lunes, 4 de mayo de 2026

Art 15/26. Claude Mythos, cuando la ciberseguridad pasa de pantalla.

Esta semana os hablo de algo que lleva de cabeza a muchas empresas; el fenómeno Claude Mythos. Si pensábais que este 2026 iba a ser un año más o menos tranquilo, agárrate, porque Mythos ha llegado para reventar el tablero. Anthropic, la empresa que siempre va de "niña buena" y ética de Silicon Valley, ha soltado una bomba que tiene a los CISO (directores de seguridad) durmiendo con la luz encendida y a los hackers frotándose las manos (si logran echarle el guante, claro).

Anunciado por Anthropic a principios de abril de 2026, ha marcado un antes y un después en la industria tecnológica de ciberseguridad. No se trata solo de un lanzamiento comercial convencional, sino lo que los expertos denominan el "momento Mythos": el punto en el que la inteligencia artificial ha superado la capacidad humana para descubrir vulnerabilidades de software a escala masiva.

En este artículo, que intentaré que sea breve pero esclarecedor, analizo qué es Mythos, por qué Anthropic ha decidido no publicarlo y qué implicaciones tiene para el mundo en general y las empresas en particular.

1. Pero, ¿qué es Claude Mythos?

El Mythos del que hablamos es un modelo de "frontera" diseñado con capacidades avanzadas de razonamiento y codificación técnica. A diferencia de sus predecesores en Anthropic (como Claude 3.5 o el más reciente Opus 4.7), Mythos posee una capacidad agéntica sin precedentes en el mundo de la ciberseguridad. Sintetizando lo más destacado:

Descubrimiento autónomo: Es capaz de identificar vulnerabilidades "zero-day" (o sea, desconocidas) en sistemas operativos y navegadores web complejos sin intervención humana.
Resultados históricos: En sus primeras pruebas, detectó fallos de seguridad que llevaban más de 27 años ocultos en código de código abierto (como OpenBSD), superando décadas (desde los años 90) de auditorías humanas que no consiguieron resultados relevantes.
Proyecto Glasswing: Ante el riesgo de un mal uso, Anthropic no ha liberado el modelo al público. En su lugar, creó Glasswing, una coalición defensiva con gigantes como Microsoft, Google, Apple y Amazon para usar a Mythos únicamente con fines de parcheo y protección de infraestructuras críticas.

2. Los Riesgos de este modelo: una "Navaja de Doble Filo"

La principal preocupación de Anthropic —y la razón por la que el Pentágono lo llegó a clasificar brevemente como un riesgo para la seguridad nacional— es la democratización de la ofensiva.

Aceleración del ciclo de explotación: Mythos reduce el tiempo entre el descubrimiento de un fallo y la creación de un exploit funcional de semanas a unos minutos.
Acceso no autorizado: Esto puede que os asuste un poco. Hace apenas unos días se confirmó que un grupo de curiosos en Discord logró acceder a una versión Preview a través de un tercero. No rompieron nada (dicen), pero demostraron que el muro no es tan alto como dicen y ha encendido las alarmas sobre la dificultad de contener un modelo tan potente.
Presión de parcheo: El modelo puede generar tal cantidad de reportes de vulnerabilidades que los equipos humanos de seguridad se ven desbordados (el llamado "colapso por volumen").

3. Estrategias de Mitigación

Anthropic y sus socios están implementando medidas para que esta tecnología no se convierta en un arma:

Acceso restringido y "Air-gapped": El modelo solo se ejecuta en entornos controlados y para socios certificados que demuestren un uso puramente defensivo.
Donaciones al Open Source: Anthropic ha destinado unos 4 millones de dólares y 100 millones en créditos de computación para ayudar a las comunidades de código abierto a gestionar la "avalancha de parches" que Mythos está generando.
IA contra IA: La única forma de defenderse de un ataque a velocidad de IA es usando defensas de IA. Se están desarrollando sistemas de "autorreparación" de código que aplican los parches sugeridos por Mythos de forma casi instantánea. Esto es relevante.

