Cómo la IA MDASH de Microsoft descubrió 16 vulnerabilidades de Windows antes que los atacantes

Estos hallazgos se incluyeron en el Patch Tuesday de mayo de 2026, una actualización que corrigió alrededor de 120 vulnerabilidades en total, según reportes de seguridad sobre el lanzamiento.

Qué es MDASH y por qué Microsoft lo creó

MDASH se describe como un sistema de seguridad “agentic” basado en múltiples modelos de IA, diseñado para automatizar parte del proceso de descubrimiento de vulnerabilidades que tradicionalmente realizan investigadores humanos.

En lugar de depender de un único modelo o escáner estático, la plataforma coordina más de 100 agentes de IA especializados que trabajan en paralelo analizando grandes bases de código.

El sistema fue desarrollado por el equipo Autonomous Code Security de Microsoft en colaboración con el grupo Windows Attack Research and Protection.

El objetivo es simple pero ambicioso: detectar fallas explotables en proyectos de software masivos como Windows más rápido de lo que lo harían solo los investigadores humanos.

Cómo funciona el flujo de trabajo con múltiples agentes

Las descripciones públicas de MDASH muestran un proceso por etapas en el que distintos agentes de IA examinan el mismo código desde diferentes perspectivas.

El proceso suele seguir cinco fases principales:

1. Preparación y modelado de amenazas
El sistema ingiere el código fuente y construye un modelo de superficie de ataque para identificar zonas potencialmente riesgosas.

2. Escaneo masivo con agentes
Decenas o incluso cientos de agentes de auditoría especializados analizan el código simultáneamente y generan hipótesis de posibles vulnerabilidades junto con evidencias.

3. Debate y verificación entre agentes
Otro grupo de agentes examina esos hallazgos y los desafía o valida, generando una especie de “debate” automatizado sobre si el problema detectado es real.

4. Eliminación de duplicados
Resultados semánticamente similares se combinan para evitar múltiples reportes del mismo error.

5. Generación de pruebas
Finalmente, el sistema intenta demostrar la explotabilidad del fallo generando pruebas o desencadenando el comportamiento vulnerable.

Este enfoque recuerda a cómo trabajan los equipos humanos de seguridad —formular hipótesis, verificarlas y demostrar la explotación— pero lo hace a gran escala y a velocidad de máquina.

Señales de rendimiento en pruebas

Los primeros resultados de evaluación sugieren que MDASH funciona bien en pruebas de descubrimiento de vulnerabilidades y validaciones internas.

Por ejemplo, informes sobre la investigación señalan que el sistema alcanzó aproximadamente un 88 % de rendimiento en el benchmark CyberGym, superando a otras herramientas evaluadas en esa prueba.

En experimentos internos, MDASH también logró detectar todas las vulnerabilidades inyectadas en un controlador de prueba, lo que sugiere una alta capacidad de detección en escenarios controlados.

Estos resultados no garantizan la misma precisión en entornos reales, pero indican que los sistemas multiagente pueden aportar valor real al análisis de seguridad en grandes bases de código.

Lo que muestran los primeros resultados en el mundo real

Lo más relevante es que el primer caso público de MDASH no fue un experimento de laboratorio: produjo vulnerabilidades reales que terminaron siendo corregidas en una actualización oficial de Windows.

Esto es significativo porque muchas herramientas de investigación funcionan bien en entornos académicos pero generan pocos hallazgos útiles en software real.

En este caso, MDASH ayudó a detectar fallas en capas fundamentales de red y autenticación de Windows, lo que sugiere que ya puede analizar superficies de ataque críticas.

La estrategia de Microsoft: “defensa a velocidad de IA”

Microsoft enmarca MDASH dentro de una estrategia más amplia que llama “defense at AI speed” (defensa a velocidad de IA).

La idea es directa: si los atacantes empiezan a usar inteligencia artificial para descubrir vulnerabilidades más rápido, los defensores deben utilizar herramientas similares para encontrarlas y corregirlas primero.

La compañía planea ofrecer MDASH en una vista previa privada para clientes empresariales, permitiendo que organizaciones prueben el descubrimiento de vulnerabilidades asistido por IA en sus propios entornos.

Si este enfoque se consolida, sistemas como MDASH podrían transformar el flujo de trabajo de seguridad del software al:

• Escalar la investigación de vulnerabilidades en enormes bases de código
• Reducir el tiempo entre el descubrimiento de un fallo y su corrección
• Apoyar a los investigadores humanos con generación y validación automática de hipótesis

En otras palabras, el futuro de la ciberseguridad podría incluir equipos donde humanos y agentes de IA trabajen juntos de forma permanente, revisando continuamente sistemas complejos en busca de debilidades antes de que los atacantes puedan explotarlas.

Los resultados del Patch Tuesday de mayo de 2026 sugieren que ese cambio ya ha comenzado.