lunes, 4 de mayo de 2026


 


         Art 15/26. Claude Mythos, cuando la ciberseguridad pasa de pantalla.


Esta semana os hablo de algo que lleva de cabeza a muchas empresas; el fenómeno Claude Mythos. Si pensábais que este 2026 iba a ser un año más o menos tranquilo, agárrate, porque Mythos ha llegado para reventar el tablero. Anthropic, la empresa que siempre va de "niña buena" y ética de Silicon Valley, ha soltado una bomba que tiene a los CISO (directores de seguridad) durmiendo con la luz encendida y a los hackers frotándose las manos (si logran echarle el guante, claro).

Anunciado por Anthropic a principios de abril de 2026, ha marcado un antes y un después en la industria tecnológica de ciberseguridad. No se trata solo de un lanzamiento comercial convencional, sino  lo que los expertos denominan el "momento Mythos": el punto en el que la inteligencia artificial ha superado la capacidad humana para descubrir vulnerabilidades de software a escala masiva.

En este artículo, que intentaré que sea breve pero esclarecedor, analizo qué es Mythos, por qué Anthropic ha decidido no publicarlo y qué implicaciones tiene para el mundo en general y las empresas en particular.

 1. Pero, ¿qué es Claude Mythos?

El Mythos del que hablamos es un modelo de "frontera" diseñado con capacidades avanzadas de razonamiento y codificación técnica. A diferencia de sus predecesores en Anthropic  (como Claude 3.5 o el más reciente Opus 4.7), Mythos posee una capacidad agéntica sin precedentes en el mundo de la ciberseguridad.  Sintetizando lo más destacado:

  • Descubrimiento autónomo: Es capaz de identificar vulnerabilidades "zero-day" (o sea, desconocidas) en sistemas operativos y navegadores web complejos sin intervención humana.

  • Resultados históricos: En sus primeras pruebas, detectó fallos de seguridad que llevaban más de 27 años ocultos en código de código abierto (como OpenBSD), superando décadas (desde los años 90)  de auditorías humanas que no consiguieron resultados relevantes.

  • Proyecto Glasswing: Ante el riesgo de un mal uso, Anthropic no ha liberado el modelo al público. En su lugar, creó Glasswing, una coalición defensiva con gigantes como Microsoft, Google, Apple y Amazon para usar a Mythos únicamente con fines de parcheo y protección de infraestructuras críticas.

 2. Los Riesgos de este modelo: una "Navaja de Doble Filo"

La principal preocupación de Anthropic —y la razón por la que el Pentágono lo llegó a clasificar brevemente como un riesgo para la seguridad nacional— es la democratización de la ofensiva.

  • Aceleración del ciclo de explotación: Mythos reduce el tiempo entre el descubrimiento de un fallo y la creación de un exploit funcional de semanas a unos minutos.

  • Acceso no autorizado: Esto puede que os asuste un poco. Hace apenas unos días se confirmó que un grupo de curiosos en Discord logró acceder a una versión Preview a través de un tercero. No rompieron nada (dicen), pero demostraron que el muro no es tan alto como dicen y ha encendido las alarmas sobre la dificultad de contener un modelo tan potente.

  • Presión de parcheo: El modelo puede generar tal cantidad de reportes de vulnerabilidades que los equipos humanos de seguridad se ven desbordados (el llamado "colapso por volumen").

3. Estrategias de Mitigación

Anthropic y sus socios están implementando medidas para que esta tecnología no se convierta en un arma:

  • Acceso restringido y "Air-gapped": El modelo solo se ejecuta en entornos controlados y para socios certificados que demuestren un uso puramente defensivo.

  • Donaciones al Open Source: Anthropic ha destinado unos 4 millones de dólares y 100 millones en créditos de computación para ayudar a las comunidades de código abierto a gestionar la "avalancha de parches" que Mythos está generando.

