Anthropic y Mythos: por qué una amenaza para los bancos rápidamente se convirtió en un riesgo para todos

Anthropic lanzó Mythos como un modelo peligroso de liberar en acceso abierto, y con ello desplazó la conversación sobre IA del plano de "¿es más conveniente trabajar?" al plano de "¿tenemos tiempo para protegernos?" A primera vista, la preocupación parece una historia solo sobre bancos: después del anuncio, el secretario del Tesoro estadounidense Scott Bessent reunió a ejecutivos de Wall Street y exigió garantías de que sus sistemas estén listos para una nueva ola de riesgos cibernéticos.

Pero la conclusión más desagradable es diferente: si incluso organizaciones con los perímetros de TI más protegidos del mundo están nerviosas por tal modelo, entonces para miles de empresas ordinarias la amenaza es aún mayor. Según la descripción y las evaluaciones iniciales, Mythos de hecho difiere de modelos masivos familiares como ChatGPT o Gemini precisamente en escenarios cibernéticos. La investigación citada en el material muestra que el modelo está mejor adaptado a ataques complejos y es particularmente peligroso para sistemas simplificados, "mal protegidos".

Al mismo tiempo, se busca acceso a él no solo por grandes empresas sino también por estructuras estatales: entre las primeras organizaciones con acceso se menciona el Instituto Británico de Seguridad de Inteligencia Artificial, y el Tesoro estadounidense también insiste en la conexión. El hecho mismo de tal interés muestra que esto ya no se trata de demostrar el poder de otra IA, sino de una herramienta que puede cambiar el equilibrio entre ataque y defensa. El problema se reduce al viejo modelo de respuesta a vulnerabilidades.

Durante muchos años, el mercado vivió por un esquema de divulgación responsable: el proveedor encuentra un agujero, publica detalles, lanza un parche, y los clientes tranquilamente prueban la actualización y la implementan en toda la infraestructura. El mismo Microsoft convirtió esto en un proceso regular, conocido como Patch Tuesday. En grandes bancos como Barclays o Wells Fargo, las correcciones atraviesan una larga ruta: verificación, coordinación, evaluación de riesgos para sistemas operativos e implementación solo después.

Antes, esto funcionaba porque los atacantes también necesitaban tiempo para estudiar la descripción del error, idear un método de explotación y llevar el ataque a un estado funcional. La IA generativa y luego los modelos agentes comenzaron a romper esta lógica. Ahora un sistema no solo puede leer publicaciones sobre vulnerabilidades, sino también buscar debilidades similares en código abierto, probar variaciones de ataque y vincular varios pequeños errores en un ataque de múltiples pasos.

Por esto, la ventana para la defensa se reduce drásticamente. Según zerodayclock.com, el tiempo promedio entre el descubrimiento de una vulnerabilidad y la aparición de un exploit funcional se ha reducido de 771 días en 2018 a menos de cuatro horas ahora.

Es aquí donde queda claro por qué el pánico alrededor de Mythos no debe limitarse a Wall Street. Los hackers de "sombrero negro" nunca han tenido especial interés en atacar bancos, donde hay un alto nivel de control y protección multicapa. Es mucho más rentable atacar hospitales, contratistas, servicios regionales o una pequeña tienda con infraestructura mal configurada y exigir rescate.

Si modelos como Mythos bajan la barrera de entrada para tales ataques y aceleran su preparación, entonces la zona principal de riesgo se desplaza a donde hay menos personas, menos presupuesto y casi ningún tiempo para responder. Al mismo tiempo, la historia fortalece el aura de la propia Anthropic como la empresa que primero designó públicamente un nuevo límite de peligro. La pregunta principal ahora no es quién exactamente tendrá acceso a Mythos, sino si la velocidad anterior de la defensa cibernética es viable.

Si solo quedan pocas horas entre la divulgación de una vulnerabilidad y un ataque real, los ciclos de parches mensuales comienzan a perder su significado. Los bancos pueden ser capaces de hacer la transición a actualizaciones casi continuas, verificación automatizada y gestión de cambios más rigurosa. Las pequeñas y medianas empresas sin servicios baratos de protección, nuevos requisitos de proveedores y probablemente ayuda regulatoria tendrán una dificultad mucho mayor.

Por eso Mythos es importante no como otro modelo sensacional, sino como una advertencia: la era en la que se daban semanas y meses para corregir errores está terminando.