Una vulnerabilidad crítica revelada esta semana en Zcash vuelve a poner en el centro la relación entre la inteligencia artificial y la ciberseguridad. El equipo de desarrollo indicó que esta vulnerabilidad se encuentra en su piscina de privacidad Orchard y, teóricamente, permitiría a los atacantes emitir ZEC falsificados de forma ilimitada. Debido a la naturaleza privada de este mecanismo, actualmente no es posible confirmar, solo mediante criptografía, si la vulnerabilidad ha sido explotada en la práctica.
Este incidente ha generado mayor atención no solo por la gravedad de la vulnerabilidad, sino también porque el investigador de seguridad independiente Taylor Hornby utilizó Claude Opus 4.8 durante su análisis. A medida que modelos de IA más potentes ingresan al campo de la auditoría de código, la búsqueda de vulnerabilidades y las pruebas de seguridad, la velocidad con la que se descubren las vulnerabilidades podría seguir aumentando.
La vulnerabilidad de Zcash ha existido durante años
Según la divulgación de Shielded Labs, esta vulnerabilidad existía desde que Orchard se activó en mayo de 2022 hasta que se reparó de emergencia el 1 de junio de 2026. Si se explotara, un atacante podría falsificar una cantidad ilimitada de ZEC, y actualmente no se puede confirmar si tales activos falsificados ya han aparecido en la cadena.
Esta incertidumbre se transmitió rápidamente al mercado. El informe menciona que el precio de ZEC descendió significativamente a finales de esta semana, reflejando la preocupación de los inversores por la dificultad de auditar cadenas de privacidad y la exposición a riesgos históricos.
La IA está pasando de escribir código a buscar vulnerabilidades
Los modelos de IA tempranos se utilizaban principalmente como asistentes de programación para completar código, explicar lógica y diagnosticar errores. A medida que las capacidades de los modelos mejoraron, los investigadores comenzaron a utilizarlos para revisiones de código, auditorías de software e investigación de vulnerabilidades. Los expertos del sector consideran que la eficiencia de la IA para leer código complejo, identificar rutas anómalas y combinar superficies de ataque potenciales ya supera claramente la mayoría de los procesos manuales.
Danny Jenkins, cofundador y CEO de ThreatLocker, dijo que los sistemas de IA actuales ya están acelerando la detección de vulnerabilidades, y que nuevos modelos más potentes podrían amplificar aún más esta tendencia. Él considera que la IA también está reduciendo la barrera de entrada para la investigación de vulnerabilidades, permitiendo que más personas analicen código, busquen debilidades y desarrollen explotaciones.
Las empresas tecnológicas han utilizado la IA en la investigación de seguridad.
Esta tendencia no se limita al sector criptográfico. Esta semana, Anthropic amplió el uso de Project Glasswing, permitiendo que 150 empresas e instituciones accedan a Claude Mythos para identificar y corregir vulnerabilidades de software antes del lanzamiento más amplio del modelo.
Anteriormente, Mozilla reveló que los modelos de Anthropic ayudaron a Firefox a corregir cientos de vulnerabilidades. Microsoft también lanzó en mayo un sistema de descubrimiento de vulnerabilidades basado en agentes llamado MDASH, afirmando que ayudó a identificar vulnerabilidades previamente desconocidas de Windows. Los investigadores también utilizaron Mythos Preview para participar en la generación de muestras de explotación públicas dirigidas al chip M5 de Apple.
Los protocolos criptográficos enfrentan una presión más directa
Para proyectos de criptomoneda y DeFi, los riesgos son más directos. El código relevante suele ser de código abierto y alberga fondos reales en la cadena, lo que lo ha convertido durante mucho tiempo en un objetivo clave para atacantes e investigadores de seguridad. Con la mejora de la eficiencia del análisis de código gracias a la IA, la dificultad para escanear rápidamente protocolos de código abierto, identificar defectos y construir rutas de ataque está disminuyendo.
La reportaje cita datos que indican que, en los primeros cinco meses de 2026, los proyectos DeFi han sido robados por más de 840 millones de dólares, de los cuales solo en abril superaron los 600 millones de dólares, involucrando proyectos como KelpDAO y Drift Protocol. Al mismo tiempo, el llamado "vibe hacking" también está generando atención, en el que los atacantes utilizan agentes de codificación basados en IA para automatizar tareas como reconocimiento, robo de credenciales y desarrollo de malware.
Sin embargo, los expertos en seguridad también señalan que la IA no solo ayuda a los atacantes. Raz Niv, director técnico de Blockaid, afirma que el cambio más realista no es que la IA reemplace a los hackers, sino que amplifique sus capacidades, permitiendo que los atacantes enfoquen sus esfuerzos en componentes más complejos y deleguen tareas repetitivas a los modelos. Para los defensores, la asistencia de la IA en la monitorización y la simulación se está convirtiendo en una herramienta necesaria para que los equipos de seguridad sigan el ritmo de los ataques.