Por qué la IA Mythos de Anthropic está provocando advertencias de ciberseguridad en el G20

Para los equipos de seguridad defensiva esto es extremadamente valioso: descubrir vulnerabilidades antes permite corregirlas antes de que los atacantes las exploten. Pero la misma capacidad también puede reducir el tiempo necesario para lanzar ataques.

Por qué Anthropic informa al Financial Stability Board

El Financial Stability Board (FSB) es un organismo internacional que coordina la supervisión del sistema financiero global entre bancos centrales, ministerios de finanzas y reguladores de las economías del G20.

Anthropic accedió a presentar información ante este organismo después de que su modelo Mythos detectara vulnerabilidades potencialmente relevantes para la infraestructura digital del sistema financiero. La sesión informativa fue solicitada por Andrew Bailey, gobernador del Banco de Inglaterra y presidente del FSB, y está dirigida a autoridades financieras y bancos centrales del G20.

La preocupación radica en que el sistema financiero moderno depende profundamente de infraestructuras tecnológicas compartidas: software bancario, plataformas en la nube, sistemas de autenticación, redes de pago y bibliotecas de código abierto. Si una vulnerabilidad aparece en software ampliamente utilizado, podría afectar simultáneamente a muchas instituciones financieras.

Por qué el modelo se considera demasiado peligroso para liberarlo

Anthropic ha evitado publicar Mythos de forma abierta porque el modelo podría reducir drásticamente el esfuerzo necesario para descubrir fallos críticos en software ampliamente utilizado.

Si una herramienta automatiza la detección de debilidades explotables en sistemas operativos, navegadores o infraestructuras digitales esenciales, los riesgos no se limitan a la investigación de seguridad. Grupos criminales o actores patrocinados por estados podrían usar la misma tecnología para encontrar y explotar vulnerabilidades a gran velocidad.

Por su naturaleza de tecnología de doble uso, Mythos se está tratando más como una herramienta sensible de ciberseguridad que como un producto típico de inteligencia artificial.

Project Glasswing: acceso limitado para defensa coordinada

En lugar de lanzar el modelo al público, Anthropic creó Project Glasswing, una iniciativa que ofrece acceso temprano y controlado a determinadas organizaciones para tareas defensivas de ciberseguridad.

Entre los socios se encuentran grandes proveedores tecnológicos, empresas de ciberseguridad y compañías responsables de infraestructuras digitales ampliamente utilizadas. Según informes, participan organizaciones como:

• Amazon Web Services
• Apple
• Broadcom
• Cisco
• CrowdStrike
• Google
• JPMorganChase
• Microsoft
• NVIDIA
• The Linux Foundation
• Palo Alto Networks

Estas organizaciones utilizan el modelo para analizar plataformas de software e infraestructuras de las que dependen miles de millones de personas. El objetivo es encontrar vulnerabilidades y corregirlas antes de que los atacantes las descubran.

Por qué los reguladores ven riesgo sistémico

Las autoridades financieras están empezando a considerar las herramientas avanzadas de ciberseguridad basadas en IA como un posible riesgo sistémico, no solo un problema técnico.

El Financial Stability Board ya ha advertido que la IA puede amplificar vulnerabilidades del sistema financiero a través de varios factores, entre ellos:

• dependencia de proveedores tecnológicos compartidos
• aumento del riesgo cibernético
• fallos correlacionados entre instituciones
• debilidades en la gobernanza o supervisión de modelos de IA

Debido a que bancos, mercados financieros y redes de pago utilizan muchas veces el mismo software o infraestructura en la nube, un fallo crítico podría afectar simultáneamente a múltiples instituciones. Si la IA acelera la detección —o explotación— de vulnerabilidades, el impacto podría propagarse rápidamente por todo el sistema financiero global.

Lo que todavía no se sabe

A pesar de la creciente atención, muchos detalles sobre Mythos siguen siendo confidenciales.

Anthropic no ha publicado qué vulnerabilidades específicas ha encontrado el modelo, cuál es su gravedad ni si investigadores independientes las han verificado. Gran parte de la información disponible procede de declaraciones de la empresa y de reportes periodísticos, no de publicaciones técnicas detalladas.

Ese nivel de secreto refleja el dilema central de herramientas como Mythos: divulgar demasiada información sobre los fallos detectados también podría crear nuevos riesgos de seguridad.

Un cambio profundo en la ciberseguridad

Mythos representa una tendencia emergente en la que la inteligencia artificial acelera tanto la defensa como el ataque en el ámbito digital.

En lugar de que investigadores humanos analicen código durante semanas o meses, modelos avanzados podrían realizar análisis similares en minutos u horas.

Para empresas tecnológicas, gobiernos e instituciones financieras, el desafío será encontrar el equilibrio: usar la IA para proteger infraestructuras críticas sin permitir que esas mismas capacidades faciliten ciberataques a gran escala.