers tradicionales y las herramientas de análisis estático han fallado durante décadas al buscar errores lógicos complejos, Mythos es capaz de razonar sobre estados de memoria y condiciones de carrera (race conditions) con una intuición casi humana, pero a una escala sobrehumana. Esta capacidad se puso a prueba en el marco del “Project Glasswing”, una coalición defensiva que incluye a gigantes como Google, Microsoft, Apple y la Linux Foundation, destinada a limpiar el internet de fallos críticos antes de que actores malintencionados desarrollen herramientas similares.

El resultado de estas pruebas fue aterrador: Mythos identificó miles de fallos de día cero (zero-days) en prácticamente todos los navegadores modernos y sistemas operativos principales. Sin embargo, ninguno capturó la atención del mundo como la vulnerabilidad en OpenBSD, un hallazgo que desafía la reputación legendaria de Theo de Raadt y su equipo de auditores obsesivos.

La vulnerabilidad en OpenBSD: 27 años de silencio digital

OpenBSD es conocido por su lema: “Solo dos agujeros remotos en la instalación por defecto en un larguísimo tiempo”. Esa mística de invulnerabilidad se vio empañada el 29 de abril, cuando investigadores de la Universidad de Washington en San Luis y la CISA verificaron un fallo de severidad alta descubierto por Mythos. Lo más inquietante es que el código vulnerable fue introducido en 1999.

La vulnerabilidad en OpenBSD reside en la implementación del protocolo TCP SACK (Selective Acknowledgement), específicamente bajo el estándar RFC 2018. El error es de una sutileza técnica extrema: un desbordamiento de enteros (integer overflow) en el manejo de las “ventanas” de recepción de paquetes. Mythos descubrió que el valor sack.start no era validado correctamente contra el límite inferior de la ventana de envío.

Al manipular cuidadosamente dos paquetes de red, un atacante remoto podría causar que las macros SEQ_LT y SEQ_GT —utilizadas para comparar secuencias de bytes— fallaran debido a un desbordamiento cuando los valores se encuentran a una distancia de 2^31. Esto lleva a una desreferencia de puntero NULL cuando el kernel intenta añadir un nuevo “hueco” (hole) en la lista enlazada que rastrea el estado de los paquetes. En términos sencillos: dos paquetes maliciosos pueden derribar cualquier servidor OpenBSD en el mundo, sin necesidad de autenticación ni acceso previo.

Lo que hace que este hallazgo sea un hito es el costo. Mientras que un equipo de investigadores humanos de élite podría haber tardado meses en encontrar un fallo tan recóndito, Mythos lo logró en una sola ejecución que costó menos de 50 dólares en capacidad de cómputo. Este diferencial económico cambia las reglas del juego de la ciberseguridad para siempre.

Anatomía del desastre: Del código legado a la explotación

El análisis de la CISA detalla que el fallo sobrevivió a casi tres décadas de auditorías manuales y herramientas de seguridad automatizadas por una razón simple: el camino de ejecución requerido para activar el error es contraintuitivo para la lógica humana.

• El primer error: La falta de validación de límites en el inicio del rango reconocido por SACK.
• El segundo error: La dependencia en macros de comparación que no contemplaban el comportamiento de desbordamiento en arquitecturas modernas de 64 bits de la misma forma que en las de 32 bits originales de 1999.
• El resultado: Una condición de “estado imposible” que libera el único nodo en una lista de control y luego intenta escribir sobre él.

Este descubrimiento ha forzado a los desarrolladores de OpenBSD a lanzar el parche errata 7.8 de manera urgente, pero el daño reputacional al concepto de “seguridad por auditoría humana” ya es permanente.

El “Tsunami de Parches” y el fin de la seguridad tradicional

Más allá de la vulnerabilidad en OpenBSD, la auditoría masiva de Mythos ha revelado fallos sistémicos en el tejido mismo del software moderno. Se reportaron más de 1,000 vulnerabilidades críticas, incluyendo:

1. Un fallo de ejecución de código remoto (RCE) de 17 años en el servidor NFS de FreeBSD (CVE-2026-4747), que permite obtener acceso de root de forma unautenticada.
2. Una vulnerabilidad de 16 años en el códec H.264 de FFmpeg, la librería que procesa casi todo el video en internet.
3. Exploits encadenados que logran escapar de los sandboxes de Chrome y Safari, utilizando fallos en el motor JavaScript V8 y WebKit.

Los expertos ahora hablan de un “tsunami de parches”. Las empresas de tecnología se encuentran en una carrera desesperada para corregir código legado que se consideraba “estable” simplemente por su antigüedad. El viejo axioma de que “con suficientes ojos, todos los errores son superficiales” (Ley de Linus) ha sido refutado por la IA: los ojos humanos, simplemente, no pueden ver a la velocidad ni con la profundidad de un modelo como Mythos.

CISA ha emitido una directiva de emergencia instando a las agencias gubernamentales a acelerar sus ciclos de actualización. El problema es que, mientras la IA puede encontrar fallos en minutos, el ciclo promedio de parcheo en las organizaciones sigue siendo de 70 días. En 2026, esa ventana de exposición es un suicidio digital.

La ironía del “Hacker Guard” y el acceso no autorizado

A pesar de que Anthropic mantuvo a Mythos bajo llave, la naturaleza humana demostró ser el eslabón más débil, incluso en la era de la superinteligencia. A finales de abril, un grupo de entusiastas en un canal privado de Discord logró lo que Mythos hace con el código: encontrar una vulnerabilidad lógica en el sistema de distribución.

Utilizando una técnica de “guessing” de URLs basada en las convenciones de nomenclatura internas de un proveedor externo de Anthropic, estos usuarios ganaron acceso no autorizado al entorno de pruebas de Mythos. No necesitaron un exploit de desbordamiento de búfer ni una cadena de ROP (Return-Oriented Programming); solo necesitaron adivinar el formato de una dirección web.

Este incidente, apodado irónicamente como el “Hacker Guard”, resalta una paradoja persistente: podemos construir una IA capaz de detectar una vulnerabilidad en OpenBSD de hace 27 años, pero no podemos evitar que un humano nombre un archivo de forma predecible. Aunque Anthropic aseguró que el acceso fue limitado y no comprometió sus sistemas centrales, el hecho de que la IA más peligrosa del mundo fuera “hackeada” por una simple convención de nombres es una cura de humildad para toda la industria.

Hacia una defensa a velocidad de máquina

El descubrimiento de la vulnerabilidad en OpenBSD marca el fin de una era. Ya no podemos confiar en la madurez del software como garantía de seguridad. Si un fallo puede esconderse durante 27 años en un proyecto tan riguroso como OpenBSD, debemos asumir que toda nuestra infraestructura crítica es vulnerable.

La solución que propone Project Glasswing es la “inmunidad automatizada”: utilizar modelos como Mythos para auditar proactivamente cada línea de código abierto y cerrado, generando parches de forma autónoma antes de que los atacantes puedan explotar las debilidades. Sin embargo, esto plantea un dilema ético y de seguridad: ¿qué sucede cuando los actores de estados-nación o grupos criminales desarrollen su propia versión de Mythos?

Estamos entrando en un periodo de “destrucción creativa” en la ciberseguridad. La velocidad de descubrimiento ha superado la capacidad humana de respuesta. En este nuevo panorama, la resiliencia no vendrá de la perfección del código —que ahora sabemos que es inexistente— sino de la capacidad de nuestras propias defensas basadas en IA para detectar, contener y sanar sistemas en milisegundos. El mito de la seguridad absoluta ha muerto; larga vida a la auditoría perpetua a velocidad de máquina.