4. Impacto para las Empresas

Para el sector corporativo, Mythos no es solo una herramienta, es un cambio de paradigma:

De la detección a la respuesta: Hasta ahora, el problema era "encontrar" el agujero de seguridad. Con Mythos, el problema es que habrá demasiados agujeros encontrados. Las empresas deben invertir en automatización de la remediación, no solo en escaneo.
Nuevas exigencias de cumplimiento: Es muy probable que los seguros de ciberseguridad y las normativas gubernamentales empiecen a exigir que el software haya sido "auditado por modelos de frontera" antes de salir al mercado.
Ventaja competitiva: Las empresas que formen parte de los ecosistemas de defensa (como los partners de AWS o Azure que integran estas capacidades) tendrán una resiliencia muy superior a las que dependan de procesos de seguridad tradicionales y manuales.

5. Lectura para las diferentes áreas de una empresa y, en especial, para formación

Muchos/as de lo que estáis leyendo todo esto de Mythos estáis pensando: “Esto va de ciberseguridad.”

Pues, en parte. Pero no solo afecta a nuestros colegas de ciber. Nos sirve de muestra de cómo una organización debe aprender cada vez más rápido. Y va de muchas mas cosas:

- Va de si los equipos técnicos tienen tiempo y formación para trabajar con IA defensiva.

- Va de si los mandos entienden qué significa aceptar un riesgo tecnológico.

- Va de si Compras sabe evaluar proveedores con criterios reales de seguridad.

- Va de si Legal y Compliance entienden la diferencia entre un informe bonito y una exposición crítica.

- Va de si Negocio acepta parar algo cuando el riesgo lo exige.

- Va de si la dirección sabe que “tenemos un plan” no significa absolutamente nada si nadie lo ha ensayado.

En este capitulo de la era Mythos, Formación no puede limitarse a cursos de concienciación con vídeos de phishing donde el malo escribe “urgente” con tres faltas de ortografía.

Eso ya no basta.

Necesitamos aprendizaje basado en escenarios, simulaciones, role plays ejecutivos, laboratorios con IA, ejercicios de crisis, formación en toma de decisiones, lectura crítica de informes técnicos y entrenamiento de equipos transversales.

Porque cuando la IA acelera el riesgo, la organización necesita acelerar el juicio.

Y el juicio no se descarga. Se entrena.

Nota final:

A pesar de su potencia o precisamente por esto, Mythos sigue bajo una vigilancia estricta. La reciente filtración accidental subraya que el mayor riesgo no es solo el modelo en sí, sino la infraestructura de terceros que lo rodea.

Resumiendo, Mythos es el recordatorio de que en 2026 la ciberseguridad ya no es una partida de ajedrez entre humanos, sino una carrera armamentística entre algoritmos. Anthropic está intentando ser el guardián, pero la puerta ya ha empezado a chirriar. Y pensar que Mythos es un acaso aislado que tenemos controlado es vivir una fantasia.

Fuentes:

Anthropic, Project Glasswing: Securing critical software for the AI era, abril 2026.
Anthropic Red Team, Claude Mythos Preview, abril 2026.
Anthropic, 0-Days, febrero 2026.
The Guardian, What is Mythos AI and why could it be a threat to global cybersecurity?, abril 2026.
Forrester, Project Glasswing: The 10 Consequences Nobody’s Writing About Yet, abril 2026.

Enlace a Spotify

martes, 7 de abril de 2026

Art 14/26. KPIs de impacto: Cómo medir la madurez real de la IA (y no solo el ruido).

Hola de nuevo. En el artículo que precede hemos visto como una organización no es madura en IA por tener miles de licencias de Copilot o un chatbot interno vistoso. La madurez llega cuando la IA se convierte en valor de negocio repetible, con riesgos controlados, procesos rediseñados y una gobernanza real.

Los marcos más serios del momento coinciden:

NIST exige un ciclo de gobernar, mapear y medir.
ISO/IEC 42001 demanda mejora continua y control.
El AI Act obliga a garantizar la alfabetización (AI Literacy) de quienes operan estos sistemas.

