El Instituto de Seguridad de la IA del Reino Unido evalúa las capacidades ofensivas de GPT-5.5 Cyber en 95 pruebas.
El modelo de ciberseguridad de OpenAI, GPT-5.5 Cyber, tiene capacidades similares a las de Claude Mythos de Anthropic para atacar sistemas de manera autónoma, según han demostrado las pruebas realizadas por el Instituto de Seguridad de la IA (AISI) del gobierno del Reino Unido. El organismo evaluó al modelo en 95 tareas de ciberseguridad en formato atrapa la bandera, divididas en cuatro niveles de dificultad.
➡️ Te puede interesar: Máster Profesional en Ciberseguridad, Ciberinteligencia y Ciberdefensa
GPT-5.5 Cyber es una variante del modelo GPT-5.5 de OpenAI diseñada específicamente para proteger empresas e infraestructuras. Junto a Claude Mythos Preview de Anthropic, forma parte de una nueva tendencia de modelos de inteligencia artificial capaces de completar simulaciones de ataque a redes corporativas que a un humano le llevarían «alrededor de 20 horas».
Resultados de las evaluaciones del AISI
En las tareas de nivel Expert, las más avanzadas de la evaluación, GPT-5.5 Cyber superó a Claude Mythos con una tasa de aprobación media del 71,4% frente al 68,6% del modelo de Anthropic. Estas pruebas se centran en la explotación autónoma de vulnerabilidades y requieren habilidades como la ingeniería inversa de binarios, el desarrollo de exploits para desbordamientos de pila y la recuperación de claves mediante ataques de oráculo de relleno.
➡️ Te puede interesar: Curso de Prevención y Gestión de Ciberriesgos y Ciberataques
Sin embargo, en la simulación The Last Ones —un ataque de 32 pasos sobre una red corporativa que abarca cuatro subredes y aproximadamente veinte hosts— Claude Mythos completó tres de diez intentos frente a los dos de GPT-5.5 Cyber. En cuanto a Cooling Tower, una simulación de ataque a un sistema de control industrial de 15 horas para un experto humano, GPT-5.5 Cyber no logró resolverla. No obstante, el AISI precisó que «ningún modelo lo ha logrado hasta ahora».
Limitaciones y advertencias del organismo
Las pruebas se realizaron en entornos controlados sin medidas de defensa activas, por lo que el AISI advierte que no puede afirmar que «GPT-5.5 tendría éxito contra un objetivo bien protegido». Esta limitación metodológica matiza el alcance real de los resultados obtenidos.
➡️ Te puede interesar: Curso de Director de Ciberseguridad
El AISI también advirtió sobre una tendencia de fondo: «GPT-5.5 demuestra que la rápida mejora en tareas cibernéticas podría ser parte de una tendencia más general. Si la capacidad ciberofensiva surge como consecuencia de mejoras más generales en la autonomía, el razonamiento y la programación a largo plazo, cabe esperar nuevos incrementos en la capacidad cibernética de los modelos en un futuro próximo, posiblemente de forma consecutiva». Anteriormente, el mismo organismo ya había evaluado a Claude Mythos y concluyó que ese modelo tiene capacidad para atacar de manera autónoma a empresas pequeñas con protecciones débiles.
