Pascua frente al ordenador y 300 informes al año: un programador sueco mantiene Internet en funcionamiento.
Desarrolladores de código abierto afrontan un aumento récord de reportes de errores atribuidos a redes neuronales
Mientras millones de personas simplemente descargan archivos o abren sitios, un desarrollador en Suecia por las noches gestiona una avalancha de informes sobre vulnerabilidades. Se trata de Daniel Stenberg, el mantenedor principal del proyecto cURL, sin el cual casi ningún sistema moderno funciona.
En 2025 Stenberg recibió 181 informes de errores y vulnerabilidades. Casi la misma cantidad que el equipo había recibido en los dos años anteriores juntos. Hasta abril de 2026 ya se habían acumulado 87 reportes, y con la dinámica actual el año podría terminar con aproximadamente 325 informes. Para comparar, el equipo recibió ese número de informes en cuatro años: de 2020 a 2023.
Sistemas generativos como ChatGPT y Claude han aprendido a encontrar errores en el código e incluso a redactar informes automáticamente. Rellenar un formulario se ha convertido en cuestión de unos minutos. Como resultado, la carga sobre los equipos pequeños aumentó de forma abrupta y sin aviso. El proyecto cURL cuenta con solo siete personas, y solo Stenberg trabaja en él a tiempo completo. Él mismo investiga y corrige la mayoría de los problemas. A veces la carga se vuelve excesiva. Según él, la situación solo empeorará a medida que estas herramientas se desarrollen.
En este contexto llamó la atención una nueva creación de la empresa Anthropic: el modelo Mythos. Según la compañía, el sistema es capaz de encontrar y explotar de forma autónoma las llamadas vulnerabilidades de día cero —errores que nadie conoce todavía— en cualquier sistema operativo y navegador popular. En el Departamento del Tesoro de EE. UU. y entre expertos en seguridad ya discuten si Internet resistirá una tecnología así.
Anthropic decidió no lanzar Mythos al público. El acceso lo recibieron solo alrededor de 40 organizaciones, incluidas CrowdStrike y la Linux Foundation. Paralelamente, la compañía dedicó 4 millones de dólares para apoyar a desarrolladores de código abierto. Casi al mismo tiempo, OpenAI presentó su propio modelo para la búsqueda de vulnerabilidades: GPT-5.4-Cyber.
La historia de Mythos puso de relieve un problema antiguo. Gran parte de la infraestructura digital depende del código abierto, atendido por equipos pequeños con recursos limitados. Sus capacidades no dan abasto frente al creciente flujo de tareas.
El código de cURL ya suma casi 600 000 líneas. Cualquier cambio puede romper otra parte del programa. Mantener un proyecto así requiere atención constante al detalle y comprensión de todas las interrelaciones. Los errores en ese tipo de código a veces provocan consecuencias graves. En 2014 la vulnerabilidad Heartbleed en la biblioteca OpenSSL afectó a miles de sitios y permaneció sin ser detectada durante más de dos años.
Con la aparición de sistemas generativos, la situación cambió radicalmente. Si antes una persona atenta podía detectar una vulnerabilidad, ahora los algoritmos escanean el código masivamente. Desde finales de 2025 los agentes automáticos no solo encuentran errores, sino que también envían los informes por sí mismos. En los últimos seis meses, con su ayuda, se corrigieron más de 200 problemas en cURL.
La paradoja es que hay más "ojos" pero no más manos. Las personas siguen siendo el último eslabón que verifica y corrige los errores. Por eso el cuello de botella se estrecha cada vez más.
Otros desarrolladores enfrentan dificultades similares. En el proyecto HAProxy calificaron el flujo de informes de aterrador y agotador. En SUSE hablan de una cantidad "loca" de mensajes. Algunos comparan lo que sucede con un ataque DDoS, solo que dirigido no a los servidores sino a los desarrolladores.
Hay esperanza de que Mythos ayude a lidiar con la carga y comience no solo a encontrar, sino también a corregir problemas. Los primeros comentarios son alentadores. En la Linux Foundation ya están probando el sistema, y el mantenedor del núcleo Linux, Greg Kroah-Hartman, señaló que en febrero "todo cambió": los algoritmos empezaron a encontrar errores reales a gran escala.
Mientras tanto la carga sigue aumentando. Incluso los programas de recompensas por vulnerabilidades encontradas no soportan el flujo de informes. En marzo Google suspendió los pagos por errores en código abierto, y la iniciativa Internet Bug Bounty dejó temporalmente de aceptar nuevos reportes. Si sistemas similares llegan no solo a desarrolladores sino también a actores maliciosos, las consecuencias pueden ser graves. Según la estimación del Instituto Británico de Seguridad de la Inteligencia Artificial, Mythos ya opera más rápido que las personas en la búsqueda de vulnerabilidades.
Stenberg siente las consecuencias a diario. Un domingo de Pascua recibió cinco informes y los analizó hasta altas horas de la noche. Para arreglar un problema se necesitan alrededor de dos horas; los casos complejos requieren más tiempo. Él evalúa la situación sin ilusiones. En su forma actual, la carga no parece sostenible.