La comunidad de ciberseguridad se puso en alerta cuando Anthropic anunció el 7 de abril de 2026 que su modelo de lenguaje grande de propósito general más reciente y más capaz, Claude Mythos Preview, había demostrado capacidades notables —y no intencionadas—. El sistema artificial de inteligencia fue capaz de encontrar y explotar vulnerabilidades de software —el tipo de fallos más graves— a un ritmo nunca visto antes.
La noticia despertó preocupación entre el público, los gobiernos mundiales y el sector de las tecnologías de la información sobre la capacidad de la IA actual para socavar la ciberseguridad, y algunas personas presentan el modelo como una amenaza global de ciberseguridad.
Alegando que sería demasiado arriesgado publicar el modelo y que la empresa tenía la responsabilidad moral de revelar estas vulnerabilidades, Anthropic afirmó que no ofrecería el modelo al público de inmediato. En su lugar, concedió acceso exclusivo a gigantes tecnológicos para probar las capacidades del modelo, un proceso que Anthropic bautizó como Proyecto Glasswing.
Como investigador en ciberseguridad, creo que las capacidades de Mythos son impresionantes, pero el sistema de IA no representa un cambio radical. El mito es menos una amenaza nueva que un espejo que refleja cómo se comporta la gente y lo frágiles que ya son los sistemas modernos.
Lo que hizo Mythos
Durante una evaluación controlada, ingenieros con mínima experiencia en seguridad solicitaron a Mythos que escaneara miles de bases de código de software en busca de vulnerabilidades. El modelo mostró capacidades impactantes para realizar ataques autónomos en varios pasos que los expertos tardan semanas o incluso meses en prepararse. Mythos no solo fue capaz de descubrir 271 vulnerabilidades en Firefox de Mozilla, sino que también desarrolló exploits para aprovechar 181 de ellas.
En general, el equipo rojo de Anthropic, que asume el papel de atacante para probar defensas, y el Instituto de Seguridad de IA del Reino Unido informaron que Mythos encontró miles de vulnerabilidades zero-day, o previamente no reportadas, en sistemas operativos importantes, navegadores web y otras aplicaciones, fallos de software que aún no han sido parcheados y que pueden convertirse en exploits de inmediato. Los responsables de la Agencia de Seguridad Nacional que prueban Mythos han quedado impresionados por la rapidez y eficiencia de la herramienta para encontrar vulnerabilidades de software, según un informe de prensa.
Entre los más ampliamente reportados se encuentran la capacidad de Mythos para identificar una falla de seguridad latente de 27 años en OpenBSD, un sistema operativo enfocado en la seguridad, y un error de hace 16 años en FFmpeg, una herramienta de procesamiento de vídeo/audio. Algunos de estos fallos permiten a usuarios no autenticados controlar las máquinas que alojan estas aplicaciones.
Aún más llamativo es que los ingenieros relativamente inexpertos que dirigían las evaluaciones de Mythos pudieron usar Mythos para completar ataques de la noche a la mañana, desde encontrar vulnerabilidades hasta explotarlas, algo que puede llevar semanas a los expertos humanos. La capacidad del modelo para encadenar múltiples pasos fue lo que sorprendió a Anthropic y a las organizaciones que lo probaron. En una evaluación realizada por el AI Security Institute, Mythos logró tomar el control de una red corporativa simulada en tres de cada diez intentos, siendo el primer modelo de IA en lograr el éxito en la tarea.
Estos resultados son reales. También pintan un cuadro incompleto de formas que importan.
Te puede interesar: Presidente de OpenIA recuerda la ira de Musk
¿Dónde está el avance?
A primera vista, el avance de Mythos suena novedoso y podría señalar una nueva clase de amenazas cibernéticas. Sin embargo, un análisis más detallado sugiere algo diferente. Las vulnerabilidades que encontró Mythos no son de naturaleza nueva. Por lo general, no pertenecen a fallos de seguridad desconocidos y, en muchos casos, son variaciones de clases de vulnerabilidades de software bien conocidas y comprendidas.
En ciberseguridad, encontrar nuevos casos de tipos conocidos de fallos no es inusual. Los ataques más exitosos dependen de vulnerabilidades conocidas y bien definidas que permanecen ignoradas o sin parchear. Lo que preocupaba a los investigadores no era que Mythos cambiara la naturaleza de encontrar y explotar vulnerabilidades, sino la intensa escala y rapidez con la que pudo encontrar y explotar esas vulnerabilidades.
Esto no es un avance en sí mismo, sino más bien el resultado de décadas de investigación tanto en ciberseguridad como en IA. En ese sentido, Mythos es el resultado natural —y esperado— de una automatización potente e integración de IA porque sigue los mismos procedimientos fundamentales usados en las prácticas estándar de ciberseguridad ofensiva. Estos incluyen escanear vulnerabilidades, identificar patrones y probar la explotabilidad. El mito y modelos emergentes similares hacen posible encadenar estos pasos a una velocidad difícil de comprender.
Entonces, ¿por qué se pasaron por alto estas vulnerabilidades en primer lugar?
Es fundamental entender que no todas las vulnerabilidades son rentables de corregir, y no todas son una prioridad. Mythos no descubrió un nuevo tipo de debilidad: expuso los límites de cómo los profesionales de la ciberseguridad los buscan.
Nueva tecnología, dinámica ancestral
Mythos pone de relieve un hecho importante sobre la realidad de las amenazas de ciberseguridad. Los defensores del sistema siempre están en desventaja porque siempre tienen que tener éxito. Sin embargo, los atacantes solo necesitan tener éxito una vez para romper la seguridad de un sistema. Este juego del gato y el ratón siempre será el mismo, y Mythos no cambia eso: simplemente lo refuerza.
Mythos sigue una dinámica familiar: una herramienta creada para proteger también puede usarse para atacar y dañar.
“Las mismas mejoras que hacen que el modelo sea sustancialmente más eficaz para parchear vulnerabilidades también lo hacen mucho más eficaz para explotarlas”, escribieron funcionarios de Anthropic en una entrada de blog sobre Mythos.
Lo que antes podía requerir habilidades altamente especializadas ahora puede lograrse con mucho menos esfuerzo, lo que plantea la pregunta más importante: ¿Quién se beneficiará primero usando herramientas como Mythos: defensores o atacantes?
*Mohammad Ahmad es Profesor Adjunto de Sistemas de Información de Gestión en la Universidad de Virginia Occidental.
Este artículo fue publicado originalmente en The Conversation/Reuters
Suscríbete a nuestro canal de YouTube y no te pierdas de nuestro contenido
