- Un borrador filtrado reveló Claude Mythos, el modelo de IA más potente de Anthropic, descrito internamente como un riesgo inédito para la ciberseguridad.
- El modelo, vinculado a la nueva familia Capybara, supera ampliamente a Claude Opus en razonamiento, programación y capacidades cibernéticas ofensivas y defensivas.
- La filtración, causada por un fallo humano en el CMS de Anthropic, ha reavivado el debate sobre cómo lanzar modelos de frontera y ha provocado caídas en las acciones de grandes firmas de ciberseguridad.
- Gobiernos y reguladores, especialmente en EE. UU. y con impacto en Europa, observan con preocupación el posible uso de Mythos en ciberataques a gran escala y en infraestructuras críticas.
Un borrador interno filtrado ha puesto bajo los focos a Claude Mythos, el modelo de inteligencia artificial más potente que ha desarrollado Anthropic hasta la fecha. Lo que en principio parecía un simple desliz técnico ha terminado convertido en un aviso serio: la propia compañía reconoce que este sistema plantea riesgos de ciberseguridad sin precedentes.
La filtración ha llegado en un momento especialmente delicado, con gobiernos, reguladores europeos y empresas de ciberseguridad siguiendo muy de cerca el despliegue de los llamados modelos de frontera. Las capacidades atribuidas a Mythos —especialmente en materia de hacking, búsqueda de vulnerabilidades y automatización de ataques— han encendido las alarmas sobre cómo este tipo de herramientas puede cambiar las reglas del juego en el cibercrimen y en la defensa digital.
De un error de configuración a una crisis de seguridad
La historia arranca con un fallo humano en el sistema de gestión de contenidos (CMS) de Anthropic. Un borrador de entrada de blog, junto con documentación preliminar sobre Claude Mythos, quedó expuesto en un almacén de datos accesible mediante búsquedas públicas. En la práctica, cualquiera con la URL adecuada podía ver materiales que nunca debieron salir del entorno interno.
Medios como Fortune y otros portales tecnológicos localizaron estos archivos en una caché de datos sin protección. La compañía, avisada del problema, restringió después el acceso y atribuyó el incidente a un error de configuración de sus herramientas internas. No estamos ante un sofisticado ataque de infiltración, sino ante un descuido operativo que ha terminado sacando a la luz uno de los proyectos más sensibles de la empresa.
En esos documentos, Anthropic describía Mythos como “con diferencia, el modelo de IA más poderoso que jamás hemos desarrollado”. El texto, que estaba previsto para un anuncio oficial posterior, iba acompañado de advertencias poco habituales en un lanzamiento de producto: el sistema, aseguraban, se sitúa muy por delante de cualquier otro modelo en capacidades cibernéticas, hasta el punto de anticipar una nueva ola de herramientas capaces de explotar vulnerabilidades de forma masiva.
La filtración no solo ha expuesto detalles técnicos, sino también la estrategia de la compañía. Anthropic reconoce que, debido a los riesgos asociados, planea un despliegue extremadamente cauteloso, empezando por un acceso anticipado muy limitado para organizaciones especializadas en defensa de la ciberseguridad, incluidas previsiblemente entidades públicas y socios estratégicos.
Claude Mythos y la nueva familia Capybara
Más allá del susto inicial, los documentos muestran que Mythos no es un modelo aislado, sino parte de una nueva gama de sistemas de Anthropic denominada Capybara. Según los materiales filtrados, Capybara es la etiqueta interna para una categoría de modelos «más grandes y más inteligentes» que los actuales Claude Opus, hasta ahora la referencia de la empresa.
En algunos textos, se presenta a Mythos como la versión uno de este nuevo modelo, mientras que Capybara figura como una iteración posterior, aún más avanzada, situada por encima de la línea Opus. Es decir, Mythos y Capybara comparten un mismo tronco tecnológico, pero representan escalones distintos dentro de la misma familia de alto rendimiento.
Las pruebas internas de Anthropic apuntan a mejoras dramáticas frente a Claude Opus 4.6 en tres frentes clave: codificación de software, razonamiento académico y tareas de ciberseguridad. Ese salto cuantitativo refuerza la percepción de que estamos ante un modelo de frontera, diseñado para abordar problemas complejos con mayor autonomía y precisión que la generación anterior.
Un portavoz de Anthropic, en declaraciones a medios especializados, subrayó que Mythos es un modelo de propósito general con avances significativos en razonamiento, programación y seguridad informática. La empresa sostiene que se trata de un «cambio radical» respecto a sus sistemas previos y que, por eso mismo, está siendo especialmente cuidadosa a la hora de decidir cómo, cuándo y con quién lo pone en producción.
La elección del nombre tampoco es casual. Anthropic explicaba en la documentación que optó por «Mythos» para evocar el tejido profundo que conecta conocimiento e ideas, una forma de transmitir que el modelo no solo genera texto, sino que es capaz de relacionar conceptos complejos y navegar escenarios técnicos de alto riesgo, como la explotación de fallos de seguridad o la defensa frente a intrusiones sofisticadas.
