Negocios Alberta audita 466 millones de líneas con IA en 20 horas: lecciones para LatAm
El gobierno de Alberta escaneó 466 millones de líneas de código en 20 horas con Claude de Anthropic. La lección para gobiernos y empresas latinoamericanos con deuda técnica millonaria.
El gobierno de la provincia canadiense de Alberta logró en 20 horas lo que le habría tomado 6,5 años con métodos tradicionales: revisar 466 millones de líneas de código buscando vulnerabilidades de seguridad. La herramienta fue Claude, el modelo de Anthropic, ejecutado a través de Claude Code con los modelos Opus y Sonnet. El equipo de Ciberseguridad del Ministerio de Tecnología e Innovación operó unos 50 agentes en paralelo que escanearon los repositorios de las 27 carteras provinciales —más de 1.280 aplicaciones y 3.400 repositorios—, identificaron fallos que las herramientas automáticas tradicionales no detectaron y generaron parches listos para revisión humana.
El caso es relevante para América Latina porque describe un problema compartido: gobiernos y grandes empresas de la región mantienen sistemas legacy con deuda técnica que suma miles de millones de dólares, documentación incompleta y código que nunca recibió una auditoría de seguridad sistemática. En Alberta, el ministerio gestiona desde registros tributarios hasta datos de servicios sociales y respuesta a incendios forestales. La acumulación de bugs, código inseguro y software desactualizado es la misma realidad que enfrentan ministerios de salud, tributarios y municipios en México, Brasil, Colombia o Argentina.
La implementación de Alberta siguió tres etapas. Primero, la revisión masiva: los agentes de Claude ejecutaron una rutina de dos fases —un motor de reglas para marcar patrones conocidos y luego una revisión que citaba el archivo y la línea exacta de cada hallazgo— y cubrieron la totalidad del inventario. Segundo, la corrección automatizada: cuando se identificaba una vulnerabilidad, Claude Code generaba el fix, lo probaba e incluso escribía las pruebas automatizadas si el sistema original carecía de ellas. En sistemas demasiado antiguos para aplicar parches, el modelo reescribió el código en lenguajes modernos y mantenibles, como un portal de subsidios originalmente codificado en Java hace 25 años que se reconstruyó en cuatro o cinco días, frente a los cinco meses que tomó la primera versión. Tercero, la revisión continua: el equipo construyó agentes especializados —'red team' que ataca desde fuera, 'blue team' que evalúa defensas contra un estándar internacional de seguridad— que verifican cada aplicación contra unos 95 controles de seguridad por pasada.
Para un Chief Information Security Officer en una empresa latinoamericana, la métrica que debe pesar es la relación entre esfuerzo y cobertura. Alberta cubrió todos sus repositorios en 20 horas. Una revisión manual de esa escala habría requerido un equipo dedicado durante años. Anthropic publicó además white papers técnicos con el método exacto, y el ministerio abrió la Alberta AI Academy, donde miles de funcionarios y más de 10.000 ciudadanos ya aprendieron a usar IA de forma productiva y segura.
El mensaje para la región es que la ventana de oportunidad para los defensores es estrecha. Anthropic demostró que encontrar vulnerabilidades con IA es barato y rápido, pero explotarlas sigue siendo caro y difícil. Esa asimetría favorece hoy a quienes auditan y corrigen. No durará. Los equipos de ciberseguridad en LatAm deberían evaluar si pueden replicar el esquema de agentes autónomos sobre sus propios repositorios, empezando por los sistemas que manejan datos sensibles de ciudadanos o clientes. La alternativa es seguir auditando una fracción del inventario cada año mientras la deuda técnica sigue creciendo.