La Ethereum Foundation ha empezado a desplegar agentes de inteligencia artificial para cazar errores y agujeros de seguridad en el protocolo Ethereum antes de que un atacante pueda explotarlos. Una decisión que llega en un momento en que la red asegura cientos de miles de millones de dólares en activos digitales y cada vez es más difícil revisar a mano todo el código que la impulsa.
Hasta ahora, la seguridad del protocolo dependía sobre todo de auditorías manuales y de los programas de recompensas por encontrar fallos (lo que el sector conoce como bug bounties). Estos métodos han funcionado, pero el código de Ethereum no deja de crecer con cada actualización. Lo mismo ocurre con los contratos inteligentes que se despliegan sobre la red: miles de nuevos programas cada mes, cada uno con posibles puntos débiles.
Cómo funcionan los agentes de IA en la caza de vulnerabilidades
Los agentes de la Fundación ya revisan el código fuente del protocolo los contratos inteligentes que manejan miles de millones, los sistemas criptográficos y los protocolos de red. No se limitan a una sola capa: analizan desde el núcleo de Ethereum hasta las comunicaciones entre nodos, buscando cualquier incoherencia o debilidad que un atacante pudiera aprovechar.
Entre las tareas que ya realizan están detectar accesos no autorizados en contratos, errores de gestión de activos y fallos en las librerías criptográficas que usa la red. La ventaja, según explican desde la Fundación, es que la inteligencia artificial puede operar sin descanso y procesar enormes volúmenes de código mucho más rápido que un equipo humano.
Un fallo crítico en el ‘sistema nervioso’ de la red
La primera prueba real del sistema no se hizo esperar. Los agentes de IA detectaron una vulnerabilidad en libp2p gossipsub, el protocolo que utilizan los nodos de Ethereum para propagar información entre sí. Es decir, el mecanismo que mantiene a toda la red sincronizada.
Un error en ese componente podría haber permitido a un atacante aislar nodos, interrumpir la comunicación o incluso manipular los datos que comparten. Tras la alerta de la IA, los ingenieros de la Fundación verificaron el hallazgo, confirmaron que era un fallo real y lanzaron un parche antes de que nadie pudiera explotarlo.
Lo más valioso de estos agentes no es la velocidad, sino que examinan el código sin ideas preconcebidas, como haría un atacante real.
La inteligencia artificial acelera, pero no jubila a los ingenieros humanos
La Fundación ha sido clara: la IA no sustituye a los expertos en seguridad. Cada alerta que generan los agentes pasa por un filtro humano antes de tocar una sola línea de código de producción. Uno de los motivos es el alto porcentaje de falsos positivos, algo habitual cuando un algoritmo examina millones de líneas sin contexto real.
De hecho, el proceso de verificación incluye varias etapas: comprobación de exactitud, análisis de posibles escenarios de explotación, pruebas de reproducibilidad y, finalmente, la decisión sobre si se aplica o no una corrección. La última palabra sigue siendo humana.
Lo que sí cambia es la rapidez con la que se pueden hacer auditorías y el coste que suponen. Si la IA asume el trabajo repetitivo de revisar código, los investigadores pueden centrarse en lo que mejor saben hacer: entender la lógica de los contratos y anticipar vectores de ataque complejos.
No es la primera vez que la comunidad Ethereum apuesta por automatizar la seguridad. Ya en 2023 se empezaron a usar herramientas de análisis estático, pero la llegada de la IA generativa supone un salto cualitativo. Y todo apunta a que otras grandes redes, como Solana o las soluciones de capa 2, no tardarán en adoptar estrategias similares.
En este sector, donde un solo fallo puede costar cientos de millones de euros, la carrera entre atacantes y defensores se ha tecnificado más que nunca. Que la inteligencia artificial juegue en los dos bandos hace que la defensa proactiva deje de ser una opción para convertirse en una obligación.




