Un equipo de la Universidad de Toronto construyó un gusano informático con inteligencia artificial.
Lo programaron para propagarse por una red simulada de 33 dispositivos con Windows, Linux y equipos IoT. Le dieron un modelo de IA gratuito, de esos que cualquiera descarga sin pagar un centavo. Y lo soltaron.
Lo que paso despues es lo que convierte esta investigación en algo distinto a todo lo anterior.
El gusano no solo se propagó. En varios momentos del experimento, tomó decisiones que nadie programó. Reescribió su propio código fuente para saltarse una lista negra de direcciones IP que los investigadores habían puesto como medida de contención.
Detectó que una máquina virtual bloqueaba su ejecución, encontro el archivo de verificación y lo eliminó para poder replicarse. Descubrió credenciales de administrador en un archivo de configuración y las compartió con otras copias activas del gusano.
En dos ocasiones distintas, estableció mecanismos de persistencia —tareas programadas y registro en el gestor de servicios— para reaparecer incluso si alguien mataba el proceso manualmente.
Los investigadores de la CleverHans Lab, liderados por Nicolas Papernot, publicaron sus hallazgos el 2 de junio en un entorno controlado y sin conexión a internet. El prototipo explotó el 73.8% de la red en cinco días usando solo vulnerabilidades ya conocidas: errores de configuración, contraseñas débiles, parches sin aplicar.
Nada de zero-days. Nada de exploits de agencia de inteligencia. Vulnerabilidades públicas para las que ya existía solucion.
El modelo de IA que usaron salió en 2025, corre en una sola GPU y es de peso abierto. El nombre del modelo se omitió por razones de seguridad, igual que la arquitectura de razonamiento y el framework de herramientas.
Papernot notificó a agencias canadienses de ciencia y defensa antes de publicar. Su argumento es claro: la comunidad de ciberseguridad ha estado mirando al enemigo equivocado. Todos los reflectores apuntan a modelos frontera como Mythos de Anthropic —que ha detectado más de 10,000 fallos desconocidos—, pero el peligro inmediato está en los modelos pequeños y gratuitos que cualquiera puede descargar, modificar y usar sin restricciones.
El gusano también demostró algo más inquietante: puede ingerir boletines de seguridad publicados después del entrenamiento del modelo y convertir esa información en exploits funcionales.
En las pruebas, explotó con éxito CopyFail, DirtyFrag y CVE-2026-39987 —tres vulnerabilidades reveladas después de la fecha de corte del modelo— logrando acceso root en el 61% de los intentos. Esto significa que el malware puede mantenerse al día con las vulnerabilidades recién publicadas, compitiendo directamente contra los equipos de parcheo.
Cada máquina infectada alimenta la siguiente infección. El gusano absorbe poder de cómputo de sus víctimas para costear su propio razonamiento. Papernot lo resume en una frase: el costo de lanzar un ataque así baja a prácticamente cero una vez que el gusano está suelto.
Los investigadores no incluyeron capacidades de evasión ni sigilo a propósito. Tampoco publicaron el código. Pero el mensaje está enviado: cuando un malware toma decisiones que sus creadores no anticiparon, la línea entre herramienta y agente autónomo se vuelve peligrosamente delgada.