Mythos es la gran amenaza a la seguridad mundial de Anthropic: qué pasará ahora

La comunidad de la ciberseguridad se puso en alerta cuando Anthropic anunció el 7 de abril de 2026 que su modelo de lenguaje grande de propósito general más reciente y capaz, Claude Mythos Preview, había demostrado unas capacidades sorprendentes e imprevistas. El sistema de inteligencia artificial fue capaz de encontrar y explotar vulnerabilidades informáticas —el tipo más grave de fallos informáticos— a un ritmo nunca visto antes. La noticia despertó la preocupación del público, de los Gobiernos de todo el mundo y del sector de la tecnología de la información sobre las capacidades de la inteligencia artificial actual para socavar la ciberseguridad, y algunas personas calificaron el modelo como una amenaza mundial para la ciberseguridad. Alegando que sería demasiado arriesgado publicar el modelo, y que la empresa tenía la responsabilidad moral de revelar dichas vulnerabilidades, Anthropic dijo que no ofrecería de inmediato el modelo al público. En su lugar, concedió acceso exclusivo a los gigantes tecnológicos para que probaran las capacidades del modelo, un proceso que Anthropic bautizó como Proyecto Glasswing. Como investigador de ciberseguridad, creo que las capacidades de Mythos son impresionantes, pero el sistema de inteligencia artificial no representa un cambio radical. Mythos no es tanto una nueva amenaza como un espejo que refleja el comportamiento humano y lo frágiles que son ya los sistemas modernos. Lo que hizo Mythos Durante una evaluación controlada, ingenieros con experiencia mínima en seguridad indicaron a Mythos que escaneara miles de bases de código informático en busca de vulnerabilidades. El modelo mostró unas capacidades asombrosas a la hora de llevar a cabo ataques autónomos en varias etapas que a los expertos les lleva semanas o incluso meses preparar. Mythos no solo fue capaz de descubrir 271 vulnerabilidades en Firefox de Mozilla, sino que también desarrolló rutinas de ataque para aprovecharse de 181 de ellas. En general, el equipo rojo de Anthropic, que asume el papel de atacante para probar las defensas, y el Instituto de Seguridad de Inteligencia Artificial del Reino Unido informaron de que Mythos encontró miles de vulnerabilidades de día cero, o no documentadas hasta ahora, en los principales sistemas operativos, navegadores web y otras aplicaciones; fallos informáticos que aún no han sido parcheados y que pueden aprovecharse de inmediato para perpetrar ataques. Los responsables de la Agencia de Seguridad Nacional que prueban Mythos han quedado impresionados por la velocidad y la eficacia de la herramienta a la hora de encontrar vulnerabilidades informáticas, según un reportaje periodístico.

El anuncio por parte de Anthropic de Mythos y de la amenaza para la ciberseguridad que supone acaparó una gran atención por parte de los medios de comunicación.

Entre los casos más divulgados destacan la capacidad de Mythos para identificar un fallo de seguridad latente desde hace 27 años en OpenBSD, un sistema operativo centrado en la seguridad, y un error de hace 16 años en FFmpeg, una herramienta de procesamiento de imagen y sonido. Algunos de estos fallos permiten a los usuarios no autentificados hacerse con el control de las máquinas que alojan estas aplicaciones. Aún más sorprendente, los ingenieros con relativa poca experiencia que llevaron a cabo las evaluaciones de Mythos pudieron utilizar Mythos para completar los ataques de la noche a la mañana, desde la detección de vulnerabilidades hasta su aprovechamiento, algo que puede llevar semanas a los expertos humanos. La capacidad del modelo para encadenar múltiples pasos es lo que sorprendió a Anthropic y a las organizaciones que lo probaron. En una evaluación del Instituto de Seguridad de Inteligencia Artificial, Mythos fue capaz de hacerse con el control de una red corporativa simulada en tres de cada 10 intentos, el primer modelo de inteligencia artificial que tiene éxito en esta tarea. Estos resultados son reales. También pintan un panorama incompleto en aspectos que importan. ¿Dónde está el avance? A primera vista, el avance de Mythos parece novedoso y podría anunciar una nueva clase de ciberamenazas. Sin embargo, una mirada más atenta sugiere algo distinto. Las vulnerabilidades que Mythos encontró no son de naturaleza nueva. En general, no constituyen fallos de seguridad ignotos y, en muchos casos, son variaciones de clases de vulnerabilidades informáticas bien conocidas y comprendidas. En ciberseguridad, encontrar nuevos casos de tipos de fallos conocidos no es inusual. Los ataques que más éxito tienen se basan en vulnerabilidades conocidas y bien definidas que pasan desapercibidas o no se parchean. Lo que preocupó a los investigadores no fue que Mythos cambiara la naturaleza de la búsqueda y explotación de vulnerabilidades, sino más bien la intensa escala y velocidad con la que fue capaz de encontrar y explotar esas vulnerabilidades. Esto no supone un avance de por sí, sino más bien el resultado de décadas de investigación tanto en ciberseguridad como en inteligencia artificial. En ese sentido, Mythos es el resultado natural, y esperado, de la potente automatización y la integración de la inteligencia artificial, porque sigue los mismos procedimientos fundamentales utilizados en las prácticas estándar de ciberseguridad ofensiva. Estos incluyen el escaneo de vulnerabilidades, la identificación de patrones y la comprobación de la capacidad de explotación. Mythos y otros modelos emergentes similares permiten encadenar estos pasos a una velocidad vertiginosa. Entonces, ¿por qué pasaron desapercibidas estas vulnerabilidades en primer lugar? Es fundamental comprender que no es rentable corregir todas las vulnerabilidades, y no todas las vulnerabilidades son una prioridad. Mythos no descubrió un nuevo tipo de debilidad: expuso los límites del modo en que las buscan los profesionales de la ciberseguridad.