Anthropic presentó Claude Mythos: IA para descubrimiento de zero-day cambia el equilibrio de poder en internet

Anthropic presentó Claude Mythos como un modelo capaz de encontrar autónomamente vulnerabilidades desconocidas y transformarlas instantáneamente en escenarios de ataque funcionales. Por eso la empresa optó por no lanzar el sistema en acceso público: según su propia descripción, tal IA no solo puede señalar un punto débil, sino explotarlo metódicamente, obtener privilegios elevados y usar una cadena de errores para comprometer software crítico. Hablamos de las llamadas vulnerabilidades zero-day — defectos que los desarrolladores aún no conocen y para los que no existe una corrección lista.

Si una herramienta puede encontrar tales brechas más rápido que los humanos, el costo del fracaso sube drásticamente. En un modelo de defensa típico, las empresas tienen tiempo entre descubrir un problema y su explotación masiva. Con tal IA, esa ventana podría casi desaparecer: descubrimiento, escritura de código, búsqueda de formas de eludir la protección y escalada de privilegios ocurren en un solo ciclo sin trabajo manual prolongado.

Anthropic sostiene que Mythos podría teóricamente vincular múltiples vulnerabilidades para alcanzar el nivel de sistemas operativos principales y navegadores populares. Esto hace que la historia no sea un problema local de un único proveedor, sino una cuestión de resiliencia de toda la infraestructura digital. Si este enfoque realmente funciona, cambia el equilibrio entre atacantes y defensores: el hacking ya no requiere un equipo de especialistas raros, sino que puede contar con una máquina que escala experiencia, velocidad y persistencia.

En este contexto, la empresa lanzó Project Glasswing — un programa de acceso limitado para organizaciones que deben usar las capacidades del modelo con fines defensivos. Ya se han nombrado 40 socios, y todos son estadounidenses. Este es un detalle importante: las herramientas capaces de fortalecer simultáneamente la seguridad y crear riesgo sistémico se concentran en el centro del ecosistema digital estadounidense.

Formalmente, se trata de protección preventiva, cuando las vulnerabilidades deben cerrarse antes de que los actores maliciosos las exploten. Pero en la práctica, significa que varias entidades privadas obtienen acceso exclusivo a una tecnología cuyo impacto se extiende mucho más allá de sus propias redes. El único socio externo fuera de EE.

UU. es el Reino Unido, donde el Instituto de Seguridad de IA obtuvo acceso al sistema para probar modelos avanzados. Después de familiarizarse con sus capacidades, los ministros británicos advirtieron a las empresas: la IA hará que los ataques cibernéticos sean significativamente más fáciles, rápidos y económicos en un futuro próximo, y la mayoría de las empresas no están preparadas.

La siguiente etapa, según datos disponibles, podría ser pruebas en bancos europeos. Esta es una opción lógica: el sector financiero entiende mejor que otros el costo de las vulnerabilidades, pero es particularmente sensible a las consecuencias de errores en la evaluación de riesgos. La pregunta principal aquí no es solo técnica, sino política.

Cuando un sistema puede encontrar debilidades universales en software ampliamente utilizado, se convierte en un instrumento de poder infraestrutural. Entonces lo que importa no es solo qué tan bien funciona, sino quién decide quién obtiene acceso, qué errores cerrar primero, dónde está la línea entre investigación y operaciones cibernéticas ofensivas, y cómo verificar las propias afirmaciones de la empresa sobre el control de riesgos. Internet abierto fue históricamente construido sobre descentralización y reglas compartidas, no sobre unos pocos actores viendo todas las grietas antes que todos los demás.

Qué significa esto. La emergencia de Claude Mythos muestra que la siguiente fase de la IA en ciberseguridad será determinada no solo por la calidad del modelo, sino por los regímenes de acceso. La tecnología que escala igualmente defensa y ataque requiere no solo parches, sino nuevas reglas de rendición de cuentas.

De lo contrario, el control sobre la seguridad digital comenzará a desplazarse de instituciones públicas y del ecosistema más amplio hacia un círculo estrecho de empresas privadas.