El Instituto de Seguridad de la Inteligencia Artificial del Reino Unido (AISI) ha publicado una exhaustiva evaluación sobre las capacidades ofensivas del modelo GPT-5.5 en el ámbito de la ciberseguridad. Esta investigación, realizada semanas después de un análisis similar sobre Claude Mythos, revela que GPT-5.5 también tiene la capacidad de ejecutar ciberataques complejos de principio a fin sin intervención humana.
Según el informe oficial del AISI, GPT-5.5 se convierte así en el segundo modelo de inteligencia artificial en completar de forma autónoma una simulación de ataque corporativo de red de extremo a extremo. El primer modelo en lograr esta proeza fue Claude Mythos Preview, que a mediados de abril demostró su habilidad para ejecutar ataques sofisticados y resolver desafíos de vulnerabilidad de nivel experto.
Para determinar estas conclusiones, el AISI sometió a GPT-5.5 a un conjunto de 95 tareas de ciberseguridad, clasificadas por niveles de dificultad. Si bien los modelos de IA han superado fácilmente las pruebas de nivel básico desde principios de 2026, las tareas avanzadas representan un desafío significativamente mayor.
Estas pruebas, desarrolladas en colaboración con las firmas Crystal Peak Security e Irregular, requieren habilidades avanzadas como ingeniería inversa de firmware, desarrollo de exploits y ataques criptográficos complejos. En las tareas de nivel experto, GPT-5.5 demostró una tasa de éxito del 71,4%, superando a Mythos Preview (68,6%), GPT-5.4 (52,4%) y Opus 4.7 (48,6%).
GPT-5.5: Capaz de Hackear Sistemas Empresariales de Forma Autónoma
Las simulaciones en entornos más realistas ofrecen resultados aún más reveladores. La simulación ‘The Last Ones’ replicó una intrusión empresarial de 32 pasos, involucrando múltiples subredes y aproximadamente veinte equipos. En esta prueba, GPT-5.5, partiendo sin credenciales, logró tomar el control del sistema y exfiltrar datos de una base de datos interna protegida en 2 de cada 10 intentos, completando en aproximadamente 2 horas una tarea que a un hacker humano le tomaría 20 horas. Claude Mythos, en comparación, necesitó 3 intentos.
La simulación ‘Cooling Tower’, que intenta replicar el compromiso de una planta de energía mediante sistemas de control industrial, no pudo ser completada por ningún modelo, incluido GPT-5.5. En esta prueba, la IA se encontró con dificultades en las fases convencionales de TI, no en los aspectos específicos de la tecnología operacional.
Además de evaluar las capacidades de ataque, el AISI examinó las protecciones de GPT-5.5 contra usos malintencionados. Un equipo de expertos tardó seis horas en desarrollar un “jailbreak” universal capaz de eludir las salvaguardas y generar contenido prohibido. OpenAI actualizó sus protecciones tras ser informada de los hallazgos, aunque los investigadores no pudieron confirmar la efectividad total de estas modificaciones.
“GPT-5.5 demuestra que la rápida mejora en las tareas cibernéticas puede ser parte de una tendencia más general”, señaló el AISI. “Si la capacidad ciberofensiva emerge como un subproducto de mejoras más generales en autonomía, razonamiento y codificación a largo plazo, deberíamos esperar nuevos aumentos en la capacidad cibernética de los modelos en un futuro próximo, potencialmente en rápida sucesión”.
La IA Presenta Riesgos Significativos en Ciberseguridad
Es importante destacar que la evaluación de ciberseguridad de GPT-5.5, al igual que la de Claude Mythos, se realizó en entornos controlados y simulados. Estas pruebas no incluyen elementos de defensa activa como el monitoreo o la respuesta a incidentes.
Los investigadores concluyeron previamente que Claude Mythos podría explotar sistemas empresariales pequeños y poco protegidos. GPT-5.5 presenta un riesgo similar: aunque no es capaz de comprometer de forma autónoma sistemas altamente robustos, su potencial en manos equivocadas representa una seria preocupación para la ciberseguridad.