  • IA contra IA: La única forma de defenderse de un ataque a velocidad de IA es usando defensas de IA. Se están desarrollando sistemas de "autorreparación" de código que aplican los parches sugeridos por Mythos de forma casi instantánea. Esto es relevante.

4. Impacto para las Empresas

Para el sector corporativo, Mythos no es solo una herramienta, es un cambio de paradigma:

  • De la detección a la respuesta: Hasta ahora, el problema era "encontrar" el agujero de seguridad. Con Mythos, el problema es que habrá demasiados agujeros encontrados. Las empresas deben invertir en automatización de la remediación, no solo en escaneo.

  • Nuevas exigencias de cumplimiento: Es muy probable que los seguros de ciberseguridad y las normativas gubernamentales empiecen a exigir que el software haya sido "auditado por modelos de frontera" antes de salir al mercado.

  • Ventaja competitiva: Las empresas que formen parte de los ecosistemas de defensa (como los partners de AWS o Azure que integran estas capacidades) tendrán una resiliencia muy superior a las que dependan de procesos de seguridad tradicionales y manuales.

5. Lectura para las diferentes áreas de una empresa y, en especial, para  formación

Muchos/as de lo que estáis leyendo todo esto de Mythos estáis pensando: “Esto va de ciberseguridad.”

Pues, en parte. Pero no solo afecta a nuestros colegas de ciber. Nos sirve de muestra de cómo una organización debe aprender cada vez más rápido. Y va de muchas mas cosas:

-          Va de si los equipos técnicos tienen tiempo y formación para trabajar con IA defensiva.

-          Va de si los mandos entienden qué significa aceptar un riesgo tecnológico.

-          Va de si Compras sabe evaluar proveedores con criterios reales de seguridad.

-          Va de si Legal y Compliance entienden la diferencia entre un informe bonito y una exposición crítica.

-          Va de si Negocio acepta parar algo cuando el riesgo lo exige.

-          Va de si la dirección sabe que “tenemos un plan” no significa absolutamente nada si nadie lo ha ensayado.

En este capitulo de la era Mythos, Formación no puede limitarse a cursos de concienciación con vídeos de phishing donde el malo escribe “urgente” con tres faltas de ortografía.

Eso ya no basta.

Necesitamos aprendizaje basado en escenarios, simulaciones, role plays ejecutivos, laboratorios con IA, ejercicios de crisis, formación en toma de decisiones, lectura crítica de informes técnicos y entrenamiento de equipos transversales.

Porque cuando la IA acelera el riesgo, la organización necesita acelerar el juicio.

Y el juicio no se descarga. Se entrena.

 Nota final:

 A pesar de su potencia o precisamente por esto, Mythos sigue bajo una vigilancia estricta. La reciente filtración accidental subraya que el mayor riesgo no es solo el modelo en sí, sino la infraestructura de terceros que lo rodea.

Resumiendo,  Mythos es el recordatorio de que en 2026 la ciberseguridad ya no es una partida de ajedrez entre humanos, sino una carrera armamentística entre algoritmos. Anthropic está intentando ser el guardián, pero la puerta ya ha empezado a chirriar. Y pensar que Mythos es un acaso aislado que tenemos controlado es vivir una fantasia.

 Fuentes:

  • Anthropic, Project Glasswing: Securing critical software for the AI era, abril 2026.

  • Anthropic Red Team, Claude Mythos Preview, abril 2026.

  • Anthropic, 0-Days, febrero 2026.

  • The Guardian, What is Mythos AI and why could it be a threat to global cybersecurity?, abril 2026.

  • Forrester, Project Glasswing: The 10 Consequences Nobody’s Writing About Yet, abril 2026.

 





Enlace a Spotify

en
Etiquetas: , , , , , ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)

           Art 15/26. Claude Mythos, cuando la ciberseguridad pasa de pantalla. Esta semana os hablo de algo que lleva de cabeza a muchas em...