Por: Allan Torres
Recientemente, el mundo tecnológico ha sido sacudido por demostraciones de modelos de inteligencia artificial capaces de encontrar y explotar vulnerabilidades latentes en ambientes controlados —unas que no habían sido detectadas por seres humanos en hasta 27 años. No se trata de generar alarmismo, pero considero necesario dimensionar la seriedad del asunto para poder evitar y mitigar lo que puede estar por venir.
El tema de la ciberseguridad ha afectado a gobiernos e instituciones públicas alrededor del mundo, y con la revolución de la IA, esta tendencia no solo continúa: se acelera.
Para entender la magnitud del problema, hay que empezar por Mythos. Mythos es un modelo de inteligencia artificial experimental que, durante pruebas controladas, logró identificar vulnerabilidades profundas en sistemas modernos: fallos que habían pasado desapercibidos durante décadas, incluso para equipos de seguridad de élite. No atacó sistemas reales, pero sí demostró algo que ha sido un secreto a voces en la industria: un modelo de lenguaje (LLM) puede barrer un sistema completo y detectar bugs, backdoors y vulnerabilidades que podrían tomarle décadas a cualquier grupo especializado de cibercriminales.
Lo relevante no es solo qué encontró, sino cómo. Basados en los reportes de Claude —la empresa detrás de Mythos— el agente de IA no recibió instrucciones directas sobre qué hacer o qué buscar. Mythos fue liberado en un entorno de prueba y operó de forma autónoma: analizó código, identificó patrones, reconoció debilidades y encadenó vulnerabilidades sin guía humana. Si algo puede tranquilizar al público, es que Claude ha confirmado que no comercializará Mythos de forma abierta, sino que lo reservará exclusivamente para identificar debilidades (whitehacking) en empresas consolidadas como Microsoft, Meta, Alphabet (Google), entre otras.
Pero aquí empieza lo preocupante. Poco después de que Claude publicara los informes sobre Mythos, otros intentaron replicar la hazaña. El caso más famoso fue el de DeepSeek. DeepSeek, aunque no de forma autónoma, pudo “replicar” los resultados de Mythos, pero solo después de ser dirigido paso a paso. No descubrió nada por sí mismo, pero sí demostró algo inquietante: si un grupo malicioso tiene intención y sabe qué buscar, un modelo barato puede acelerar el proceso y convertir un ataque de millones de dólares en uno que cuesta entre 10 y 200 dólares.
Los Gobiernos no saben por donde les viene:
No sorprende a nadie que las instituciones públicas siempre operan de forma deficiente en comparación con las empresas privadas, y el campo de la ciberseguridad no es la excepción. En otras ocasiones he hablado de cómo la República Dominicana ha enfrentado ataques cibernéticos debido a su pobre infraestructura digital pública, y cómo el exceso de opacidad a la hora de comunicar al público hace que estos problemas sean más preocupantes de lo que ya son.
Sistemas desactualizados, falta de coordinación entre instituciones, baja inversión en IA y ciberseguridad, fragmentación burocrática, falta de transparencia, ausencia de una cultura de responsabilidad… todos estos factores ponen a las instituciones dominicanas en grave peligro, y por ende a sus ciudadanos.
Y a riesgo de caer en el refrán castellano de “mal de muchos, consuelo de tontos”, aunque he detallado de forma vehemente los problemas dominicanos, esto no es algo que solo afecte a un Estado en vías de desarrollo. Letra por letra, lo que he escrito se le puede aplicar a una economía de la OCDE como lo es la del Reino de España.
Y si así están los gobiernos, el sector privado tampoco está preparado
Si el sector público dominicano ya opera en desventaja frente a estas nuevas amenazas, el sector privado no está en una posición mucho mejor. La mayoría de las empresas dominicanas —desde comercios medianos hasta conglomerados importantes— dependen de sistemas heredados, proveedores externos y una cultura empresarial que históricamente ha visto la ciberseguridad como un gasto, no como una inversión estratégica.
El sector financiero dominicano es particularmente vulnerable. Aunque los grandes bancos cuentan con mejores recursos, auditorías constantes y equipos especializados, el ecosistema financiero del país no está compuesto solo por ellos. Una parte significativa de la población depende de cooperativas, asociaciones de ahorro y préstamo, bancos pequeños y entidades regionales que no tienen ni el presupuesto ni la infraestructura para enfrentar amenazas de este calibre. Estas instituciones suelen operar con sistemas contables y bancarios que llevan más de una década sin una modernización profunda, servidores sin redundancia real, respaldos conectados a la misma red, personal técnico mínimo y procesos manuales que dependen de un solo punto de fallo. En un escenario acelerado por IA, esto es una receta para el desastre. Un modelo accesible, capaz de analizar sistemas y acelerar el trabajo de un atacante, puede convertir una vulnerabilidad menor en un colapso total. Basta un error de configuración, un servidor olvidado o un sistema sin parches para que una amenaza dormida se replique en todos los respaldos y, cuando se active, paralice por completo la operación de la entidad. En zonas rurales y semiurbanas, donde las cooperativas son la columna vertebral financiera, un ataque así puede afectar a miles de familias y negocios en cuestión de horas. Y lo más preocupante es que estas instituciones no cuentan con la capacidad de recuperación que sí tienen los grandes bancos; un incidente grave puede significar el cierre definitivo de una cooperativa o un banco regional, dejando comunidades enteras sin acceso a servicios financieros básicos. El sector de las telecomunicaciones tampoco está exento. Las telefónicas dominicanas manejan datos personales, infraestructura de internet, redes móviles, sistemas de facturación y plataformas de autenticación que sirven de base para servicios bancarios, gubernamentales y comerciales. Un ataque que comprometa cualquiera de estos sistemas puede generar interrupciones masivas, filtración de información sensible, fallos en la autenticación de servicios críticos y un impacto directo en el comercio electrónico y los pagos digitales. En un país donde gran parte de la actividad económica depende de la conectividad, una caída prolongada de una telefónica puede paralizar desde trámites gubernamentales hasta transacciones bancarias y operaciones empresariales.
Al observar todo este panorama, queda claro que el mundo ha entrado en una era en la que la tecnología avanza más rápido que la burocracia, más rápido que la capacidad de los gobiernos para reaccionar y mucho más rápido que las estructuras que sostienen a nuestras instituciones. Esa brecha no es teórica ni lejana: golpea de lleno a la República Dominicana, donde tanto el sector público como el privado siguen operando con lógicas del siglo pasado frente a amenazas del siglo XXI. La inteligencia artificial no espera por comités, licitaciones ni memorandos; actúa en segundos, mientras nuestras instituciones siguen respondiendo en meses o años. Si no asumimos esta realidad con la urgencia que merece, no será la tecnología la que nos ponga en riesgo, sino nuestra incapacidad de adaptarnos a su ritmo. El desafío ya no es evitar lo inevitable, sino prepararnos para resistirlo.