Un modelo que puede cambiar el equilibrio de la ciberseguridad
A medida que los modelos de IA se vuelven más potentes, también lo hacen los llamados agentes de IA, sistemas capaces de encadenar tareas, tomar decisiones intermedias y actuar con menor supervisión humana. En el terreno de la ciberseguridad, esto supone que un atacante podría orquestar múltiples campañas simultáneas —phishing dirigido, escaneo de vulnerabilidades, explotación automatizada— con un nivel de coordinación y velocidad muy difícil de igualar por los equipos defensivos.
Los materiales filtrados de Anthropic van más allá del aviso genérico. La empresa admite que Mythos está “muy por delante de cualquier otro modelo” en capacidades cibernéticas y advierte de que anticipa una ola de sistemas capaces de explotar vulnerabilidades de formas que desbordan los esfuerzos de los defensores. Dicho de otra manera: si este modelo se utilizara sin restricciones, podría abaratar y automatizar operaciones que hoy requieren equipos especializados y meses de trabajo.
El riesgo no se limita a los atacantes más sofisticados. Una IA con este perfil puede rebajar enormemente la barrera de entrada al cibercrimen: generar código malicioso, encontrar configuraciones débiles o redactar campañas de ingeniería social extremadamente verosímiles. Para muchas amenazas, el cuello de botella ya no sería el conocimiento técnico, sino el acceso a un modelo con capacidades avanzadas. La discusión legal y de seguridad pública alrededor de estas tecnologías se ha intensificado precisamente por escenarios como este.
Al mismo tiempo, Anthropic sostiene que estas mismas funciones pueden emplearse en sentido contrario: reforzar infraestructuras críticas, auditar sistemas y apoyar a los equipos de respuesta ante incidentes. Un modelo que razona bien sobre código y redes podría ayudar a detectar intrusiones complejas, identificar patrones anómalos o simular ataques para fortalecer defensas. El dilema es evidente: la herramienta es la misma, lo que cambia es quién la controla y bajo qué condiciones.
En Europa, donde el Reglamento de IA (AI Act) empieza a marcar el paso regulatorio, este tipo de modelos encaja de lleno en la categoría de sistemas de alto riesgo. La posibilidad de que agentes maliciosos, ya sean grupos criminales o actores estatales, los utilicen para atacar infraestructuras energéticas, sanitarias o financieras, coloca a herramientas como Mythos en el centro del debate sobre qué límites y salvaguardas deben imponerse antes de su despliegue masivo.
Cómo se está gestionando el lanzamiento: acceso limitado y cautela
Consciente del potencial impacto, Anthropic ha optado por un enfoque mucho más prudente que en lanzamientos anteriores. La empresa indica que está trabajando con un grupo pequeño de clientes de acceso anticipado, principalmente organizaciones enfocadas en defensa cibernética, para probar Mythos en entornos controlados.
Este despliegue gradual responde también a una cuestión práctica: Mythos requiere una capacidad de cálculo enorme y es muy caro de ejecutar. Entrenar y operar un modelo de esta escala implica costes que se han estimado en decenas de millones de euros, algo que condiciona quién puede utilizarlo y en qué escenarios resulta viable desde el punto de vista económico. En este sentido, Anthropic negocia acuerdos de computación en la nube que condicionan su despliegue y acceso.
En paralelo, la compañía intenta blindarse frente a presiones externas. En Estados Unidos, el Departamento de Defensa y otros organismos de seguridad ven con interés estos modelos para aplicaciones estratégicas, pero chocan con los límites que Anthropic dice querer mantener en usos militares extremos, como la vigilancia masiva o las armas totalmente autónomas. Esta tensión entre demanda institucional y cautela corporativa influye en cómo se articula el acceso a Mythos.
Para los socios europeos —desde empresas de ciberseguridad hasta administraciones públicas—, esta situación plantea un escenario particular: el acceso a capacidades de punta podría pasar por acuerdos muy restringidos y bajo fuerte supervisión, con despliegues en nubes privadas, enclaves gubernamentales o instalaciones certificadas para manejar datos sensibles. No se espera, al menos a corto plazo, una disponibilidad abierta equiparable a modelos de consumo generalista.
La propia filtración funciona, de hecho, como advertencia. Si un simple error en un CMS interno es capaz de exponer documentación crítica, muchos expertos señalan que el reto no es solo hacer el modelo seguro, sino asegurar la infraestructura y los procesos que lo rodean. La cadena de protección debe abarcar desde el acceso al código y los pesos del modelo hasta la gestión de logs, APIs y sistemas de despliegue.
El golpe a las empresas de ciberseguridad y la lectura desde los mercados
La noticia de Mythos no se ha quedado en el plano técnico. Tras la filtración y las primeras informaciones públicas, las acciones de varias grandes compañías de ciberseguridad registraron caídas relevantes. Firmas como Palo Alto Networks, CrowdStrike, Zscaler o Fortinet sufrieron descensos de entre el 4 % y el 7 % en una sola sesión, reflejando el nerviosismo de los inversores ante la posible disrupción que representan estos modelos.
