Ahora mismo estoy en Buenos Aires en la Cumbre de Seguridad DeFi, donde participé en un panel sobre IA y seguridad Web3 junto con @blocksec (EigenLabs), @ChanniGreenwall (Olympix), @jack__sanford (Sherlock) y @nicowaisman (Xbow). Lo que no hace mucho parecía un "futuro lejano" ahora se está debatiendo como una hoja de ruta muy concreta para los próximos años: tanto las tecnologías defensivas como ofensivas impulsadas por IA van a avanzar rápidamente, especialmente en la detección de vulnerabilidades. Todo lo que hacen hoy en día los auditores manualmente y a través de un mosaico de herramientas se está integrando gradualmente en pilas automatizadas más potentes y accesibles. Es importante mirar la realidad con sobriedad: la esperanza de que podamos "vallar" de forma fiable los modelos para evitar un uso indeseable es ilusoria. Cualquier modelo suficientemente capaz es, por definición, de doble uso. Los proveedores añadirán restricciones, filtros, políticas, pero eso no es una barrera fundamental. Cualquiera con motivación y recursos creará un modelo autoalojado, montará su propia pila de agentes y usará las mismas tecnologías sin preocuparse por los Términos de Servicio. No se puede diseñar seguridad asumiendo que los atacantes no tendrán acceso a estas herramientas. La economía de los ataques tampoco está nada clara. A corto plazo, los ataques serán más baratos: más automatización, más "bombardeo de área amplia", exploración más exhaustiva de estados y configuraciones sin que los humanos estén en juego. Pero a largo plazo, a medida que las prácticas y herramientas defensivas se pongan al día, los ataques exitosos serán más costosos: la cobertura mejorará, los errores triviales desaparecerán y las brechas efectivas requerirán infraestructura, preparación y experiencia serias. Esto desplazará la balanza hacia menos incidentes, pero los que ocurran serán mucho más complejos y costosos. Mi principal conclusión: tendremos que revisar todo el ciclo de vida de la seguridad, no solo las auditorías de "mejorar cosméticamente". Cómo describimos y entendemos los perfiles de riesgo, cómo evolucionan los modelos de amenazas con la IA en el panorama, cómo estructuramos el desarrollo, las revisiones, las pruebas, el despliegue, la monitorización en cadena, la respuesta a incidentes y las autopsias: todo esto tendrá que ser repensado. Las auditorías tradicionales seguirán siendo una pieza clave, pero ya no pueden ser el único centro de gravedad. La realidad es que la IA amplifica simétricamente tanto a defensores como a atacantes — y la seguridad de Web3 tendrá que adaptar todo su modelo operativo a esta carrera armamentística asimétrica.