- Anthropic ha decidido no lanzar de forma abierta su modelo Claude Mythos por su enorme poder para auditar y vulnerar sistemas informáticos.
- La compañía ha puesto en marcha el Proyecto Glasswing, que ofrece acceso restringido a unas 40 tecnológicas para reforzar el software crítico de internet.
- Las capacidades de Mythos han encendido las alarmas en Washington, con reuniones al más alto nivel sobre el riesgo para la estabilidad financiera.
- Empresas europeas y españolas deben reforzar sus prácticas de ciberseguridad ante la llegada de modelos de IA con grandes habilidades ofensivas.
La decisión de Anthropic de no publicar de forma abierta Claude Mythos ha colocado a la industria de la ciberseguridad en un punto de inflexión. El modelo de inteligencia artificial, diseñado con capacidades avanzadas para revisar código y sistemas, ha demostrado un potencial tan grande para encontrar vulnerabilidades que la propia compañía ha optado por mantenerlo bajo un control férreo, al menos por ahora. Esta postura prudente llega en un contexto en el que la ciberseguridad en España y Europa ya es una preocupación clave. Solo en un año, el Instituto Nacional de Ciberseguridad (Incibe) ha llegado a registrar más de 120.000 incidencias en empresas e instituciones españolas, una cifra que ilustra hasta qué punto el tejido productivo depende de sus activos digitales y de la capacidad de protegerlos frente a ataques cada vez más sofisticados.
Qué es Claude Mythos y por qué ha encendido todas las alertas
Claude Mythos es un modelo de IA desarrollado por Anthropic, empresa fundada en 2021 por exdirectivos de OpenAI, que se ha especializado en entender, generar y auditar código complejo con una precisión muy superior a la de modelos anteriores. No se trata solo de un asistente de programación avanzado, sino de una herramienta capaz de analizar sistemas enteros en busca de fallos difíciles de detectar incluso para equipos expertos.
Durante las pruebas internas, Mythos fue capaz de localizar una vulnerabilidad en OpenBSD, un sistema operativo de código abierto ampliamente reconocido por su alto nivel de seguridad. Esa brecha había permanecido oculta durante 27 años sin que ningún investigador la encontrara, lo que da una idea del alcance técnico del modelo y de hasta qué punto puede cambiar las reglas del juego en ciberseguridad ofensiva y defensiva.
Este tipo de hallazgos demuestra que una IA bien entrenada puede acelerar tanto la defensa como el ataque. La misma capacidad que sirve para localizar fallos y corregirlos también podría emplearse para automatizar ciberataques extremadamente complejos, diseñados y lanzados en cuestión de minutos, algo que preocupa especialmente a gobiernos, bancos y grandes proveedores de infraestructura digital.
En paralelo, otras compañías del sector, como OpenAI, ya han avisado de que sus nuevos modelos alcanzarán niveles muy altos en capacidades de ciberseguridad. Esto dibuja un escenario en el que varias IAs avanzadas podrían estar disponibles en poco tiempo con habilidades comparables a Mythos, lo que añade presión a organizaciones públicas y privadas de toda Europa para reforzar sus defensas.
Por qué Anthropic se niega a publicar Mythos libremente
Ante este escenario, Anthropic ha decidido frenar el lanzamiento masivo de Claude Mythos. La empresa considera que liberar un modelo con ese nivel de capacidad sin salvaguardas podría facilitar que actores malintencionados explotaran vulnerabilidades a gran escala, desde infraestructuras críticas hasta servicios financieros globales.
En lugar de abrirlo al público, la compañía ha puesto en marcha el Proyecto Glasswing, una iniciativa que ofrece acceso muy controlado a Mythos a un grupo reducido de unas 40 organizaciones tecnológicas. Entre ellas se encuentran gigantes como Amazon Web Services, Microsoft, Google o la Fundación Linux, es decir, actores clave en el funcionamiento de buena parte de internet.
El objetivo de este programa selectivo es que estas entidades utilicen Mythos para auditar, escanear y parchear software crítico antes de que herramientas con capacidades similares se popularicen sin las mismas restricciones. De este modo, Anthropic busca adelantarse a un posible uso malicioso de modelos avanzados, fortaleciendo primero las defensas básicas de la red y de los servicios que millones de personas usan a diario en Europa y en el resto del mundo.
Este enfoque contrasta con otros lanzamientos de IA generativa al consumidor, que han sido mucho más abiertos. En este caso, la empresa ha optado por una estrategia que combina avance tecnológico con gestión del riesgo sistémico, consciente de que una filtración masiva de vulnerabilidades podría tener un efecto dominó en sectores como la energía, las telecomunicaciones o la banca.
Impacto global y preocupación en el sector financiero
Las capacidades de Mythos han tenido un eco directo en los despachos de poder de Estados Unidos, donde las autoridades financieras han empezado a reaccionar. En Washington, el Secretario del Tesoro, Scott Bessent, convocó recientemente una reunión con los máximos responsables de algunos de los bancos más importantes del país para analizar qué supondría que herramientas similares a Mythos se usaran para atacar la infraestructura financiera.
Al encuentro asistió también el presidente de la Reserva Federal, Jerome Powell, lo que evidencia que la cuestión ya no se ve solo como un problema técnico, sino como un riesgo para la estabilidad financiera global. Las transacciones internacionales, los sistemas de compensación o las plataformas de banca electrónica podrían verse comprometidos por ataques coordinados diseñados con ayuda de modelos de IA muy potentes.
