Mythos de Anthropic y el debate global sobre ciberseguridad

Qué hace diferente a Mythos

Las herramientas tradicionales de análisis de seguridad suelen detectar vulnerabilidades conocidas o patrones comunes en el código. Mythos funciona de forma distinta: puede razonar sobre sistemas complejos y descubrir fallos desconocidos previamente al analizar grandes bases de código.

Entre los ejemplos citados por investigadores se incluyen:

• Miles de vulnerabilidades críticas en software de código abierto y propietario
• Fallos en sistemas operativos y navegadores ampliamente utilizados
• Errores antiguos —algunos con décadas de antigüedad— que herramientas automatizadas no habían detectado antes

El modelo no fue diseñado como herramienta de hacking. Sin embargo, su gran capacidad para programar y analizar código lo hace especialmente eficaz para identificar debilidades explotables.

Anthropic afirmó además que más del 99 % de las vulnerabilidades detectadas todavía no habían sido corregidas, lo que reforzó la decisión de restringir su acceso.

Reacción inmediata de reguladores y bancos

El anuncio provocó una reacción rápida tanto en gobiernos como en el sector financiero.

El mismo día del anuncio, el secretario del Tesoro de Estados Unidos, Scott Bessent, y el presidente de la Reserva Federal, Jerome Powell, mantuvieron una reunión privada con directores ejecutivos de grandes bancos para discutir los riesgos de ciberseguridad asociados al nuevo modelo.

Las entidades financieras respondieron reforzando sus defensas, por ejemplo:

• Acelerando los programas de actualización y parcheo de software
• Revisando sistemas heredados o "legacy" que suelen tener más vulnerabilidades
• Intensificando la vigilancia para detectar intentos de explotación de fallos sin corregir

En paralelo, gobiernos y reguladores empezaron a debatir posibles nuevas reglas para evaluar modelos de IA avanzados antes de su lanzamiento.

Anthropic también puso en marcha Project Glasswing, una iniciativa de colaboración que permite a un número limitado de empresas tecnológicas utilizar el modelo para detectar y corregir vulnerabilidades en infraestructuras digitales críticas.

Por qué algunos expertos creen que el temor es exagerado

A pesar de la alarma inicial, varios especialistas en ciberseguridad sostienen que el impacto inmediato podría ser menor de lo que se teme.

Para mediados de mayo de 2026, algunos análisis señalaban que el temor a una ola inmediata de “hacking sin control” parecía sobredimensionado.

Existen varias razones para esa visión más cautelosa.

Capacidades similares ya existían

Investigadores señalan que modelos anteriores —y cada vez más herramientas de código abierto— ya ayudan a descubrir vulnerabilidades en software. Mythos podría representar una aceleración de esa tendencia, más que un cambio radical.

Encontrar un fallo no es todo el ataque

Un ciberataque real requiere varias etapas adicionales después de descubrir una vulnerabilidad:

• Verificar que el fallo es explotable
• Desarrollar un exploit fiable
• Acceder al sistema objetivo
• Mantener el acceso sin ser detectado

Estos pasos siguen requiriendo experiencia técnica y trabajo operativo. Por eso, automatizar el descubrimiento de fallos no significa automáticamente ataques masivos inmediatos.

Los defensores también pueden usar la misma tecnología

Las mismas herramientas de IA que ayudan a los atacantes a encontrar vulnerabilidades también pueden ayudar a los equipos de seguridad a detectarlas y corregirlas más rápido. Algunos expertos creen que esto acelera la carrera entre atacantes y defensores, pero no necesariamente da ventaja definitiva a uno u otro.

Límites que todavía reducen el impacto

Incluso si la IA mejora radicalmente la detección de vulnerabilidades, existen varios factores que hoy limitan su impacto real.

Acceso restringido. Mythos no está disponible públicamente y solo lo usan organizaciones seleccionadas bajo condiciones controladas.

Coste computacional elevado. Los modelos de IA de frontera requieren grandes recursos de computación para entrenarse y ejecutarse, lo que dificulta su adopción masiva inmediata.

Ventaja temporal limitada. Analistas señalan que esa ventaja puede ser corta, porque modelos abiertos y sistemas anteriores están mejorando rápidamente y podrían alcanzar capacidades similares.

El verdadero debate: aceleración o transformación

Hoy existe consenso en un punto: la inteligencia artificial se está convirtiendo en una herramienta muy poderosa para analizar software y encontrar vulnerabilidades.

La discusión real es cuánto cambiará esto el equilibrio de la ciberseguridad.

• Algunos analistas advierten que modelos avanzados podrían reducir drásticamente el tiempo entre descubrir y explotar fallos, especialmente en sectores con infraestructuras antiguas como la banca o servicios críticos.
• Otros sostienen que la tecnología principalmente aumenta la velocidad y escala del trabajo, pero no cambia las bases de cómo funcionan los ciberataques.

En cualquier caso, el episodio de Mythos ya sirve como un experimento real sobre cómo gobiernos, empresas tecnológicas y reguladores gestionarán las capacidades de las próximas generaciones de IA en un mundo donde la tecnología avanza más rápido que las reglas que intentan controlarla.