Un asistente open-source de penetration testing que no necesita internet, no pide API keys, y puede que cambie la forma en que hacemos seguridad ofensiva.
Me crucé con esta herramienta mientras escaneaba el feed de r/netsecstudents, como uno hace un martes cualquiera a las 2 AM. El título del post decía algo así como “I built a penetration testing assistant that uses a fine-tuned Qwen 3.5 model via Ollama”, y la verdad es que me detuve. No todos los días alguien sale con un proyecto que combina pentesting, IA local y la promesa de no depender de nadie más que tu propio hardware.
Se llama METATRON. Es open-source, corre 100% offline, y está escrito en Python 3. El creador —un tipo que se hace llamar sooryathejas en GitHub— lo diseñó específicamente para Parrot OS, esa distro de seguridad que varios de nosotros usamos como base de operaciones. La idea es tan simple como ambiciosa: le das una IP o un dominio, y el sistema orquesta solo una batería completa de herramientas de reconocimiento para después pasar los resultados a un modelo de lenguaje grande que corre localmente. Ese modelo analiza las vulnerabilidades encontradas, sugiere exploits y, ojo por acá, también propone remedios. Todo se guarda en una base de datos MariaDB con historial completo. Nada se pierde, nada se manda a la nube.
La parte del “corre offline” no es un detalle menor. Alguien que haya hecho pentesting serio en cliente sabe lo incómodo que es depender de una conexión a internet estable cuando estás en una red aislada del cliente, o peor, haciendo pruebas en un ambiente segmentado donde el WiFi es un lujo y la VPN se cae cada diez minutos. La mayoría de las herramientas de IA que se promueven hoy para ciberseguridad necesitan mandar tus datos a un server remoto. Con METATRON, el modelo Qwen 3.5 fine-tuneado corre por medio de Ollama en tu propia máquina. No hay API keys. No hay suscripciones mensuales. No hay alguien en un data center leyendo qué puertos le abriste al servidor del cliente.
Es difícil no ver el valor acá, sobre todo en Chile, donde la legislación de protección de datos personales sigue endureciéndose y los clientes están cada vez más paranoicos con dónde quedan sus datos. Hacer un pentest con una herramienta que no filtra nada al exterior es un argumento de venta potente para cualquier consultora de seguridad que se precie.
Veamos cómo funciona la cosa. La arquitectura de METATRON es más o menos así: entras por línea de comandos (sí, es CLI puro, no esperen una GUI bonita) y le pasas el target. Automáticamente dispara las herramientas clásicas de reconocimiento —nmap, enum4linux, y varias más— y recopila toda la información en una salida estructurada. Ahí es donde entra la magia: esos resultados van directo al modelo local, que los procesa y devuelve un análisis de vulnerabilidades con recomendaciones de explotación y parche. La base de datos MariaDB guarda cada scan, cada hallazgo, cada recomendación, así que puedes comparar resultados entre diferentes evaluaciones y tener un historial completo de la postura de seguridad del cliente en el tiempo.
Recuerdo una evaluación que hice hace un par de años para una empresa mediana acá en Santiago. Pasamos tres días corriendo herramientas, tabulando resultados en planillas de Excel y redactando el informe final en Google Docs. La parte más tediosa no era encontrar las vulnerabilidades —eso es lo entretenido— sino organizar toda esa información de manera coherente para el cliente. Una herramienta que automatice esa etapa intermedia entre el scan y el informe, especialmente una que entienda contexto y pueda priorizar hallazgos con lenguaje natural, es exactamente lo que faltaba en el flujo de trabajo de muchos consultores.
Ahora, hablar de “IA para pentesting” suena a palabra de moda de conferencias. Y lo es, en buena medida. Pero hay una diferencia importante con METATRON: el modelo no está generando exploits desde cero ni intentando hackear la red neuronal del router del vecino. Está haciendo algo mucho más pragmático —tomando la salida de herramientas probadas que ya usamos hace años y dándole una capa de interpretación que normalmente requeriría un analista humano con experiencia. No reemplaza al pentester. Le saca de encima el trabajo de clase manual para que pueda concentrarse en las partes que realmente necesitan cerebro: la explotación creativa, la cadena de ataque, el pensamiento lateral. Eso, como mínimo, es honesto.
No todo es color de rosa, obvio. El modelo Qwen 3.5, aunque fine-tuneado, tiene limitaciones. No es un GPT-4 ni tampoco un Claude con PhD en explotación de binarios. Las recomendaciones pueden ser genéricas en algunos casos, y todavía falta ver cómo se comporta con aplicaciones web complejas o entornos cloud, que es donde la mayoría de las evaluaciones se están moviendo hoy. Además, correr un LLM localmente exige hardware no trivial. Si tu notebook de trabajo tiene 8 GB de RAM y un i5 de quinta generación, probablemente te vayas a frustrar. Necesitas una máquina con GPU dedicada para que la experiencia sea fluida.
El proyecto también es relativamente joven. El repositorio en GitHub recibió atención recién en abril de 2026, y si bien el código está disponible para cualquiera que quiera clonarlo, auditarlo y contribuir, todavía no tiene la comunidad detrás ni la documentación madura que tienen herramientas como Metasploit o Burp Suite. Usarlo en una evaluación real para un cliente de producción hoy implicaría un riesgo que cada equipo debe evaluar.
Pero lo que me gusta de METATRON no es lo que hace hoy. Es lo que representa. Es la prueba de concepto de que no necesitamos mandar todo a la nube para tener inteligencia artificial útil en ciberseguridad. La tendencia de los últimos años ha sido centralizar todo: tus escaneos, tus análisis, tus reportes, todo vive en la plataforma del vendor. Eso tiene ventajas, sí, pero también crea dependencia y puntos ciegos de privacidad que a los clientes serios les importa cada vez más. Un proyecto como este demuestra que el balance está cambiando.
Si trabajan en seguridad ofensiva o defensiva, vale la pena echarle un ojo al repositorio. Clonarlo, jugar con él en un lab controlado, ver qué tan lejos llega con su red casera antes de llevarlo a terreno. No va a reemplazar a ningún pentester —al menos no esta versión—, pero sí puede convertirse en un asistente que te ahorre horas de trabajo de rutina y te deje concentrar en lo que realmente aporta valor.
Referencias
1. Cyber Security News – “METATRON – Open-Source AI Penetration Testing Assistant Brings Local LLM Analysis to Linux” https://cybersecuritynews.com/metatron-ai-penetration-testing/
2. GitHub – sooryathejas/METATRON (repositorio oficial) https://github.com/sooryathejas/METATRON
3. Cyber Technology Insights – “METATRON AI Penetration Testing Assistant for Linux” (6 de abril de 2026) https://cybertechnologyinsights.com/cybertech-news/metatron-ai-penetration-testing-assistant-for-linux/
4. Reddit (r/netsecstudents) – “I built a penetration testing assistant that uses a fine-tuned Qwen 3.5 model via Ollama — runs 100% offline” https://www.reddit.com/r/netsecstudents/comments/1sazx9y/
5. Cryptika Cybersecurity – “METATRON – Open-Source AI Penetration Testing Assistant Brings Local LLM Analysis to Linux” https://www.cryptika.com/metatron-open-source-ai-penetration-testing-assistant-brings-local-llm-analysis-to-linux/
Deja una respuesta