
Ying Zhang, profesora asistente en Wake Forest University, y sus antiguas directoras doctorales en Virginia Tech —la profesora asociada Na Meng y la profesora Danfeng Yao— desarrollaron un sistema basado en grandes modelos de lenguaje para generar automáticamente demostraciones de cómo un atacante real podría explotar vulnerabilidades conocidas en software. El objetivo del proyecto es que los desarrolladores vean el riesgo en concreto y lo corrijan antes de que lo descubran actores maliciosos, informó el portal de divulgación científica TechXplore.
El sistema produce lo que los investigadores denominan “proof-of-concept exploits”: secuencias paso a paso que muestran exactamente cómo se explota una falla. En las pruebas, el sistema generó esas demostraciones con un alto nivel de fiabilidad, un avance sobre un problema que durante años resistió soluciones automáticas.
PUBLICIDAD
El trabajo, presentado en Montreal, Canadá, en la ACM International Conference on the Foundations of Software Engineering, parte de una realidad que atraviesa el uso cotidiano de la tecnología: las vulnerabilidades del software suelen estar ocultas en interfaces de programación de aplicaciones —conocidas como APIs—, que conectan distintos programas y permiten el intercambio de datos cuando una persona usa una aplicación, compra en línea o interactúa con un servicio digital.
“Se puede ver una API como un canal de comunicación entre dos piezas de software”, explicó Zhang. “Si la API acepta entradas maliciosas o inesperadas sin realizar la validación adecuada y los controles de seguridad, los atacantes pueden aprovechar esas debilidades para activar vulnerabilidades, comprometer sistemas o llevar a cabo ciberataques exitosos”.
PUBLICIDAD

Por qué mostrar el ataque obliga a actuar
El equipo partió de un problema humano además de técnico: los desarrolladores suelen priorizar que el programa funcione y relegan la seguridad. “La mayor parte del tiempo, la seguridad es tratada como una ciudadana de segunda clase”, dijo Meng. “Los desarrolladores suelen priorizar la funcionalidad por encima de la seguridad, especialmente cuando los riesgos no son visibles de inmediato”.
Sobre esa brecha, el equipo desarrolló una herramienta basada en grandes modelos de lenguaje, la misma tecnología subyacente en sistemas como ChatGPT, para producir de forma automática pruebas prácticas de explotación. La lógica, según los investigadores, es que una advertencia abstracta puede ignorarse, mientras que una demostración concreta de cómo se vulnera un sistema obliga a reaccionar. “Si los desarrolladores necesitan una motivación fuerte, dicen: ‘Muéstrame la explotación’”, afirmó Zhang. “Entonces harán los cambios”.
PUBLICIDAD
La meta del proyecto, subrayó la investigadora, es defensiva: ayudar a que los equipos de software entiendan el riesgo y lo resuelvan antes de que lo descubran actores maliciosos. De acuerdo con el portal, OpenAI mostró interés en el trabajo, una primera señal de que la propuesta ya atrae atención fuera del ámbito estrictamente académico.

La investigación apunta a la cadena de suministro
Una segunda línea del trabajo se concentra en la cadena de suministro de software: la red de dependencias que conecta aplicaciones modernas construidas por capas con bibliotecas de terceros y código externo. En ese entorno, una falla profunda en un nivel puede propagarse hacia arriba y exponer sistemas cuyos desarrolladores ni siquiera saben que están en riesgo.
PUBLICIDAD
Para ese problema, el equipo desarrolló herramientas automáticas capaces de identificar qué APIs concretas dentro de un programa son vulnerables. Esa información suele estar ausente o incompleta, lo que deja a los desarrolladores sin una referencia clara sobre dónde concentrar sus esfuerzos de seguridad. “Es difícil para los desarrolladores realizar inspecciones de código o localizar vulnerabilidades sin esa información”, señaló Zhang. “Por eso tratamos de derivarla de manera automática”.
La precisión es el punto clave de esa línea de investigación. Saber que existe una falla en alguna parte del sistema ofrece mucho menos valor que saber exactamente dónde está y qué condiciones permitirían explotarla.
PUBLICIDAD
PUBLICIDAD
PUBLICIDAD
Últimas Noticias
Argentina vs. Inglaterra Pirlo TV, una de las consultas más populares que roba datos financieros
Usuarios buscando transmisiones gratuitas del Mundial 2026 caen en portales piratas que esconden diversos tipos de fraudes

Cómo pedir un robotaxi autónomo de Zoox: el taxi sin conductor de Amazon
El servicio requiere registro, método de pago y, en ocasiones, acceso mediante lista de espera
Estas son las seis formas de usar el @ en un teclado de computadora: combinaciones estrella
Revisar la configuración regional ayuda si los métodos habituales para arroba no funcionan

Qué tecnología como motor y cámaras 360° tiene hoy híbridos y eléctricos Vitara y Across
Entre enero y mayo de 2026, se matricularon 55.755 unidades de carros híbridos y eléctricos en Colombia, el doble que en el mismo periodo de 2025

Si borraste una foto por error, Google te ayuda a recuperarla con este truco
El sistema suele retener el contenido antes de eliminarlo para siempre en Google Fotos




