El arma secreta contra ciberataques: La IA de Anthropic encontró un fallo de 27 años en sistemas ultra seguros y suma a Hitachi y BeyondTrust

El motivo es simple y alarmante. Anthropic estima que un ciberataque exitoso contra uno de estos grupos de infraestructura crítica podría desatar un riesgo sistémico enorme. Para anticiparse a los atacantes, la compañía ha decidido poner su herramienta más potente en manos de quienes gestionan los servicios esenciales .

Esta expansión global incluye nombres muy reveladores. Por ejemplo, el 8 de junio de 2026, se anunció la incorporación de BeyondTrust, un líder en seguridad de identidad y gestión de privilegios. Su código está profundamente integrado en administraciones públicas y servicios esenciales de todo el mundo. Ahora, usarán Mythos Preview para acelerar la detección y reparación de fallos en todo su catálogo de productos .

Días antes, el 5 de junio, el gigante industrial japonés Hitachi confirmó su participación. Hitachi aplicará esta IA para reforzar la ciberseguridad de su software de infraestructura social, la base digital que sostiene redes de energía, transporte y sistemas urbanos .

Estos nuevos socios se unen a un grupo fundacional que ya incluía a Amazon Web Services, Apple, CrowdStrike, Google, Microsoft, NVIDIA y agencias del gobierno estadounidense. Esta coalición intersectorial no tiene precedentes en la historia de la defensa cibernética, y su tamaño y diversidad geográfica no paran de crecer .

Un modelo que rompe las reglas del juego

La urgencia de este esfuerzo nace de las capacidades asombrosas y peligrosas del propio Claude Mythos Preview. Anthropic lo describe sin rodeos como un modelo “sorprendentemente capaz en tareas de seguridad informática” . No estamos ante un simple chatbot. Actúa como un investigador de vulnerabilidades y desarrollador de exploits autónomo.

En pruebas internas, Anthropic confirmó que Mythos Preview podía identificar y luego construir de forma autónoma exploits funcionales para vulnerabilidades de día cero en todos los sistemas operativos y navegadores web principales . La escala de sus hallazgos deja en ridículo cualquier referencia anterior. En una prueba comparativa con Firefox 147, Mythos Preview generó 181 exploits de JavaScript funcionales. El segundo mejor modelo, Claude Opus 4.6, produjo solo dos .

A finales de mayo de 2026, los socios del programa ya habían usado el modelo para identificar más de 10,000 fallos de seguridad de alta gravedad o críticos . Una sola ejecución inicial en Cloudflare sacó a la luz unos 400 bugs críticos. Mozilla, por su parte, utilizó los hallazgos para parchear 271 vulnerabilidades en Firefox 150 . Entre más de 1,000 proyectos de código abierto, el modelo marcó 23,019 incidencias. Cuando contratistas profesionales de seguridad revisaron manualmente una muestra, verificaron la calificación de gravedad en el 89% de los casos .

El error imposible: desenterrando un fantasma de 27 años

El descubrimiento más emblemático fue un error en OpenBSD, un sistema operativo famoso por su seguridad obsesiva que se somete a auditorías constantes. El fallo, presente en la implementación de TCP SACK, podía bloquear cualquier servidor sin parchear con solo dos paquetes de datos. Había sobrevivido 27 años de revisión humana sin ser detectado .

Este hallazgo no fue un golpe de suerte aislado. El modelo también encontró una vulnerabilidad de 17 años en FreeBSD que permitía a un atacante sin autenticación obtener control total del servidor (CVE-2026-4747), así como fallos de corrupción de memoria en monitores de máquinas virtuales que se consideraban teóricamente seguros. El coste de la ejecución específica que descubrió el fallo de OpenBSD fue de apenas 20,000 dólares para toda la campaña, y menos de 50 dólares en cómputo para ese bug en concreto .

100 millones de dólares para defender, no para atacar

Consciente del doble uso de esta tecnología, Anthropic ha tomado una decisión radical: el modelo Claude Mythos Preview sigue sin estar disponible para el público general. La empresa lo mantiene bajo llave, accesible solo mediante invitación dentro del programa Project Glasswing. Los participantes firman contratos estrictos que prohíben explícitamente cualquier uso ofensivo o de desarrollo de exploits maliciosos .

Para respaldar este despliegue defensivo sin precedentes, Anthropic ha comprometido hasta 100 millones de dólares en créditos de uso del modelo, cubriendo así los costes computacionales para que los socios puedan escanear sus bases de código en busca de vulnerabilidades . Adicionalmente, la compañía ha destinado 4 millones de dólares en donaciones a grupos de seguridad de código abierto.

Esta estrategia de contención marca un antes y un después en la industria. Lejos de la carrera por lanzar productos de IA al mercado, Anthropic advierte que las capacidades ofensivas de este modelo son demasiado peligrosas. Su decisión de no publicarlo, sino de canalizarlo como una herramienta defensiva de élite, podría convertirse en el nuevo estándar de la ciberseguridad en la era de la inteligencia artificial.