27 de mayo de 2026
Anthropic ha convertido a Claude Mythos en una de las señales más claras de hacia dónde va la ciberseguridad con inteligencia artificial: sistemas capaces de descubrir vulnerabilidades a una escala que los equipos humanos no pueden absorber fácilmente. La compañía no lo ha liberado de forma abierta precisamente por el riesgo de uso ofensivo, y ha optado por un acceso limitado a socios defensivos dentro de Project Glasswing.
Qué hace especial a Mythos
Según Anthropic, Mythos muestra capacidades avanzadas para identificar y explotar vulnerabilidades en sistemas complejos, incluidos navegadores y sistemas operativos. Ese detalle cambia la conversación. Una cosa es que un modelo ayude a revisar código o a explicar un CVE conocido. Otra muy distinta es que pueda encontrar fallos nuevos y construir rutas de explotación con menos intervención humana.
El programa Glasswing intenta canalizar esa capacidad hacia defensa: grandes tecnológicas, proveedores de seguridad, instituciones financieras y organizaciones de infraestructura crítica. La idea es usar el modelo para descubrir fallos antes de que los encuentren actores maliciosos.
La paradoja defensiva
El problema es que encontrar vulnerabilidades más rápido no significa arreglarlas más rápido. En seguridad, el cuello de botella suele estar en confirmar el fallo, priorizarlo, coordinar divulgación responsable, desarrollar parche, probar compatibilidad y desplegarlo en sistemas reales. Si una IA multiplica por diez la detección, también puede multiplicar el backlog.
Ahí aparece la paradoja: una herramienta defensiva puede generar una crisis operativa si las organizaciones no tienen capacidad de respuesta. Miles de vulnerabilidades críticas no son una victoria si terminan esperando meses en una cola de parcheo.
Por qué no conviene caer en alarmismo fácil
También hay que evitar el titular apocalíptico. Detectar una vulnerabilidad no equivale siempre a explotarla de forma fiable, escalar privilegios, moverse lateralmente y monetizar un ataque. La cadena completa de intrusión sigue siendo compleja. Además, los equipos defensivos también pueden usar IA para análisis, triage, generación de parches y monitorización.
La pregunta seria no es si Mythos “rompe Internet”, sino qué ocurre cuando capacidades antes reservadas a equipos muy especializados empiezan a estar disponibles en modelos cada vez más generales. Si la barrera técnica baja, la gobernanza del acceso importa mucho más.
Qué deberían hacer las empresas
Las empresas no necesitan esperar a Mythos para actuar. Necesitan inventario de activos, gestión seria de dependencias, segmentación, logs útiles, procesos de parcheo y pruebas de seguridad continuas. La IA hará que las organizaciones lentas parezcan todavía más lentas.
Mi lectura: Anthropic ha hecho bien al tratar el acceso con cautela. Pero el debate no se cerrará con permisos selectivos. La ciberseguridad entra en una fase de sobreproducción de hallazgos, y la ventaja estará en quienes sepan convertir detección en corrección real.
