- Anthropic restringe el acceso a su modelo de IA Mythos a un reducido grupo de grandes tecnológicas por riesgos de ciberseguridad.
- El sistema detecta vulnerabilidades masivas y, de forma autónoma, genera código para explotarlas, lo que podría facilitar ciberataques.
- El Proyecto Glasswing coordina pruebas controladas con empresas como Amazon, Apple, Google o Microsoft antes de un posible lanzamiento público.
- La decisión evidencia un giro hacia una innovación más responsable en inteligencia artificial aplicada a la ciberseguridad.
La compañía estadounidense Anthropic ha decidido poner el freno a la expansión de su modelo de inteligencia artificial Mythos tras constatar que sus capacidades pueden volverse en contra de la propia seguridad digital. Lejos de abrirlo al público general, la empresa ha optado por una estrategia de acceso muy limitado y controlado.
Este sistema no solo es capaz de revisar código y encontrar fallos a una escala nunca vista, sino que además puede producir de forma autónoma exploits y fragmentos de código para aprovechar esas vulnerabilidades. Ante el riesgo de que dicha tecnología termine en manos de ciberdelincuentes, Anthropic ha preferido ceder Mythos únicamente a un grupo reducido de grandes tecnológicas mientras define salvaguardas más estrictas.
Un modelo de IA con potencial para reforzar y comprometer la ciberseguridad
Mythos, también referenciado en pruebas internas como Claude Mythos Preview, ha demostrado un rendimiento sin precedentes en auditorías de seguridad automatizadas. Durante los ensayos realizados por Anthropic, el modelo fue capaz de localizar miles de vulnerabilidades críticas en software muy extendido, desde sistemas operativos hasta navegadores y librerías esenciales.
Entre los descubrimientos más llamativos figura una vulnerabilidad de 27 años en el sistema de código abierto OpenBSD, que permitiría bloquear cualquier máquina que ejecute dicho sistema. Además, el modelo identificó fallos graves en herramientas como FFmpeg, FreeBSD y el núcleo de Linux, así como debilidades en protocolos de cifrado ampliamente utilizados, entre ellos TLS, AES-GCM y SSH. Estas pruebas evidencian vulnerabilidades críticas en software muy extendido que requieren atención urgente.
Esta capacidad de rastreo profundo sugiere que la IA no se limita a agilizar tareas ya conocidas, sino que abre la puerta a localizar errores que habían pasado desapercibidos durante décadas. El problema es que el mismo mecanismo que permitiría reforzar defensas podría servir para lanzar ataques de enorme sofisticación.
De hecho, en algunos casos documentados en las pruebas, Mythos no solo detectó vulnerabilidades, sino que fue capaz de generar exploits complejos encadenando múltiples fallos de seguridad. Esa combinación de precisión, velocidad y autonomía supera con creces muchas herramientas tradicionales de análisis de código.
Acceso restringido a las grandes tecnológicas mediante el Proyecto Glasswing
Ante este escenario, Anthropic ha tomado una decisión poco habitual en el sector: limitar el acceso a Mythos a un conjunto muy seleccionado de grandes empresas, en lugar de lanzarlo de forma abierta o bajo un modelo de servicio masivo. El objetivo es evaluar sus capacidades en entornos reales, pero en un marco lo más controlado posible.
El modelo estará disponible, al menos en esta primera fase, para compañías como Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, la Linux Foundation, Microsoft, Nvidia y Palo Alto Networks. Todas ellas participarán en una iniciativa coordinada conocida como Proyecto Glasswing.
Este programa busca que los gigantes tecnológicos puedan probar Mythos sobre sus propios productos e infraestructuras, identificar fallos internos, analizar posibles escenarios de abuso y compartir datos que ayuden a diseñar sistemas de protección más robustos. No se trata solo de reforzar la seguridad de cada empresa, sino de sentar una base común para gestionar este tipo de modelos avanzados.
Según ha explicado Anthropic, el Proyecto Glasswing aspira a construir una red de defensa compartida frente a amenazas impulsadas por IA. Las compañías participantes tendrán acceso anticipado al modelo para examinar sus sistemas, probar medidas de mitigación y contribuir a definir protocolos de actuación antes de una hipotética apertura al público general.
La idea es que, una vez completada esta fase de pruebas y análisis, la empresa pueda publicar conclusiones, buenas prácticas y posibles marcos de uso responsable, siempre evitando divulgar detalles técnicos que puedan ser empleados de forma maliciosa.
Un contexto global marcado por el auge de los ciberataques con IA
La decisión de Anthropic no se produce en el vacío. Llega en un momento en el que los ciberataques asistidos por inteligencia artificial están creciendo con fuerza y preocupan tanto a empresas privadas como a organismos públicos de todo el mundo, incluida Europa.
Datos recientes apuntan a que una amplia mayoría de organizaciones a nivel global, en torno al 87 % de las compañías, habría sufrido incidentes relacionados con IA en el último año analizado, con un aumento del volumen total de ataques cercano al 72 % respecto al periodo anterior. Aunque estas cifras proceden principalmente de estudios internacionales, reflejan un patrón que también preocupa en el entorno europeo.
