Europa se sienta a la mesa: Anthropic abre su arsenal de IA defensiva a la UE tras semanas de tensión

A lo largo de mayo, la situación se intensificó. Altos funcionarios de la Comisión Europea volaron a San Francisco para solicitar acceso directamente a los ejecutivos de Anthropic . En aquel momento, el ministro de Economía de España declaró públicamente que el progreso había sido "limitado", y las negociaciones para que las entidades financieras europeas obtuvieran acceso estaban efectivamente estancadas . La prensa internacional enmarcó la falta de acceso de la UE como una "brecha tecnológica e institucional", señalando que mientras el Banco de Inglaterra, la Reserva Federal y el Tesoro estadounidense ya habían recibido información, ninguna institución de la UE tenía acceso operativo . La decisión del 1 de junio es la resolución directa de esta campaña de presión pública.

¿Qué hace tan especial a Mythos?

Para entender la magnitud de este acceso, primero hay que entender lo que esta IA puede hacer. Claude Mythos Preview no es un simple chatbot. Es un modelo de inteligencia artificial que, una vez recibe una instrucción, es capaz de leer código fuente de forma autónoma, formular hipótesis sobre vulnerabilidades, ejecutar pruebas y redactar exploits funcionales, todo sin intervención humana . Durante sus evaluaciones iniciales, descubrió miles de vulnerabilidades de día cero de alta gravedad en todos los sistemas operativos y navegadores principales, incluidos Windows, macOS y Linux .

Los hallazgos específicos son asombrosos. Mythos identificó un fallo de 27 años de antigüedad en la implementación TCP SACK de OpenBSD —considerado uno de los sistemas más seguros— y un error de hace 16 años en el popular códec FFmpeg . De manera inquietante, encadenó cuatro vulnerabilidades de forma autónoma para escapar del sandbox del sistema operativo desde un navegador . En una comparativa, construyó 181 exploits de shell funcionales contra Firefox 147, donde el mejor modelo anterior solo había conseguido 2 . Para el 23 de mayo de 2026, los socios del Proyecto Glasswing ya habían reportado más de 10.000 vulnerabilidades de gravedad alta o crítica en software de importancia sistémica. Solo el gigante de internet Cloudflare encontró casi 2.000 fallos en sus sistemas con una tasa de falsos positivos inferior a la de los auditores humanos .

El escudo defensivo del Proyecto Glasswing

A pesar del enorme poder ofensivo del modelo, su acceso está regido por estrictos términos defensivos. Todos los socios del Proyecto Glasswing, incluida ahora ENISA, deben usar Mythos Preview exclusivamente para labores de ciberseguridad defensiva: identificar vulnerabilidades, parchearlas y reportarlas en software crítico . Los términos prohíben explícitamente cualquier operación ofensiva. Para sellar este compromiso, Anthropic ha destinado hasta 100 millones de dólares en créditos de uso para la iniciativa y otros 4 millones en donaciones directas a organizaciones de seguridad de código abierto .

La inclusión de ENISA significa que la UE ahora puede aplicar esta capacidad defensiva a sus propias infraestructuras críticas. Las instituciones europeas se enfrentan a riesgos reales de adversarios que podrían obtener o replicar capacidades de IA similares con fines maliciosos . El BCE ya ha advertido a los bancos de la eurozona que las amenazas cibernéticas impulsadas por IA —mencionando explícitamente las herramientas de la clase de Mythos— son una de sus mayores preocupaciones . El acceso de ENISA proporciona visibilidad de primera mano sobre un panorama de amenazas inédito y la capacidad de poner a prueba las defensas europeas contra el escáner autónomo de vulnerabilidades más avanzado del planeta.

Lo que el acuerdo (aún) no resuelve

Este acuerdo es un gran avance para la soberanía digital y la ciberseguridad europea, pero su alcance es limitado. Si bien ENISA ya tiene voz y voto, el acceso para el resto de instituciones financieras europeas o para los estados miembros de forma individual sigue sin resolverse. A finales de mayo de 2026, las conversaciones sobre las modalidades de prueba para la banca comercial europea seguían estancadas . La entrada de ENISA en el Proyecto Glasswing cierra una peligrosa brecha diplomática, pero aún no extiende el paraguas defensivo de esta IA a todo el continente.