El error más común es medir el éxito con KPIs de actividad ("¿cuántos prompts hacemos?"). Lo que hoy os propongo es un cuadro de mando de impacto, ordenado de mayor a menor relevancia estratégica.

El Cuadro de Mando: 15 KPIs de Madurez en IA.

Vamos a ponernos en faena, dividiéndolos en tres grandes bloques:

I. Impacto de Negocio y Escalabilidad

KPI	Qué mide	Cálculo sugerido	Umbral de Madurez
1. % Casos de uso con valor validado	El fin de la "IA decorativa".	(Casos con ROI/impacto validado / Total en producción)	> 60%
2. % Procesos críticos rediseñados (E2E)	Si hemos cambiado la forma de trabajar o solo hemos puesto un "parche" de IA.	(Procesos con workflow rediseñado / Total procesos prioritarios)	25% - 30%
3. Ratio de escalado (Pilot-to-Prod)	Capacidad de industrialización.	(Casos en producción / Pilotos iniciados en 12 meses)	> 35%
4. Productividad Neta Ganada	Ahorro real restando el tiempo de supervisión.	(Horas ahorradas - Horas de revisión humana)	Positivo y estable
5. Índice de Calidad del Output	Si la IA mejora el resultado o solo lo acelera.	Tasa de acierto o reducción de retrabajo vs. línea base	Mejora sostenida

II. Gobernanza, Riesgo y Ética

KPI	Qué mide	Cálculo sugerido	Umbral de Madurez
6. % Sistemas con Gobernanza Completa	Control real (dueño, riesgo, trazabilidad).	(Sistemas con "Governance Pack" / Total sistemas)	> 90%
7. Tasa de Incidentes y Tiempo de Resolución (MTTR)	Seguridad y fiabilidad operativa.	Incidentes por cada 1.000 usuarios + tiempo de cierre	Tendencia a la baja
8. % Decisiones con Supervisión Humana	Evitar el "piloto automático" peligroso.	(Casos con validación humana explícita / Casos de alto riesgo)	100% en riesgo alto
9. % Iniciativas con Evaluación de Impacto Ético	Responsabilidad y cumplimiento del AI Act.	(Proyectos con assessment ético / Total proyectos)	> 80%

III. Personas, Cultura y Adopción

KPI	Qué mide	Cálculo sugerido	Umbral de Madurez
10. Tasa de Adopción Útil	Uso recurrente con sentido, no solo acceso.	(Usuarios activos semanales en flujos reales / Población con acceso)	> 70%
11. % Líderes que usan IA en su gestión	Liderazgo con el ejemplo.	(Directivos que usan IA en decisiones/análisis / Total líderes)	> 80%
12. % Empleados con AI Literacy acreditada	Cumplimiento legal y preparación básica.	(Personas formadas y evaluadas / Total plantilla)	90% general / 100% críticos
13. % Colectivos con Plan de Upskilling activo	Preparación ante el desplazamiento de tareas.	(Familias con mapa de skills + itinerario / Total familias críticas)	> 75%
14. Índice de Confianza del Empleado	Legitimidad interna y seguridad psicológica.	Encuesta de percepción (utilidad, justicia y claridad)	Alta y estable
15. % Procesos de RRHH transformados	El salto de madurez en la gestión del talento.	(Procesos de RRHH con IA auditada / Total procesos RRHH)	> 40%

Resumen Ejecutivo: Los 5 Mínimos para el Comité de Dirección

Si tienes 2 minutos con el CEO, olvida los 15 indicadores y céntrate en estos 5:

Impacto económico: % de casos de uso con valor validado.
Transformación: % de procesos críticos rediseñados.
Control: % de sistemas con gobernanza completa (Cumplimiento).
Eficiencia: Productividad neta ganada (ahorro real).
Capacidad: % de empleados con adopción útil y acreditación.

Idea final

La madurez no la gana quien tiene más herramientas, sino quien introduce la IA en el ADN de la organización. Medir solo una dimensión (como la tecnología) es engañarse. La madurez es el equilibrio entre negocio, trabajo, personas y gobernanza.

