![[Imagen: Dimitrios Kambouris/Getty Images/The Met Museum/Vogue]](https://fc-bucket-100.s3.amazonaws.com/wp-content/uploads/2026/05/07114907/p-1-91537038-emma-chamberlain-met-gala-dress-e1778176197142.webp)
![[Imagen: Adobe Stock]](https://fc-bucket-100.s3.amazonaws.com/wp-content/uploads/2026/05/07100457/p-91520066-will-AI-destroy-teamwork-e1778170013313.webp)
![[Foto: cortesía Laboratoria]](https://fc-bucket-100.s3.amazonaws.com/wp-content/uploads/2026/05/07131223/maternidad-trabajoa-Fast-Company-Mexico-Cortesia.jpg)
[Imagen: Dmitry/Adobe Stock]
La comunidad de ciberseguridad se puso en alerta cuando Anthropic anunció el 7 de abril de 2026 que su modelo de lenguaje de propósito general más reciente y potente, Claude Mythos Preview, había demostrado capacidades notables e inesperadas. El sistema de inteligencia artificial fue capaz de encontrar y explotar vulnerabilidades de software —el tipo más grave de fallos de software— a un ritmo nunca antes visto.
La noticia generó preocupación entre el público, los gobiernos de todo el mundo y el sector de las tecnologías de la información sobre la capacidad de la IA actual para socavar la ciberseguridad, y algunos calificaron el modelo como una amenaza global para la ciberseguridad.
Alegando que sería demasiado arriesgado publicar el modelo y que la empresa tenía la responsabilidad moral de revelar estas vulnerabilidades, Anthropic declaró que no lo ofrecería inmediatamente al público. En su lugar, concedió acceso exclusivo a gigantes tecnológicos para probar las capacidades del modelo, un proceso que Anthropic denominó “Proyecto Glasswing”.
Como investigador en ciberseguridad, considero que las capacidades de Mythos son impresionantes, pero este sistema de IA no representa un cambio radical. Mythos no es tanto una nueva amenaza como un reflejo del comportamiento humano y de la fragilidad inherente de los sistemas modernos.
¿Qué hizo Mythos de Anthropic?
Durante una evaluación controlada, ingenieros con mínima experiencia en seguridad instruyeron a Mythos para que analizara miles de bases de código de software en busca de vulnerabilidades. El modelo demostró una capacidad sorprendente para realizar ataques autónomos de múltiples pasos, que a los expertos les llevarían semanas o incluso meses. Mythos no solo descubrió 271 vulnerabilidades en Firefox de Mozilla, sino que también desarrolló exploits para aprovechar 181 de ellas.
En general, el equipo rojo de Anthropic, que asume el rol de atacante para probar las defensas, y el Instituto de Seguridad de IA del Reino Unido informaron que Mythos encontró miles de vulnerabilidades de día cero, o previamente no reportadas, en los principales sistemas operativos, navegadores web y otras aplicaciones. Se trata de fallos de software que aún no se han corregido y que pueden convertirse en exploits de inmediato. Según un informe de prensa, los funcionarios de la Agencia de Seguridad Nacional (NSA) que probaron Mythos quedaron impresionados por la velocidad y eficiencia de la herramienta para encontrar vulnerabilidades de software.
Entre los hallazgos más difundidos se encuentran la capacidad de Mythos para identificar una vulnerabilidad de seguridad latente de 27 años en OpenBSD, un sistema operativo enfocado en la seguridad, y un error de 16 años en FFmpeg, una herramienta de procesamiento de audio y video. Algunas de estas vulnerabilidades permiten a usuarios no autenticados obtener el control de las máquinas que alojan estas aplicaciones.
Aún más sorprendente, los ingenieros relativamente inexpertos que realizaban las evaluaciones de Mythos lograron usar el modelo para completar ataques de la noche a la mañana, desde encontrar vulnerabilidades hasta explotarlas, algo que a los expertos humanos les puede llevar semanas. La capacidad del modelo para encadenar múltiples pasos fue lo que sorprendió a Anthropic y a las organizaciones que lo probaron. En una evaluación del AI Security Institute, Mythos logró tomar el control de una red corporativa simulada en tres de cada 10 intentos, convirtiéndose en el primer modelo de IA en lograrlo.
