Estoy en Buenos Aires ahora mismo en la Cumbre de Seguridad DeFi, donde me uní a un panel sobre seguridad de IA y Web3 junto con @blocksec (EigenLabs), @ChanniGreenwall (Olympix), @jack__sanford (Sherlock) y @nicowaisman (Xbow). Lo que no hace mucho tiempo parecía un "futuro distante" ahora se discute como una hoja de ruta muy concreta para los próximos años: tanto las tecnologías defensivas como las ofensivas impulsadas por IA van a avanzar rápidamente, especialmente en el descubrimiento de vulnerabilidades. Todo lo que los auditores hacen hoy en día manualmente y a través de un mosaico de herramientas se está agrupando gradualmente en pilas automatizadas más poderosas y accesibles. Es importante mirar la realidad con sobriedad: la esperanza de que podamos "aislar" modelos de usos indeseables es ilusoria. Cualquier modelo suficientemente capaz es, por definición, de doble uso. Los proveedores añadirán restricciones, filtros, políticas — pero eso no es una barrera fundamental. Cualquiera con motivación y recursos podrá poner en marcha un modelo autoalojado, ensamblar su propia pila agente y utilizar las mismas tecnologías sin preocuparse por los Términos de Servicio. No se puede diseñar seguridad bajo la suposición de que los atacantes no tendrán acceso a estas herramientas. La economía de los ataques también está lejos de ser sencilla. A corto plazo, los ataques se volverán más baratos: más automatización, más "bombardeo de área amplia", más exploración exhaustiva de estados y configuraciones sin humanos en el circuito. Pero a largo plazo, a medida que las prácticas y herramientas defensivas se pongan al día, los ataques exitosos se volverán más caros: la cobertura mejorará, los errores triviales desaparecerán y las brechas efectivas requerirán infraestructura, preparación y experiencia serias. Esto cambiará el equilibrio hacia menos incidentes — pero aquellos que ocurran serán mucho más complejos y costosos. Mi principal conclusión: tendremos que revisar todo el ciclo de vida de la seguridad, no solo "mejorar cosméticamente" las auditorías. Cómo describimos y entendemos los perfiles de riesgo, cómo evolucionan los modelos de amenaza con la IA en la imagen, cómo estructuramos el desarrollo, las revisiones, las pruebas, el despliegue, la monitorización en cadena, la respuesta a incidentes y los post-mortems — todo esto necesitará ser repensado. Las auditorías tradicionales seguirán siendo una pieza clave, pero ya no pueden ser el único centro de gravedad. La realidad es que la IA amplifica simétricamente tanto a defensores como a atacantes — y la seguridad de Web3 tendrá que adaptar todo su modelo operativo a esta carrera armamentista asimétrica.