Un sistema autónomo de inteligencia artificial identificó las 12 vulnerabilidades zero-day anunciadas por OpenSSL en su actualización de seguridad del 27 de enero de 2026, incluido un fallo crítico de 27 años de antigüedad que sobrevivió a décadas de auditorías humanas.
La empresa de ciberseguridad AISLE, responsable del descubrimiento, demostró que la IA puede detectar fallos de seguridad en uno de los códigos más escrutinados del planeta: la biblioteca criptográfica que protege gran parte del tráfico cifrado de Internet.
Los hallazgos incluyen una vulnerabilidad de severidad ALTA con potencial de ejecución remota de código (CVE-2025-15467), una de severidad MODERADA y 10 clasificadas como BAJAS. Todas fueron descubiertas mediante análisis automatizado de IA y posteriormente validadas por investigadores humanos de AISLE.
La más antigua, CVE-2026-22796, es un error de confusión de tipos en la verificación de firmas PKCS#7 que existía en el código desde 1998, anterior incluso a la creación del proyecto OpenSSL como fork de SSLeay.
El bug de 27 años que nadie vio
CVE-2026-22796 representa un caso extremo de vulnerabilidad persistente. Cuando OpenSSL procesa datos firmados digitalmente, el código lee un valor sin verificar qué tipo de dato es realmente. Si se le alimenta con datos malformados, el código desreferencia un puntero inválido, provocando una denegación de servicio por crash.
“Este bug ya estaba en ese código. Sobrevivió al fork. Sobrevivió a 27 años de desarrollo, auditorías e investigación de seguridad. Se necesitó una IA para encontrarlo”, señala un análisis técnico publicado por Hacking Passion.
Otras tres vulnerabilidades de esta publicación también datan de 1998-2000, lo que significa que errores de un cuarto de siglo permanecieron ocultos en la biblioteca criptográfica más revisada del planeta.
Descubrimiento masivo mediante IA
AISLE comenzó su análisis sistemático del código de OpenSSL en agosto de 2025 utilizando su sistema de razonamiento nativo de IA. Los 12 fallos fueron reportados mediante canales de divulgación responsable y confirmados por los mantenedores de OpenSSL, quienes asignaron identificadores CVE y desarrollaron parches para siete ramas de lanzamiento.
“Estos descubrimientos subrayan el desafío más amplio que enfrenta el ecosistema de software de código abierto: a medida que crece la complejidad del software y se expanden las superficies de ataque, incluso bases de código maduras y exhaustivamente revisadas pueden albergar fallas de seguridad”, declaró Stanislav Fort, cofundador y científico jefe de AISLE.
Este evento marca la primera demostración a gran escala de ciberseguridad basada en IA que identifica múltiples vulnerabilidades críticas en infraestructura global.