En un laboratorio cerrado de la Universidad de Toronto, un equipo dirigido por Nicolas Papernot, profesor de ingeniería informática, construyó algo que los expertos en ciberseguridad llevan años advirtiendo como posibilidad: un gusano informático potenciado por inteligencia artificial que no tiene un exploit fijo, que aprende nuevas estrategias de ataque en cada dispositivo que infecta, y que puede propagarse a través de una red entera sin ser detenido por defensas diseñadas para amenazas estáticas.
Lo publicaron el 2 de junio de 2026. Engadget lo cubrió el 3 de junio. Los investigadores lo hicieron en un entorno cerrado, con extensas precauciones. La conclusión de Papernot es directa: «Necesitas tener un sistema perfectamente seguro para defenderte de esto — y sabemos que eso no es actualmente factible.»
Qué hace diferente a este gusano
Un gusano informático clásico sigue un script fijo: está diseñado para explotar una vulnerabilidad específica y, una vez que esa vulnerabilidad se parchea o el sistema no la tiene, el gusano falla. Es como una llave que solo abre una cerradura concreta.
El gusano de Toronto usa modelos de IA de acceso público (open-weight, código abierto) para hacer algo cualitativamente diferente: adaptar su estrategia de ataque en tiempo real a las características específicas de cada dispositivo que infecta. Si el dispositivo tiene un sistema operativo diferente, una configuración distinta o una vulnerabilidad desconocida, el gusano puede analizar el contexto y probar nuevas vías de entrada.
El experimento simuló una red de decenas de dispositivos interconectados — portátiles, impresoras y cámaras — en el equivalente computacional a una empresa pequeña. El gusano se propagó por la red, tomó control de los dispositivos e hijackeó la potencia de cómputo para que los atacantes pudieran lanzar ataques externos sofisticados prácticamente sin coste.
Lo más preocupante es el punto de entrada. El gusano no requiere que el atacante tenga habilidades avanzadas de programación. Los modelos de IA open-weight (equivalentes a versiones descargables de modelos de lenguaje de código abierto) son gratuitos, están disponibles en internet y pueden ejecutarse localmente. El coste de construir algo similar es de horas de trabajo y ningún dólar en infraestructura.
Por qué las defensas actuales no son suficientes
Los sistemas de ciberseguridad tradicionales se basan en firmas (patrones conocidos de malware) y en reglas (comportamientos que no se permiten). Ambos enfoques fallan frente a un gusano que adapta su comportamiento.
Una firma no puede detectar malware que cambia de forma en cada infección. Una regla de «no ejecutar código desconocido» puede ser insuficiente si el gusano genera su propio código en el contexto de un modelo de lenguaje que el sistema puede interpretar como legítimo.
La investigación de Toronto no es la primera sobre gusanos de IA — en 2024, investigadores del Cornell Tech crearon Morris II, orientado a explotar aplicaciones de email con IA. Pero donde Morris II era específico de LLMs y ecosistemas de agentes de IA, el gusano de Toronto es más general: puede explotar cualquier vulnerabilidad conocida en cualquier dispositivo, usando la IA como motor de adaptación, no como objetivo del ataque.
La paradoja del defensor
Anthropic encontró más de 10.000 vulnerabilidades críticas en infraestructura usando Claude Mythos en pocas semanas. La misma capacidad que hace a la IA útil para defensores la hace útil para atacantes. La diferencia es que los defensores tienen que parchear las 10.000 vulnerabilidades; el atacante solo necesita que una de ellas siga abierta.
El gusano de Toronto materializa ese desequilibrio en la capa de propagación: el atacante construye una herramienta genérica que aprende a explotar lo que encuentre. El defensor tiene que anticipar y cerrar todo.
El estudio también advierte sobre el coste de entrada para atacantes. Construir malware sofisticado requería históricamente equipos técnicos con años de experiencia. Con modelos de IA open-weight, la barrera se reduce drásticamente. No al nivel de «cualquiera puede hacerlo», pero sí al nivel de que organizaciones criminales sin habilidades de desarrollo avanzado pueden construir herramientas más sofisticadas que antes.
El dilema de la publicación responsable
El equipo de Toronto tomó la decisión deliberada de publicar la investigación. Es un ejemplo del mismo debate que rodea a vulnerabilidades de día cero: publicar da a los defensores la información que necesitan para prepararse, pero también da a los atacantes la confirmación de que es posible y una posible hoja de ruta.
La diferencia entre este trabajo y la publicación de un exploit concreto es que los investigadores no publicaron el código funcional del gusano ni los modelos de IA específicos usados. Publicaron la metodología y los resultados en términos suficientemente generales para que los defensores entiendan el riesgo sin proporcionar una guía para la explotación.
La ciberseguridad controlada por IA enfrenta exactamente este dilema en 2026: las herramientas que hacen los sistemas más seguros son las mismas que, en manos equivocadas, los hacen más vulnerables.
Mi valoración
La investigación de Toronto es importante precisamente porque es concreta. No es un paper teórico sobre qué podría pasar si los atacantes usaran IA. Es una demostración en entorno controlado de que ya se puede construir con herramientas públicas y gratuitas.
Lo que más me convence es la elección de los modelos open-weight. Si el gusano requiriera acceso a GPT-5 o Claude Mythos, la barrera de acceso sería alta y la solución sería restringir esos modelos. El hecho de que use modelos de código abierto disponibles públicamente significa que no hay un único punto de control que cerrar.
Lo que más me preocupa es la escala de las redes vulnerables. En el experimento había decenas de dispositivos. En una empresa mediana hay miles. En infraestructura crítica — hospitales, utilities, redes de transporte — hay decenas de miles, muchos con firmware desactualizado que nunca será parchado. El gusano de Toronto en esos entornos no sería un experimento.
Lo más estructuralmente significativo es el cambio en el cálculo del atacante. Antes: para hackear una red necesitabas encontrar primero la vulnerabilidad específica. Ahora: lanzas el gusano y él encuentra la vulnerabilidad por ti. Eso no elimina la necesidad de vulnerabilidades, pero reduce el tiempo y la habilidad necesaria para explotarlas.
Preguntas frecuentes
¿Cómo funciona un gusano informático potenciado por IA?
A diferencia de un gusano clásico con exploit fijo, el gusano de IA usa un modelo de lenguaje para analizar cada dispositivo que infecta y adaptar su estrategia de ataque a sus características específicas — sistema operativo, configuración, vulnerabilidades presentes. Puede probar múltiples vías de entrada y aprender de los intentos fallidos para ajustar su próximo movimiento, todo sin intervención humana.
¿Están en peligro mis dispositivos por este gusano?
El gusano descrito en el estudio de Toronto fue creado en un entorno completamente aislado de internet, con precauciones extensas para evitar su propagación. No existe «en la naturaleza». El estudio demuestra que la técnica es posible con herramientas disponibles públicamente, no que ya esté siendo usada. La recomendación práctica es la habitual: firmware actualizado, redes segmentadas y sistemas de detección basados en comportamiento, no solo en firmas.
¿Qué hace diferente a este gusano de Morris II, el gusano IA anterior?
Morris II (Cornell Tech, 2024) fue diseñado específicamente para explotar aplicaciones de email basadas en LLMs — es decir, era un ataque a la capa de IA de un sistema, no al sistema en sí. El gusano de Toronto es más general: usa la IA como motor de adaptación para explotar cualquier vulnerabilidad conocida en cualquier dispositivo de red, incluyendo hardware convencional no relacionado con IA.