La Fundación Ethereum encuentra fallos reales con IA, pero el problema es saber cuáles importan

La Fundación Ethereum ha confirmado que sus agentes de inteligencia artificial localizaron fallos reales en código del que depende la red, incluido uno ya corregido. El hallazgo es positivo para la seguridad, pero deja una advertencia incómoda: la mayoría de las alertas generadas por IA no resisten una revisión rigurosa.
Agentes de IA revisan código de Ethereum con validación humana antes de aceptar un fallo.
Agentes de IA revisan código de Ethereum con validación humana antes de aceptar un fallo.

La IA encontró un fallo real, pero Ethereum no fue hackeada

El equipo de Seguridad del Protocolo de la Fundación Ethereum explicó el 9 de julio de 2026 que está utilizando grupos de agentes de IA para revisar software de sistemas, código criptográfico y contratos. Uno de los resultados ya es público: la vulnerabilidad CVE-2026-34219, localizada en libp2p-gossipsub, una pieza de la capa de comunicación entre pares utilizada por clientes de consenso de Ethereum.

El fallo permitía provocar de forma remota un bloqueo del programa mediante un mensaje PRUNE manipulado. GitHub lo clasificó con severidad alta y una puntuación CVSS de 8,2 sobre 10. Afectaba a versiones anteriores a la 0.49.4 y aparece corregido en esa versión. Su impacto era sobre la disponibilidad: podía tumbar una aplicación vulnerable, pero el aviso no señala robo de fondos, modificación de datos ni acceso a wallets.

Esta distinción importa. No se ha confirmado un hackeo de la red Ethereum ni una pérdida para los titulares de ETH. El caso demuestra que la IA puede encontrar errores explotables en infraestructura real, pero también que conviene evitar titulares que conviertan una vulnerabilidad de una biblioteca concreta en un ataque general contra Ethereum.

El verdadero cuello de botella está en verificar, no en generar alertas

La conclusión más relevante de la Fundación no es que la IA haya encontrado un fallo. Es que encontrar candidatos resulta relativamente fácil; demostrar cuáles son reales consume la mayor parte del trabajo. Según el equipo, muchos avisos generados por los agentes terminan siendo falsos positivos, duplicados o problemas fuera del alcance analizado.

Por eso, un hallazgo no se acepta porque el modelo suene seguro o entregue una explicación convincente. Debe incluir una prueba reproducible contra el código real, demostrar que un atacante puede alcanzar la ruta afectada y superar comprobaciones independientes. La decisión final sigue en manos de una persona. La IA actúa como una herramienta de búsqueda, no como un auditor autónomo con autoridad para certificar seguridad.

La experiencia de Anthropic apunta en la misma dirección. En una prueba sobre paquetes populares de Python, sus investigadores generaron 984 informes candidatos y revisaron manualmente una selección de 50: el 56% correspondía a errores válidos y solo el 32% se consideró suficientemente relevante para comunicarlo. El filtrado mejoró mucho los resultados de mayor puntuación, pero no eliminó la necesidad de expertos humanos.

Representación de Ethereum junto a gráficos de entradas y salidas de ETF spot.
Te puede interesar: Ethereum ya tiene ETF spot: ahora el riesgo está en unos flujos inestables

Más capacidad de auditoría también puede crear un nuevo riesgo

Para Ethereum y otras redes, la ventaja es clara: varios agentes pueden revisar en paralelo enormes cantidades de código y proponer hipótesis que un equipo humano quizá tardaría más en explorar. Esto puede ampliar la cobertura de las auditorías y facilitar que determinados fallos se corrijan antes de que lleguen a producción.

El riesgo está en el volumen y en la confianza aparente. Un informe generado por IA puede incluir una cadena de llamadas, una gravedad estimada y una prueba que parece sólida, aunque el supuesto ataque solo funcione en una configuración irreal o contra una función a la que ningún atacante puede llegar. Si los equipos no tienen recursos para validar cada aviso, la automatización puede trasladar el problema desde “no encontramos suficientes fallos” a “no sabemos cuáles merecen atención”.

La propia Fundación reconoce además que los agentes son menos fiables cuando el error depende de una secuencia larga de pasos válidos ejecutados en un orden concreto. Son precisamente este tipo de fallos los que pueden resultar más difíciles de detectar. La lectura prudente no es que la IA haya resuelto la seguridad blockchain, sino que ha creado una nueva capa de revisión que necesita métodos reproducibles, trazabilidad y criterio humano.

Qué cambia para quien tiene ETH o utiliza aplicaciones sobre Ethereum

Para un usuario particular que mantiene ETH o utiliza una wallet, la publicación no incluye una acción urgente. El fallo conocido ya figura como corregido y el aviso público no describe fondos robados ni wallets comprometidas. Quienes operan nodos, mantienen clientes o desarrollan infraestructura sí deben comprobar dependencias y versiones, porque una vulnerabilidad de disponibilidad puede afectar al funcionamiento de sus servicios.

Para quien utiliza DeFi o contratos inteligentes, la noticia refuerza una idea más amplia: una auditoría con IA no debe interpretarse como garantía. Antes de depositar fondos en un protocolo, siguen importando el historial del código, las auditorías independientes, los permisos del contrato y el riesgo de contraparte. Nuestra guía sobre DeFi y sus riesgos y la guía de seguridad en criptomonedas ayudan a separar la seguridad de la red de la seguridad de cada aplicación o cuenta.

El hallazgo tampoco convierte esta investigación en un catalizador demostrado para el precio de ETH. Quien esté valorando su exposición debe diferenciar el avance técnico de la decisión de inversión y revisar por separado volatilidad, custodia y costes. En nuestra guía sobre cómo comprar y custodiar Ethereum se explican esas capas sin asumir que una mejora de seguridad garantice una subida.

La señal importante está fuera del precio: Ethereum está incorporando IA a la defensa de su infraestructura, pero no está delegando en ella la última palabra. Cuanto más código puedan revisar los agentes, más importante será demostrar cada hallazgo antes de tratarlo como real.

Sobre el autor
Alejandro Borja, CEO de Finantres

Alejandro Borja

CEO de Finantres, economista e inversor

Más artículos de Alejandro

Su objetivo es ayudar al lector a entender qué ocurre, qué riesgos existen y cómo puede afectar cada noticia a sus activos y decisiones.