Claude Mythos: ¿una amenaza o la solución para la ciberseguridad?

La nueva herramienta de IA, Claude Mythos, desarrollada por Anthropic y presentada en abril de 2026, se ha convertido en una amenaza significativa para la ciberseguridad global, debido a su capacidad inigualable para identificar y explotar vulnerabilidades de software. Su potencia es tal, que ha sido descrita como el «mejor hacker del mundo», capaz de superar a los humanos en tareas de ciberseguridad. Como prometimos en la publicación anterior en este blog, vamos a tratar con más detalle este aspecto.

En los últimos años, el planeta ha presenciado el rápido avance de nuevas tecnologías, que son fundamentales para el desarrollo de empresas y economías. La irrupción de la inteligencia artificial (IA) ha sido crucial, ofreciendo a las empresas, entre otros sectores, oportunidades de desarrollo sin precedentes y permitiendo a la sociedad aprovechar al máximo el potencial tecnológico.

Ello, también genera un profundo debate sobre los límites de la inteligencia artificial y los riesgos de su aplicación. La llegada de Claude Mythos, la nueva IA de Anthropic, destaca los peligros tras estas tecnologías. ¿Pueden desafiar a la población? ¿Son realmente beneficiosas? En abril, Anthropic ha lanzado esta herramienta para detectar fallos de seguridad y vulnerabilidades en la infraestructura software de grandes empresas. Un hallazgo notable de Mythos, fue una vulnerabilidad de sistema en OpenBSD, que había permanecido oculta durante 27 años.

Aunque pueda parecer una herramienta eficaz contra ciberataques por su capacidad de detectar fallos rápidamente, es un arma de doble filo que, en las manos equivocadas, podría tener unas consecuencias devastadoras. Por esta razón, Anthropic ha restringido su uso a empresas del Proyecto Glasswing, que incluye a Amazon, Apple, Google, Microsoft, Nvidia, CrowdStrike, JPMorgan Chase, Cisco, Broadcom, Palo Alto Networks y la Linux Foundation. La intención de Dario Amodei (CEO de Anthropic), es que estos gigantes tecnológicos puedan actuar con rapidez antes de que los hackers se adelanten y exploten las debilidades de los sistemas informáticos. Como era de esperar, tienen también acceso la Casa Blanca y Downing Street.

No obstante, la polémica sobre esta herramienta surge por el riesgo de que, en el caso de caer en manos de ciberdelincuentes, podrían acceder a sistemas de organizaciones o empresas como hospitales y sistemas de seguridad gubernamentales.

Para aliviar la desconfianza, la compañía subraya que, desde su implantación, “ha identificado miles de vulnerabilidades adicionales de gravedad alta y crítica”. Según alegan, Mythos detectó vulnerabilidades “día cero” y fallos desconocidos sin soluciones, para evitar filtraciones. La empresa añade que “más del 99% de las vulnerabilidades detectadas aún no se han corregido, por lo que sería irresponsable divulgar detalles al respecto”.

Debate en la Casa Blanca

Antes de surgir la polémica sobre esta nueva IA, la Administración Trump ha elevado el tono con el veto a la herramienta, pese a adoptarla, considerándola inicialmente un riesgo para la seguridad nacional. En febrero, el Pentágono incluyó a Anthropic en una “lista negra”, lo que llevó a la firma a demandar a la Administración.

La jueza Lin, sostuvo que la declaración de Anthropic como un «riesgo para la cadena de suministro» es «probablemente contraria a la ley, además de arbitraria y caprichosa«. Sin embargo, el dirigente de la compañía, visitó la Casa Blanca la semana pasada, lo que llevó a Trump a replantearse su postura, como ya nos tiene acostumbrados, para sugerir un nuevo acuerdo con Anthropic, destacando en CNBC que “son muy inteligentes y pueden ser de gran utilidad”, contra lo que inicialmente pensaba.

Bruselas reconoce unas “capacidades sin precedentes”

El Ejecutivo comunitario, ha emitido un comunicado advirtiendo que la nueva herramienta “presenta capacidades cibernéticas sin precedentes”. Por ello, el Banco Central Europeo (BCE), ha consultado a las entidades supervisadas sobre la seguridad de sus sistemas informáticos, ya que los bancos europeos podrían ser los próximos en probar Mythos.

“La versión preliminar de Claude Mythos supone un paso importante, pero no es un fenómeno aislado. En los próximos meses, podríamos ver modelos de la competencia que alcancen o superen las capacidades de Mythos”, sostiene Vivien Mura, de Orange Cyberdefense. “No vemos razones para pensar que Mythos Preview sea el límite en ciberseguridad de los modelos de lenguaje. La trayectoria es clara”, afirman ingenieros de Anthropic.

Mythos: los 5 riesgos críticos de la IA más temida del momento

La aparición de Mythos ha marcado un antes y un después en el panorama de la ciberseguridad. Aunque su potencial defensivo es inmenso, sus capacidades ofensivas si caen en las manos equivocadas, plantean desafíos sin precedentes:

1. Fábrica de «Zero-Days»: Su habilidad para detectar cientos de vulnerabilidades desconocidas en tiempo récord, supera cualquier capacidad humana actual.
2. Automatización de exploits: No solo identifica el fallo, sino que puede programar de forma autónoma, el código necesario para infiltrarse en sistemas críticos.
3. Amenaza sistémica global: Su uso malintencionado, pone en jaque desde infraestructuras financieras, hasta la integridad de procesos electorales, mediante la manipulación de datos.
4. Riesgo de exfiltración: El interés de actores estatales y grupos cibercriminales en esta tecnología, es máximo; una apropiación indebida del modelo, equivaldría a poner en manos poco fiables un «arma digital de destrucción masiva».
5. Dilema del uso dual: Al ser una herramienta tan eficaz para defender como para atacar, la línea entre la protección y el ciberterrorismo, se vuelve extremadamente delgada.

El «escudo colaborativo» contra Mythos

Con la intención de evitar que las capacidades de Mythos se conviertan en un desastre global, Anthropic ha impulsado el Proyecto Glasswing. Esta coalición estratégica, no solo busca contener a la IA, sino convertirla en la herramienta de defensa definitiva ante cualquier despliegue masivo. Sus ejes de acción son:

• Pruebas de estrés en «Sandbox»: Mythos opera en entornos totalmente aislados de la red pública. Gigantes como AWS y Google Cloud, proporcionan infraestructuras «seguras» donde la IA intenta romper sistemas controlados con la intención de identificar debilidades, sin causar daños reales.
• Parcheo automatizado: El objetivo principal es la «defensa a velocidad de máquina». Glasswing utiliza los hallazgos de Mythos para que NVIDIA y Apple puedan desarrollar y distribuir parches de seguridad, antes de que un atacante humano detecte la vulnerabilidad.
• Protocolos de acceso restringido: Se están diseñando capas de seguridad física y lógica, para evitar que el modelo sea robado o filtrado. El acceso está limitado a un grupo élite de investigadores, bajo supervisión gubernamental.
• Alineamiento ético y filtros: Se trabaja en inyectar «barreras de seguridad» en el código base de la IA, para que el modelo se niegue a generar exploits, si detecta que la intención del usuario es maliciosa o no está autorizada.

«La aparición de Claude Mythos nos sitúa ante un espejo de doble cara: la promesa de una ciberdefensa capaz de sanar décadas de deuda técnica en milisegundos, frente al riesgo de automatizar la ofensiva a una escala inabarcable para el control humano. Solo el tiempo tiene la respuesta».