Estos resultados son reales. Sin embargo, también ofrecen una visión incompleta en aspectos importantes.
¿Dónde reside el avance?
A primera vista, el avance de Mythos parece novedoso y podría indicar una nueva clase de ciberamenazas. Sin embargo, un análisis más detallado sugiere algo diferente. Las vulnerabilidades que encontró Mythos no son nuevas. Generalmente no pertenecen a fallos de seguridad desconocidos y, en muchos casos, son variaciones de clases de vulnerabilidades de software bien conocidas y comprendidas.
En ciberseguridad, encontrar nuevas instancias de tipos de fallos conocidos no es inusual. Los ataques más exitosos se basan en vulnerabilidades conocidas y bien definidas que pasan desapercibidas o no se corrigen. Lo que preocupaba a los investigadores no era que Mythos cambiara la forma de encontrar y explotar vulnerabilidades, sino la magnitud y la velocidad con la que era capaz de encontrarlas y explotarlas.
Esto no es un avance revolucionario en sí mismo, sino el resultado de décadas de investigación en ciberseguridad e inteligencia artificial. En ese sentido, Mythos es el resultado natural —y esperado— de la potente automatización y la integración de la IA, ya que sigue los mismos procedimientos fundamentales utilizados en las prácticas estándar de ciberseguridad ofensiva. Estos incluyen el escaneo de vulnerabilidades, la identificación de patrones y la prueba de explotabilidad. Mythos y otros modelos emergentes similares permiten encadenar estos pasos a una velocidad difícil de comprender.
Entonces, ¿por qué se pasaron por alto estas vulnerabilidades en primer lugar?
Es fundamental comprender que no todas las vulnerabilidades son rentables de solucionar, ni todas son prioritarias. Mythos no descubrió un nuevo tipo de debilidad, sino que expuso las limitaciones de cómo los profesionales de la ciberseguridad las buscan.
Nueva tecnología, dinámica ancestral
Mythos pone de relieve un hecho crucial sobre la realidad de las amenazas a la ciberseguridad. Los defensores de sistemas siempre parten con desventaja, ya que necesitan tener éxito en cada intento. Los atacantes, en cambio, solo necesitan un éxito para vulnerar la seguridad de un sistema. Este juego del gato y el ratón siempre será el mismo, y Mythos no lo cambia, simplemente lo refuerza.
Mythos sigue una dinámica conocida: una herramienta creada para proteger también puede usarse para atacar y causar daño.
“Las mismas mejoras que hacen que el modelo sea sustancialmente más eficaz para corregir vulnerabilidades también lo hacen sustancialmente más eficaz para explotarlas”, escribieron los responsables de Anthropic en una entrada de blog sobre Mythos.
Lo que antes requería habilidades altamente especializadas ahora se puede lograr con mucho menos esfuerzo, lo que plantea la pregunta más importante: ¿Quién se beneficiará primero del uso de herramientas como Mythos: los defensores o los atacantes?
Mohammad Ahmad es profesor adjunto de sistemas de información gerencial en la Universidad de West Virginia.
Este artículo se republica de The Conversation bajo una licencia Creative Commons. Lea el artículo original.
![[Foto: New Africa/Adobe Stock]](https://fc-bucket-100.s3.amazonaws.com/wp-content/uploads/2026/05/07081618/p-2-91537105-age-verification.webp)
![[Foto: Familiar Machines & Magic]](https://fc-bucket-100.s3.amazonaws.com/wp-content/uploads/2026/05/06104626/2.jpg)
![[Foto: Ōura]](https://fc-bucket-100.s3.amazonaws.com/wp-content/uploads/2026/05/06073713/Diseno-sin-titulo-2026-05-06T072615.874.jpg)