En los mercados se repite un patrón que ya se vio con otros productos de Anthropic. Meses antes, la presentación de Claude Cowork, un sistema de IA orientado a automatizar tareas complejas en entornos corporativos —como revisión de contratos o cumplimiento normativo—, desencadenó una fuerte venta de acciones en empresas de software y servicios profesionales. Aquella reacción llegó a borrar cientos de miles de millones de dólares en capitalización, al replantearse los inversores el impacto de los agentes de IA sobre el negocio tradicional del software empresarial.
En el caso de Mythos, el temor se centra en que un modelo con capacidades cibernéticas muy avanzadas pueda desplazar parte de la propuesta de valor de las compañías de seguridad: desde la detección de amenazas hasta la respuesta automatizada ante incidentes. Aunque en la práctica es probable que la relación sea más de complementariedad que de sustitución, el mercado reacciona adelantando escenarios de competencia directa con soluciones basadas en modelos propietarios.
Analistas y fondos especializados en tecnología recuerdan que estos movimientos bursátiles no implican que la IA vaya a «barrer» de un día para otro a los proveedores actuales. Más bien, reflejan que el riesgo estructural ya está siendo incorporado en las valoraciones: si un laboratorio como Anthropic puede construir internamente flujos de trabajo legales, financieros o de seguridad, el ecosistema de software empresarial tendrá que reposicionarse para aportar valor añadido por encima de los modelos base.
En Europa, donde muchas empresas de ciberseguridad cotizan o buscan financiación en mercados regulados, las noticias sobre Mythos llegan como un recordatorio de que la competencia ya no será solo entre proveedores de seguridad, sino también frente a grandes laboratorios de IA con capacidad para ofrecer servicios integrados de protección apoyados en modelos de frontera.
Gobernanza, regulación y el papel de Europa ante modelos de frontera
Más allá de la volatilidad bursátil, la filtración de Claude Mythos ha reactivado el debate sobre cómo deben gobernarse y regularse los modelos de IA más avanzados. En los últimos años, la industria ha oscilado entre dos enfoques: uno más abierto, que fomenta la investigación colaborativa y la competencia, y otro más restrictivo, que aboga por un control férreo cuando las capacidades del sistema pueden generar riesgos sistémicos.
En este contexto, el caso Mythos sirve de ejemplo práctico para los reguladores europeos. El AI Act prevé obligaciones específicas para sistemas de alto riesgo y para modelos de uso general muy potentes, incluidas evaluaciones de impacto, transparencia reforzada, auditorías y medidas de seguridad robustas. Un modelo capaz de facilitar ciberataques a gran escala encaja claramente en el tipo de tecnologías que Bruselas quiere supervisar de cerca.
Expertos en políticas tecnológicas subrayan que el problema no es solo la potencia en abstracto, sino la combinación de autonomía, capacidad de razonamiento y acceso potencialmente amplio. Un sistema no necesita ser consciente ni operar sin humanos para plantear un peligro serio: basta con que ejecute con alta eficacia instrucciones delicadas, que automatice tareas antes reservadas a especialistas y que se ofrezca a través de interfaces fáciles de usar.
Para Europa, que busca un equilibrio entre competitividad digital y protección de derechos fundamentales, el episodio plantea varias preguntas clave: ¿qué grado de acceso deben tener empresas y administraciones europeas a estos modelos? ¿Cómo se garantiza que las mismas capacidades que pueden proteger infraestructuras críticas no se vuelvan en su contra mediante filtraciones, robos de pesos del modelo o abusos internos?
La experiencia de esta filtración también refuerza la idea de que la gobernanza no puede limitarse a publicar códigos de conducta. Muchos especialistas en ciberseguridad insisten en reforzar los controles de acceso, desplegar equipos de red-teaming independientes y exigir auditorías externas que pongan a prueba las afirmaciones de seguridad de los laboratorios, sin convertirse al mismo tiempo en sus socios comerciales.
Mientras tanto, en el plano geopolítico, la relación entre Anthropic y organismos de defensa estadounidenses añade otra capa de complejidad. La empresa ha obtenido autorización para manejar datos clasificados bajo condiciones estrictas, pero se resiste a usos que considera incompatibles con su marco ético. La filtración ofrece munición discursiva a quienes presionan para que estos modelos se pongan al servicio de estrategias de seguridad nacional más amplias, algo que inevitablemente tiene eco en los debates europeos sobre autonomía estratégica y dependencia tecnológica.
El caso Mythos se ha convertido, así, en un punto de referencia para discutir quién debe decidir las reglas del juego de los modelos capaces de reescribir código, influir en infraestructuras y alterar equilibrios de poder digital. Lo que empezó como un archivo mal configurado en un CMS ha derivado en una conversación global sobre riesgo, responsabilidad y límites a la innovación en IA.
Con todo este telón de fondo, Claude Mythos simboliza la doble cara de la nueva generación de inteligencia artificial: por un lado, una herramienta de enorme potencial para reforzar la ciberseguridad y modernizar sectores enteros; por otro, un posible catalizador de ciberataques más rápidos, baratos y difíciles de frenar. La forma en que Anthropic, los gobiernos y las empresas gestionen su despliegue será clave para determinar si pesa más su valor como escudo o su riesgo como arma en el panorama digital global.
