Los modelos de IA ya no solo escriben código: también encuentran fallos en el que ya existe. Lech Sandecki, de Canonical, publicó el 16 de junio de 2026 un artículo en el blog de Ubuntu donde explica cómo está cambiando esto la seguridad y qué piensa hacer la empresa al respecto. El título, “Beyond Mythos”, hace referencia a Mythos, un modelo de frontera que aparece citado junto a GPT-5.5 y modelos de pesos abiertos como ejemplos de herramientas que están acelerando el descubrimiento de vulnerabilidades.
La idea de fondo es sencilla y algo incómoda. Durante años, muchos fallos de seguridad sobrevivieron a la revisión humana porque revisar código a mano tiene límites. Ahora la IA está sacando a la luz lo que Sandecki llama “N-days” y errores de lógica heredados que llevaban tiempo dormidos en bases de código antiguas. El post menciona también Project Glasswing, una iniciativa de seguridad en la que Canonical aclara que no participa de forma directa.
Qué cambia para Ubuntu
Si la IA encuentra fallos más rápido, la respuesta tiene que ser igual de rápida. Canonical dice que prepara, prueba y publica las actualizaciones de seguridad más críticas en 24 horas de media. Ese ritmo es el que sostiene buena parte del argumento: de poco sirve descubrir un fallo en horas si el parche tarda semanas en llegar.
La estrategia descansa en una arquitectura de defensa en profundidad y en la adhesión estricta a la Divulgación Coordinada de Vulnerabilidades (CVD), el proceso por el que quien encuentra un fallo lo comunica de forma reservada para dar tiempo a corregirlo antes de hacerlo público. Un punto que Sandecki recalca: Canonical no prioriza las correcciones por la puntuación CVSS en bruto. Lo que importa es el impacto real de la amenaza, no un número. Un CVSS alto sobre un componente que casi nadie expone puede esperar; un fallo modesto en algo que está en todas partes, no.
Para organizar el trabajo, el artículo agrupa los paquetes por niveles. En la base crítica están el kernel, glibc, OpenSSL, systemd, sudo, PAM y los runtimes de contenedores. En el nivel de infraestructura y orquestación, snapd, AppArmor, cloud-init, LXD, MAAS, Juju y MicroK8s. Son los componentes que, si caen, arrastran a todo lo demás.
Las herramientas que reducen el daño
Parchear rápido es una parte. La otra es contener el código que aún no se ha parcheado. Aquí entran AppArmor, que pone límites a nivel de kernel, y LXD, que aísla cargas en contenedores nativos, además del confinamiento de los snaps. La lógica es que, aunque un fallo exista, su radio de acción quede acotado.
Canonical también apuesta por los lenguajes seguros en memoria. El artículo menciona el soporte de Rust en sus kernels y anima a la comunidad a adoptarlo, partiendo de que una gran parte de las vulnerabilidades graves vienen de errores de gestión de memoria que Rust evita por diseño.
Cuando un fallo afecta al kernel y reiniciar no es opción, está Kernel Livepatch, que aplica correcciones permanentes en memoria sin reinicio. Y para los sistemas que necesitan vivir mucho tiempo, Ubuntu Pro ofrece hasta 15 años de mantenimiento de seguridad, algo que cobra sentido cuando una máquina no se puede reinstalar cada dos años.
Si quieres ver cómo encaja esto con el resto de novedades recientes de la distribución, tienes más contexto en la ficha de Ubuntu.
Fuente
Artículo original de Lech Sandecki en el blog de Canonical: Beyond Mythos: responding to a new threat landscape. Contenido y datos atribuidos a Canonical.