Una versión anterior de Claude —anterior a Mythos— detectó casi una quinta parte de todos los errores de alta gravedad corregidos en Firefox durante 2025
Enfoque de decisión
El 7 de abril, Anthropic anunció que su modelo Mythos no estará disponible al público por una razón específica: funciona demasiado bien encontrando y explotando fallos de seguridad en software crítico. La contradicción operativa para equipos de ingeniería es directa: la misma tecnología que puede escanear sistemáticamente un codebase en busca de zero-days también llegará, en versiones equivalentes, a actores maliciosos. Por ahora, el acceso está restringido al Proyecto Glasswing, un consorcio controlado con 12 miembros fundadores que incluyen Apple, Google y Nvidia. Fuera de ese círculo, los equipos están en posición defensiva sin acceso a las herramientas ofensivas que ya existen. Esa asimetría temporal es el núcleo del problema.
Resumen en 90 segundos
Esta semana, anthropic desarrolló un modelo llamado Mythos que supera a casi todos los expertos humanos en encontrar y explotar vulnerabilidades de seguridad, y decidió no lanzarlo públicamente. El acceso está restringido al Proyecto Glasswing, un consorcio de infraestructura digital que incluye a Apple, Google y Nvidia. Los reguladores financieros de Estados Unidos y Reino Unido ya convocaron reuniones con el sector bancario para evaluar el riesgo.
¿Qué está pasando realmente?
Durante años, la búsqueda automatizada de vulnerabilidades generaba falsos positivos o encontraba errores triviales. Ese límite está desapareciendo. Una versión anterior de Claude —anterior a Mythos— detectó casi una quinta parte de todos los errores de alta gravedad corregidos en Firefox durante 2025. Una actualización de OpenSSL en enero corrigió doce fallos encontrados por modelos de IA. Lo que Mythos agrega, según pruebas del AI Security Institute británico, es rendimiento en escenarios complejos: los que requieren encadenar decenas de pasos para tomar control de una máquina objetivo.
La disputa sobre si Mythos representa un salto revolucionario o simplemente evolutivo es real y técnicamente relevante. Stanislav Fort, fundador de AISLE, reportó haber replicado uno de los hallazgos clave de Mythos —un bug en FreeBSD— usando modelos más pequeños y antiguos. Su evaluación: la frontera de la ciberseguridad con IA es «irregular», sin que ningún modelo tenga ventaja clara en todos los dominios. Esto no reduce el riesgo; lo distribuye. La capacidad ofensiva de descubrimiento autónomo de vulnerabilidades ya no requiere el modelo más avanzado del mercado, y eso tiene implicaciones para cualquier equipo que asuma que el acceso restringido a Mythos lo protege.
¿Por qué importa para Líderes de Ingeniería de Software?
El impacto operativo tiene tres vectores concretos que no esperan al largo plazo. Primero, el costo de adopción defensiva: Anthropic reporta que encontrar uno de los bugs le costó cerca de 20.000 dólares en tokens de inferencia. Ese número hace inviable el escaneo autónomo para proyectos open source mantenidos por voluntarios y caro para equipos sin presupuesto de seguridad dedicado. El beneficio defensivo, por ahora, se concentra en organizaciones dentro del consorcio o con capital para ejecutarlo.
Segundo, el problema del código sin mantenimiento activo. Gran parte del software en producción real —firmware de routers, dispositivos IoT, maquinaria industrial— no tiene proceso activo de parcheo. Un modelo que encuentra zero-days en esos sistemas sin costo prohibitivo para un atacante crea asimetría estructural: el defensor no tiene canal para corregir lo que se descubra.
Tercero, la presión sobre «shift left» se intensifica de forma cuantificable. Si modelos equivalentes a Mythos estarán disponibles públicamente en los próximos años —como indica la dinámica competitiva en el sector— el estándar de lo que se considera código aceptablemente seguro antes del deploy se moverá. Los equipos que no integren escaneo con IA en sus pipelines de CI/CD antes de ese momento estarán reaccionando en lugar de anticipando.
Perspectiva a futuro
Anthropic anunció la expansión de Glasswing a 40 organizaciones adicionales de infraestructura digital. El objetivo declarado es dar tiempo para encontrar y corregir la mayor cantidad posible de vulnerabilidades antes de que modelos igualmente potentes estén disponibles de forma amplia. La duración de esa ventana —desconocida— es el activo más escaso en este escenario.
La respuesta regulatoria ya comenzó a materializarse. Las reuniones convocadas por el Tesoro de EE.UU. y los reguladores financieros del Reino Unido indican que el marco de riesgo para infraestructura crítica está siendo reescrito en tiempo real. Para equipos en fintech o infraestructura cloud, eso probablemente se traduzca en nuevos requerimientos de auditoría y evidencia de escaneo de seguridad antes de lo esperado en roadmaps de compliance.
El consenso entre investigadores de seguridad apunta a ventaja para los defensores a largo plazo. La condición para ese resultado es que los defensores tengan acceso a herramientas equivalentes antes de que los atacantes las usen a escala. Esa condición no está garantizada hoy.
Lo que aún es incierto
- Capacidades reales de Mythos frente a la narrativa de Anthropic. La información técnica publicada es limitada. El AI Security Institute mostró resultados mixtos y un investigador independiente replicó uno de los hallazgos clave con modelos más pequeños. La magnitud real del salto de capacidad no está confirmada de forma independiente.
- Cronograma de expansión de Glasswing. Anthropic anunció la incorporación de 40 organizaciones adicionales, pero no ha publicado plazos ni criterios de selección.
- Impacto regulatorio concreto. Las reuniones con el sector bancario en EE.UU. y Reino Unido están en curso; no se han publicado directrices vinculantes derivadas de ellas.
- Disponibilidad pública futura de modelos equivalentes. La dinámica competitiva sugiere que modelos con capacidades similares llegarán al mercado abierto, pero el momento exacto no está determinado.
Una pregunta para tu equipo
Si un modelo con capacidades similares a Mythos estuviera disponible públicamente mañana, ¿cuántos de los sistemas que su equipo mantiene en producción podrían ser escaneados y explotados antes de que hubiera un parche disponible?
Fuentes
- Infobae — Cómo los hackers de IA revolucionarán la ciberseguridad (Link)