Las herramientas automatizadas permiten a los atacantes detectar vectores de entrada con mucha más rapidez, replicar acciones en múltiples objetivos al mismo tiempo y adaptar su estrategia sobre la marcha. Eso convierte el panorama de amenazas en un entorno mucho más dinámico, en el que la ventaja puede inclinarse hacia quienes atacan si no se refuerzan los sistemas defensivos.
En este contexto, modelos como Mythos podrían convertirse en un auténtico arma de doble filo para la ciberseguridad europea. Por un lado, facilitarían el descubrimiento de vulnerabilidades en infraestructuras críticas, redes corporativas o servicios en la nube utilizados por empresas e instituciones del continente. Por otro, si se usaran sin control, darían a ciberdelincuentes una herramienta poderosa para automatizar y escalar ataques.
La propia Anthropic reconoce que la inteligencia artificial tiene un enorme potencial para reforzar la ciberseguridad a largo plazo, pero advierte de que el periodo de transición será especialmente delicado. La coexistencia de modelos muy avanzados de detección con estructuras de respuesta todavía lentas o fragmentadas puede incrementar temporalmente los riesgos.
Vulnerabilidades sin parche y brecha entre detección y respuesta
Uno de los datos que más preocupa a los equipos de Anthropic es que, según sus pruebas, el 99 % de las vulnerabilidades identificadas por Mythos sigue sin parche disponible. Es decir, los fallos están detectados pero no corregidos, lo que dejaría un margen de maniobra importante para potenciales atacantes si se conocieran los detalles.
Para evitar ese escenario, la empresa ha optado por reservarse parte de la información concreta sobre los errores hallados. La compañía ha limitado la divulgación incluso dentro de la comunidad especializada, compartiendo solo lo imprescindible con los actores implicados en la mitigación de riesgos.
Esta situación pone de manifiesto una brecha cada vez más evidente entre la capacidad de la IA para encontrar vulnerabilidades y la velocidad con la que el ecosistema tecnológico es capaz de reaccionar y repararlas. Mientras los modelos avanzan a gran ritmo, los procesos de parcheo, validación y despliegue siguen siendo relativamente lentos y, en ocasiones, burocráticos.
En el caso de Europa, donde las organizaciones deben ajustarse además a normativas exigentes en materia de protección de datos y continuidad de servicio, esta diferencia de tiempos puede suponer un desafío añadido. Las empresas necesitan reaccionar rápido, pero sin saltarse marcos regulatorios como el Reglamento General de Protección de Datos (RGPD) o las nuevas normas de ciberresiliencia planteadas por la Unión Europea.
La consecuencia es un periodo especialmente vulnerable en el que las infraestructuras podrían estar más expuestas de lo que se percibe externamente. Anthropic admite que esta fase de transición, hasta que se alineen capacidades de detección y respuesta, puede venir acompañada de un incremento temporal de los riesgos de ciberataque, sobre todo si herramientas tan potentes como Mythos se liberan sin un marco claro de uso responsable.
Hacia un modelo de innovación más responsable en IA
La apuesta de Anthropic por limitar Mythos a un reducido grupo de socios estratégicos refleja un cambio de enfoque en la industria de la inteligencia artificial. En lugar de priorizar el crecimiento rápido y la difusión masiva, al menos en este caso se está optando por avanzar con más cautela.
Además de colaborar con gigantes tecnológicos, la compañía ha mantenido contactos con organismos especializados en seguridad en Estados Unidos, incluidas agencias vinculadas a la protección de infraestructuras críticas y estándares digitales. Estas alianzas buscan evaluar con detalle el impacto potencial del modelo y definir pautas para su utilización en distintos sectores.
Aunque la información publicada se centra sobre todo en el entorno estadounidense, la experiencia que se obtenga en el Proyecto Glasswing puede resultar especialmente relevante para los reguladores y operadores europeos. La Unión Europea trabaja ya en marcos específicos para la IA, y casos como el de Mythos sirven como ejemplo práctico de hasta qué punto es necesario equilibrar innovación y seguridad.
El acuerdo entre Anthropic y las grandes tecnológicas marca también un precedente sobre cómo gestionar modelos de IA de alto nivel antes de que lleguen al mercado generalista. La intención de la empresa es utilizar todo lo aprendido durante este despliegue limitado para fijar límites claros, establecer salvaguardas y, si es necesario, definir restricciones de uso permanentes.
Por ahora, Anthropic ha dejado claro que no existe una fecha concreta para la apertura pública de Mythos. Cualquier decisión futura dependerá de los resultados del proyecto, de la capacidad de la industria para desarrollar parches y defensas eficaces y del consenso que se alcance en torno a las normas de seguridad aplicables.
En conjunto, el movimiento de Anthropic ilustra hasta qué punto la inteligencia artificial aplicada a la ciberseguridad se ha convertido en un campo crítico: la misma tecnología que permite descubrir fallos históricos y proteger sistemas a gran escala puede, si no se controla, amplificar el impacto de los ciberataques. De cómo se gestione esa dualidad dependerá que modelos como Mythos se conviertan en un escudo eficaz o en un riesgo añadido para la infraestructura digital global.