Fuentes:

Marcos: NIST AI RMF 1.0, ISO/IEC 42001:2023.
Regulación: Portal del AI Act (Comisión Europea).
Informes: II Barómetro de la IA (NTT DATA & ISDI), McKinsey The State of AI 2025, WEF Future of Jobs 2025.

Y si lo quieres escuchar en spotfy,. clica aquí

lunes, 6 de abril de 2026

Art 13/26. La madurez en la IA no se mide en el número de licencias, sino en los cambios medibles.

Durante meses, demasiadas empresas han hecho con la IA lo que el corporativismo hace mejor cuando llega algo grande: convertir una sacudida histórica en una colección de demos, licencias, pilotos y frases huecas en presentaciones. Mucho dato sin valor. Mucha foto. Mucha proyección . Y poca verdad incómoda. Porque no, una organización no es madura en inteligencia artificial porque haya desplegado un piloto con IA, abierto un buzón de casos de uso o montado un comité con nombre futurista. Es madura cuando puede demostrar, con datos, que la IA está cambiando cómo se trabaja, cómo se decide, cómo se controla los riesgos y cómo se genera valor. Lo demás es, lamentablemente, maquillaje digital.

El problema no es que falte IA, ¡será por modelos!. El problema es que sobra autosugestión. Algunos estudios que os dejo al final del artículo, dejan una fotografía bastante elegante, pero también bastante contundente: las organizaciones avanzan en estrategia y gobernanza más que en transformación profunda del trabajo, y el gran agujero sigue estando en talento y experiencia de empleado. En el del Barómetro de la IA (primera entrada), la media del eje de estrategia se sitúa en 2,94 sobre 5, la de cultura y liderazgo en 2,75, la de gobernanza en 2,89 y la de IA aplicada a talento cae a 2,30. Traducido al castellano llano: muchas empresas ya han aprendido a hablar de IA; bastantes incluso han aprendido a ordenarla; pero muy pocas han aceptado todavía que la IA exige rediseñar la organización de verdad. Hablamos de cambios profundos.

Y ahí empieza lo serio. Porque cuando uno rasca un poco, aparece la grieta que muchos intentan tapar con entusiasmo corporativo: la estrategia declarada va por delante del rediseño real. El citado barómetro lo dice con bastante claridad. La estrategia corporativa de IA alcanza un 3,46, pero el rediseño de roles, funciones y modelos organizativos se queda en 2,30. Es decir, ya sabemos decir que la IA es estratégica, pero todavía nos cuesta muchísimo aceptar sus consecuencias estructurales. Queremos productividad sin tocar el trabajo. Queremos automatización sin tocar los procesos. Queremos agentes sin tocar los controles. Queremos transformación… sin transformarnos. Y eso no es lo que buscábamos.

Eso explica la razón del artículo de hoy, el porqué resulta tan necesario hablar de medición. Porque cuando una organización no mide bien la IA, casi siempre termina midiendo tonterías. Cuenta licencias activadas. Cuenta cursos impartidos. Cuenta asistentes desplegados. Cuenta prompts. Cuenta pilotos. Pero casi nunca responde a las preguntas que realmente importan:

¿Qué valor ha generado?. Clave
¿Qué trabajo se ha rediseñado?. Ojo
¿Qué errores ha evitado?. Sí, no todo son alegrías
¿Qué riesgos ha abierto?. Porque aparecerán
¿Qué decisiones siguen siendo humanas?. Las importantes deberían
¿Qué funciones han cambiado?. Si cambiamos , cambiamos de verdad.
¿Qué sesgos ha reducido o amplificado?. Ya sabéis que los tiene, ¿verdad?
¿Qué parte del negocio funciona hoy mejor gracias a la IA y no solo más rápido?. No confundamos los términos.

Todo lo citado marca la diferencia entre medir actividad y medir impacto. Y es la frontera exacta entre la adolescencia digital y la madurez empresarial.

