La IA Mythos de Anthropic preocupa a gobiernos y expertos en ciberseguridad

Varios reportes señalan que el modelo descubrió de forma autónoma grandes cantidades de vulnerabilidades previamente desconocidas —conocidas como “zero‑days”— en sistemas operativos y navegadores ampliamente utilizados.

Entre los ejemplos citados aparece un fallo de décadas de antigüedad en la pila de red de OpenBSD que había sobrevivido a años de auditorías de código y herramientas automáticas de seguridad.

Sin embargo, muchos detalles siguen siendo inciertos. No se ha publicado aún un informe técnico completo que verifique de manera independiente el número total de vulnerabilidades encontradas ni el porcentaje de exploits que el modelo puede generar con éxito.

Por qué Anthropic limitó el acceso con Project Glasswing

En lugar de lanzar Mythos como un modelo público, Anthropic creó Project Glasswing, una iniciativa de ciberseguridad con acceso controlado diseñada para que los defensores puedan utilizar el sistema antes que los atacantes.

El programa reúne a un pequeño grupo de grandes empresas tecnológicas y de seguridad —entre ellas AWS, Apple, Google, Microsoft, CrowdStrike y Palo Alto Networks— para localizar y corregir fallos en software crítico utilizado en todo el mundo.

La lógica es sencilla: una herramienta capaz de descubrir vulnerabilidades a gran escala también podría ser usada por actores maliciosos para desarrollar ataques.

Al limitar el acceso a organizaciones verificadas centradas en la seguridad de infraestructuras digitales, Anthropic pretende corregir vulnerabilidades antes de que puedan ser explotadas por ciberdelincuentes o estados adversarios.

En la práctica, Glasswing representa una estrategia de despliegue de “defensa primero” para una tecnología claramente de doble uso.

La reacción de gobiernos y reguladores

La aparición de Mythos ha llamado la atención de instituciones de seguridad nacional y de estabilidad financiera.

En Estados Unidos, responsables políticos han pedido más información a las empresas tecnológicas sobre los riesgos potenciales de los ciberataques impulsados por IA, en parte por las capacidades que se atribuyen a Mythos.

Los reguladores financieros también han mostrado interés porque vulnerabilidades en software ampliamente utilizado podrían afectar a bancos, sistemas de pago y mercados financieros. Algunos informes indican que autoridades convocaron reuniones con grandes entidades financieras tras conocerse las capacidades del modelo.

A nivel internacional, organismos como el Fondo Monetario Internacional (FMI) han advertido que sistemas de IA capaces de superar defensas de software podrían representar riesgos sistémicos para la infraestructura financiera global y requerir coordinación internacional.

Al mismo tiempo, agencias de ciberseguridad y comunidades de inteligencia analizan cómo herramientas como Mythos podrían cambiar tanto la defensa digital como las operaciones ofensivas en el ciberespacio.

Por qué la IA podría acelerar el riesgo cibernético

Uno de los mayores temores de los expertos es la velocidad.

Tradicionalmente, descubrir vulnerabilidades críticas en software complejo podía llevar meses o incluso años. Herramientas automáticas como el fuzzing ayudaron a acelerar el proceso, pero aún dependían en gran medida del trabajo humano.

Si los modelos de IA pueden buscar vulnerabilidades de forma autónoma y generar exploits funcionales, el tiempo entre el descubrimiento de un fallo, su explotación y un ataque a gran escala podría reducirse drásticamente.

Los analistas de seguridad describen este fenómeno como un acortamiento del ciclo de riesgo cibernético: el período entre que una vulnerabilidad existe y el momento en que se convierte en un problema explotable en la práctica.

Incidentes iniciales y preguntas abiertas

El hecho de que Mythos sea un sistema restringido no ha eliminado todas las preocupaciones.

Un informe describió un incidente en el que un pequeño grupo obtuvo acceso no autorizado a un entorno de vista previa del modelo a través del sistema de un proveedor externo, aunque no se trató de una intrusión directa en la infraestructura de Anthropic.

La información pública limitada deja varias preguntas clave sin responder:

• Cuántas vulnerabilidades ha descubierto realmente el modelo
• Con qué fiabilidad puede convertir esos fallos en exploits funcionales
• Si capacidades comparables ya existen dentro de gobiernos o laboratorios tecnológicos rivales

Sin estudios independientes o resultados de referencia públicos, muchas de las afirmaciones más llamativas sobre Mythos siguen siendo difíciles de verificar.

Una posible carrera armamentista en ciberseguridad impulsada por IA

Incluso con datos incompletos, el episodio de Mythos refleja una conclusión cada vez más compartida entre expertos: la IA podría convertirse pronto en una de las herramientas más poderosas de la ciberseguridad, tanto para defender como para atacar.

La decisión de Anthropic de restringir el modelo y utilizarlo únicamente dentro de una coalición defensiva refleja el temor de que un acceso sin control podría multiplicar la escala de los ciberataques.

Si Project Glasswing logra mantener ese equilibrio —usar la IA para defender sistemas más rápido de lo que los atacantes pueden explotarlos— podría influir en cómo se desarrollan, liberan y regulan los futuros sistemas de inteligencia artificial avanzada.