Para Europa y, en particular, para España, este debate no es ajeno. El ecosistema financiero europeo, muy interconectado, podría verse impactado por incidentes originados en cualquier punto de la red global. De ahí que los supervisores comunitarios y nacionales sigan con atención estos movimientos y empiecen a incorporar el riesgo de ciberataques asistidos por IA en sus análisis de resiliencia y pruebas de estrés.
Mientras tanto, las grandes tecnológicas que participan en el Proyecto Glasswing se encuentran en una posición delicada: deben aprovechar las ventajas defensivas de Mythos sin que ese conocimiento se convierta, con el tiempo, en una hoja de ruta para actores maliciosos. El equilibrio entre transparencia, colaboración y seguridad será clave en los próximos meses.
Lo que supone Anthropic Mythos para España y Europa
En territorios como España, donde el Incibe ha detectado en un solo año más de 122.000 incidencias relacionadas con la ciberseguridad, la existencia de modelos como Mythos supone tanto una advertencia como una oportunidad. La advertencia: si estas capacidades llegan a manos de atacantes, las pymes, las administraciones públicas y los grandes grupos empresariales pueden verse desbordados. La oportunidad: utilizar estas mismas herramientas, bajo control, para cerrar brechas antes de que sean explotadas. Para contextualizar la respuesta española, organismos como el servicio 017 están reforzando su papel como línea de ayuda frente a incidentes.
Buena parte del tejido empresarial español y europeo funciona con una combinación de soluciones en la nube, sistemas heredados y aplicaciones a medida que, en muchos casos, no han sido diseñados pensando en un entorno de ciberataques apoyados en IA. Mythos deja claro que el listón ha subido: un fallo que antes podía tardar años en descubrirse ahora puede salir a la luz en cuestión de horas de análisis automatizado.
Esto obliga a revisar cómo se gestionan las actualizaciones, los parches y la monitorización. No basta con aplicar mejoras de seguridad de forma puntual: las compañías necesitan reducir al mínimo el tiempo entre que se publica un parche y se despliega en todos los sistemas, y automatizar todo lo posible ese proceso. En un contexto en el que la IA puede acelerar tanto el ataque como la defensa, la rapidez de reacción se convierte en un factor crítico.
También es relevante el papel de la normativa europea, desde el Reglamento de Ciberresiliencia hasta las directivas sobre servicios esenciales. La posible disponibilidad de modelos tipo Mythos refuerza la idea de que la ciberseguridad debe tratarse como un componente estructural de la actividad económica y no como un añadido opcional o puramente técnico.
Ciberseguridad empresarial ante el nuevo escenario de la IA
Para las empresas españolas y europeas, la principal lección de lo que está ocurriendo con Anthropic y Mythos es que la ciberseguridad debe asumirse como una práctica esencial y continua, no como un proyecto que se resuelve con una sola inversión. El margen entre detectar una vulnerabilidad y explotarla se acorta, de modo que cualquier retraso en la aplicación de parches puede convertirse en una puerta abierta a un ataque.
Hoy en día, incluso los modelos de IA más avanzados que ya están disponibles para el público, aunque no lleguen al nivel de Mythos, pueden auditar código, revisar configuraciones en la nube y localizar fallos de seguridad con bastante eficacia. Utilizados correctamente, permiten identificar y corregir vulnerabilidades en fases tempranas del desarrollo de software, antes de que una aplicación llegue al mercado o se despliegue en un entorno de producción.
Sin embargo, muchas organizaciones siguen dependiendo de software crítico que ya no recibe soporte oficial ni actualizaciones. En esos casos, la recomendación de los expertos es clara: aislar esos sistemas todo lo posible, segmentando redes y limitando el acceso, porque se convierten en el eslabón más débil frente a un eventual ataque automatizado con ayuda de IA.
Más allá de la tecnología, el factor humano continúa siendo un punto flaco importante. La mayoría de los incidentes graves se originan en errores evitables: contraseñas débiles, phishing, equipos sin actualizar o malas prácticas en el manejo de datos sensibles. Por ello, cualquier inversión en herramientas, ya sea en IA o en soluciones de ciberseguridad tradicionales, debería ir acompañada de formación continua e incentivos para consolidar una cultura de prevención entre los trabajadores.
La negativa de Anthropic a liberar Mythos de forma generalizada funciona, en cierto modo, como un aviso de lo que viene: los atacantes también tendrán acceso a modelos cada vez más capaces. Las organizaciones que se adelanten, integrando la IA en sus procesos defensivos y reforzando sus políticas internas, estarán en mejor posición para afrontar esta nueva etapa.
Todo apunta a que la decisión de Anthropic de mantener Claude Mythos bajo control estricto marca un cambio de fase en la relación entre inteligencia artificial y ciberseguridad. La demostración de que una IA puede encontrar fallos ocultos durante décadas en sistemas considerados muy seguros ha despertado tanto preocupación como interés, y ha impulsado iniciativas como el Proyecto Glasswing para blindar el software crítico. Para España y Europa, donde las incidencias se cuentan por decenas de miles al año, el mensaje es claro: la protección de los activos digitales exigirá combinar tecnología punta, rapidez en la gestión de parches y una apuesta decidida por la cultura de seguridad en empresas e instituciones.