Vamos por partes

De hecho, ese informe deja una frase contundente, aunque la formule con educación institucional: “el acceso a herramientas supera a la transformación organizativa”. Muy fino el redactado. Es una forma muy sutil de decir algo bastante salvaje: los empleados ya tienen IA en las manos, pero las empresas todavía no han rehecho el sistema para sacar partido de eso. La IA ya circula por la operativa diaria, pero los modelos de gestión, especialmente en Recursos Humanos, siguen sin haberse rediseñado plenamente. Y eso no es un matiz. Eso es el corazón del problema.

Porque uno de los grandes errores que se están extendiendo es este: creer que la integración de la IA consiste en dar acceso. No. Dar acceso no es integrar. Dar acceso es repartir llaves. Integrar es rehacer la casa. Integrar significa cambiar flujos de trabajo, redistribuir tareas, redefinir supervisión, crear nuevos criterios de calidad, revisar tiempos de decisión, ajustar accountability, reentrenar liderazgo y rehacer mapas de competencias. Si eso no ocurre, la IA no transforma la empresa. Se limita a orbitar alrededor de ella como un satélite caro e infrautilizado.

Aquí conviene ponerse un poco menos ingenuo/a. Los marcos serios van justo en esa dirección. NIST no plantea la IA como una simple cuestión técnica, sino como un sistema de riesgos que afecta a individuos, organizaciones y sociedad, y propone gestionarla de forma continua mediante funciones de gobernar, mapear, medir y gestionar. O sea: contexto, control, seguimiento y corrección. No quedarnos en los titulares. Ni en un entusiasmo sin método. Nada de “ya veremos”.

ISO/IEC 42001 remata la idea desde otro ángulo: si quieres hablar en serio de madurez en IA, necesitas algo más que buenas intenciones o políticas bonitas. Necesitas un sistema de gestión de IA. Es decir, requisitos para establecer, implementar, mantener y mejorar continuamente cómo desarrollas, usas o despliegas IA. Dicho sin rodeos: una organización madura no tiene solo una política; tiene un sistema que aguanta auditoría, escala, incidentes y cambios de contexto sin venirse abajo.

Y Europa, por si alguien aún cree que esto va solo de inspiración o cultura digital, también aprieta por donde debe. La Comisión Europea recuerda que el AI Act exige que proveedores y deployers tomen medidas para asegurar un nivel suficiente de alfabetización en IA de su personal y de quienes operan estos sistemas en su nombre, teniendo en cuenta experiencia, formación y contexto de uso. Esto ya no va de “ser modernos”. Va de responsabilidad operativa, cumplimiento y capacidad real de uso.

Ahora bien, tampoco conviene caer en otra trampa muy habitual: confundir formación con madurez. Formar es necesario. Pero formar no basta. Un curso no rediseña un proceso. Gran error que muchas organizaciones no terminan de entender. Un taller no corrige un modelo de decisión. Una sesión inspiradora no arregla una mala arquitectura organizativa. El World Economic Forum lleva tiempo avisando de que las brechas de skills son una de las mayores barreras para la transformación empresarial y sitúa AI and big data y technological literacy entre las capacidades con mayor crecimiento previsto. Eso está muy bien. Pero el punto no es solo enseñar a usar IA. El punto es qué organización construyes después de enseñar a usarla.

Empezar a medir el impacto real

Por eso me parece que este es el momento de hacer una pausa quizá incómoda pero necesaria. Antes de seguir comprando herramientas, antes de seguir celebrando pilotos, antes de seguir compartiendo casos de éxito con más humo que métrica, toca hacerse una pregunta adulta: ¿sabemos realmente cómo medir la madurez de nuestra integración de la IA? Porque si la respuesta es no, entonces no sabemos ni dónde estamos, ni qué funciona, ni qué falla, ni qué riesgos estamos tolerando a ciegas.

Y aquí viene lo importante. Medir el impacto de la IA no es solo una cuestión de control. Es una cuestión de honestidad. Obliga a separar el ruido del valor. Obliga a distinguir entre experimentación y escalado. Obliga a identificar si la IA está mejorando calidad o solo acelerando errores. Obliga a ver si estamos elevando capacidades o generando dependencia ciega. Obliga a detectar si el liderazgo la impulsa de verdad o simplemente la bendice desde lejos. Obliga, en definitiva, a abandonar la adolescencia corporativa de la fascinación y entrar en la adultez de la evidencia.

