Vitalik Buterin ve en la verificación formal con IA una defensa clave para Ethereum
Vitalik Buterin plantea usar verificación formal con IA para blindar Ethereum y smart contracts
TL;DR:
Vitalik Buterin dijo que la verificación formal asistida por IA puede reducir fallas en Ethereum, smart contracts y sistemas criptográficos.
Mozilla corrigió 271 vulnerabilidades de Firefox 150 identificadas con Claude Mythos Preview, señal de que la IA ya está cambiando la ciberseguridad.
La apuesta no elimina el riesgo: Buterin advierte que la verificación formal no es una solución total, pero sí puede proteger el “núcleo” más crítico del software.
Vitalik Buterin, cofundador de Ethereum, puso sobre la mesa una idea que puede cambiar la seguridad del ecosistema cripto: usar IA para hacer más práctica la verificación formal, una técnica matemática que prueba si el software realmente se comporta como fue diseñado. El punto no es menor. En redes blockchain y smart contracts, un error no suele terminar en una actualización incómoda, sino en fondos perdidos, exploits públicos y daños difíciles de revertir.
La verificación formal es una técnica que usa pruebas matemáticas para comprobar que un software cumple propiedades específicas de seguridad y funcionamiento.
Buterin plantea que la IA puede ayudar a escribir, revisar y comprobar esas pruebas con más velocidad, justo cuando los modelos avanzados también están elevando la capacidad de encontrar vulnerabilidades. Dicho más claro: la misma tecnología que puede acelerar ataques también puede convertirse en una herramienta defensiva si se aplica sobre el código que sostiene redes, contratos inteligentes y criptografía.
“Si se hace bien, esto tiene el potencial de producir código extremadamente eficiente y ser mucho más seguro que la forma en que se ha programado antes”, escribió Buterin.
El argumento tiene una lectura directa para cualquier persona que usa DeFi, wallets o protocolos cripto desde México o Latinoamérica: la confianza no debería depender de “ojalá el código esté bien”, sino de pruebas verificables sobre lo que ese código puede o no puede hacer.
La IA ya no solo escribe código: también encuentra fallas a otra escala
La discusión llega en un momento delicado para la industria. Anthropic mantiene Claude Mythos Preview como un modelo no liberado al público y disponible solo para organizaciones seleccionadas bajo Project Glasswing, un programa enfocado en ciberseguridad defensiva. Reuters reportó que Anthropic ahora permitirá a sus socios compartir hallazgos, herramientas o código generado con Mythos bajo normas de divulgación responsable.
El dato que encendió la conversación vino de Mozilla. La organización publicó el 21 de abril de 2026 que Firefox 150 corrigió 271 vulnerabilidades identificadas durante una evaluación inicial con Claude Mythos Preview. Para una pieza de software tan expuesta como un navegador, esa cifra muestra por qué el tema preocupa a gobiernos, empresas y comunidades open source.
OpenAI también reconoció en la system card de GPT-5.5 que el modelo tiene capacidad “High” en ciberseguridad, aunque por debajo del umbral “Critical”. En pruebas con el UK AI Security Institute, GPT-5.5 resolvió de extremo a extremo una simulación corporativa de ataque de 32 pasos en 1 de 10 intentos, bajo condiciones limitadas: sin defensas activas, sin monitoreo fuerte y con una postura de seguridad débil.
La lectura incómoda es esta: los defensores tienen mejores herramientas, pero los atacantes también.
Por qué Ethereum necesita pruebas matemáticas, no solo auditorías
En cripto, las auditorías siguen siendo necesarias, pero Buterin apunta a una capa más profunda: demostrar que la implementación concreta que ejecuta el usuario coincide con una especificación segura. No basta con decir que un protocolo es sólido “en teoría”; hay que probar que el código que corre en producción hace lo que promete.
“Los errores en el código dan miedo”, escribió Buterin.
La frase suena simple, pero en blockchain tiene consecuencias duras. En abril de 2026, LayerZero dijo que el incidente de Kelp DAO involucró el envenenamiento de infraestructura RPC usada por su DVN. TRM Labs estimó que el exploit de KelpDAO fue de 292 millones de dólares y lo incluyó entre dos ataques atribuidos a grupos norcoreanos que sumaron 577 millones de dólares en 2026 hasta abril.
Ese tipo de casos explica por qué Buterin habla de proteger un “núcleo seguro” y mantenerlo pequeño. Si todo el sistema es enorme, opaco y difícil de razonar, cada integración se vuelve una posible grieta. Si el núcleo crítico queda reducido, verificado y aislado, el costo de atacar sube.
Buterin mencionó varias áreas donde la verificación formal puede ser especialmente útil:
- Firmas resistentes a computación cuántica, necesarias para preparar infraestructura criptográfica futura.
- STARKs, pruebas criptográficas usadas para escalar y verificar cómputo.
- Algoritmos de consenso, el corazón de cómo una red blockchain acuerda el estado válido.
- ZK-EVMs, piezas clave para ejecutar y verificar aplicaciones compatibles con Ethereum usando pruebas de conocimiento cero.
- Implementaciones de bajo nivel generadas u optimizadas con IA, siempre que puedan compararse contra una versión de referencia legible.
La verificación formal no elimina todos los riesgos
Buterin no vende la idea como una cura mágica. Su postura es más sobria: la verificación formal funciona mejor cuando el objetivo del sistema es más simple que su implementación. Eso la vuelve atractiva para partes muy técnicas de Ethereum, pero no resuelve problemas de diseño, errores en especificaciones, dependencias externas o fallas en hardware.
“La verificación formal no es una panacea”, escribió Buterin.
El punto fino está en los bordes. Muchos exploits no aparecen dentro de un módulo aislado, sino en la interacción entre dos sistemas que parecían seguros por separado. Ahí es donde Buterin insiste en pruebas de extremo a extremo: comprobar no solo una pieza del protocolo, sino cómo se comporta cuando se conecta con el resto.
También hay una dimensión filosófica. Buterin rechazó la idea de que los ataques con IA harán imposible proteger el software open source o los sistemas descentralizados. Para él, el ethos cypherpunk depende de una premisa: en internet, el defensor todavía puede tener ventaja si reduce superficie de ataque, verifica lo crítico y evita que el código frágil se multiplique.
La apuesta real no es que Ethereum se vuelva invulnerable. Es que su infraestructura más delicada deje de depender tanto de revisiones humanas limitadas y avance hacia pruebas matemáticas que cualquiera pueda comprobar. En un ecosistema donde un bug puede costar cientos de millones de dólares, ese cambio ya no suena académico: suena urgente.