Porque la IA ya no necesita más cheerleaders. Necesita mejores métricas más allá de licencias compradas.

Necesita empresas que sepan si sus casos de uso generan valor real o solo actividad. Necesita organizaciones capaces de demostrar que han rehecho procesos y no solo interfaces. Necesita funciones de Personas que dejen de mirar la IA como un accesorio y empiecen a incorporarla en la arquitectura completa del ciclo de vida del empleado. Necesita liderazgo que no solo hable de IA, sino que la use, la entienda, la limite cuando toque y la exija donde aporta. Y necesita gobernanza que no mate la innovación, pero tampoco permita que la innovación se convierta en una fábrica elegante de riesgos.

Concluyendo (de momento)

Mi impresión, bastante clara, es que muchas empresas están justo en ese punto delicado: ya no pueden permitirse seguir jugando a “estamos explorando”, pero todavía no se atreven a someter la IA a un examen serio de impacto. Y eso tiene lógica. Medir de verdad da vértigo. Porque cuando mides de verdad, descubres dos cosas incómodas: que parte de lo que presentabas como avance era solo ruido, y que la transformación de fondo exige tocar estructuras, incentivos y poder. Y eso ya no se arregla con la presentación del principio.

Así que esta primera entrega va exactamente de eso: de poner sobre la mesa que antes de presumir de madurez en IA hay que decidir cómo demonios se mide esa madurez. No para hacer burocracia. No para poner otra capa de reporting inútil. Sino para distinguir, de una vez, entre las organizaciones que están integrando la IA con sentido y las que simplemente la están paseando por los pasillos con una chapa de innovación colgada al cuello.

En la segunda entrega -próxima semana- bajaré a tierra esa discusión y compartiré una lista de KPIs para medir la madurez en la integración de la IA en las empresas. No una lista cosmética para quedar bien en un comité. Una lista que espero sea útil para saber si la IA está generando valor, rediseñando trabajo, preparando personas y operando bajo control. Porque si no sabemos medir el impacto, no sabemos gestionar la transformación. Y si no sabemos gestionar la transformación, entonces la supuesta “madurez en IA” no es madurez. Es marketing con conexión WiFi.

A eso no le llamaría yo precisamente madurez. Eso es, muchas veces, maquillaje digital con presupuesto.

La pregunta seria, por tanto, no es cuánta IA has desplegado. La pregunta seria es esta:

¿Qué está cambiando de verdad en tu organización gracias a la IA… y cómo lo estás midiendo?

Creo que ha llegado el momento de dejar de hablar solo de adopción y empezar a hablar de impacto medido.

Porque, muchos/as lo sabéis, lo que no se mide bien

no se gobierna,
no se escala,
no se corrige,
y casi siempre se sobrevende.

Una empresa no madura en IA por comprarla

Madura cuando empieza a medir el cambio.

#InteligenciaArtificial #IA #TransformacionDigital #Liderazgo #RRHH #Talento

Fuentes

NTT DATA & ISDI, II Barómetro de la IA y el talento en España: avance por ejes, brecha entre acceso a herramientas y transformación organizativa, y menor madurez en talento y experiencia de empleado.
NIST, AI Risk Management Framework (AI RMF 1.0): gestión de riesgos de IA para individuos, organizaciones y sociedad; enfoque de gobernar, mapear, medir y gestionar. (NIST)
ISO, ISO/IEC 42001: primer estándar internacional para sistemas de gestión de IA, con enfoque estructurado de riesgos, oportunidades y mejora continua. (ISO)
Comisión Europea, AI Literacy – Questions & Answers y portal del AI Act: obligación de asegurar un nivel suficiente de alfabetización en IA para personal y operadores. (Estrategia Digital Europea)
World Economic Forum, Future of Jobs Report 2025: las brechas de skills como gran barrera de transformación y auge de AI and big data y technological literacy. (World Economic Forum)
Y si quieres escucharlo en spotify

El blog de Ramón García