Anthropic presentó Mythos como un modelo de IA demasiado peligroso — y el problema va más allá de los bancos

La historia de Mythos es importante no porque Anthropic asustara a los banqueros, sino porque mostró una nueva realidad para todos los negocios: el tiempo entre descubrir un fallo de software y un ataque real ha desaparecido casi completamente. Si antes las empresas vivían con la lógica de "primero anunciamos la vulnerabilidad, luego los clientes instalan tranquilamente el parche", ahora con la aparición de modelos de IA más autónomos, este esquema está comenzando a romperse. Y el punto más vulnerable aquí no es Wall Street, sino miles de organizaciones menos protegidas que no tienen ni personal de especialistas costosos ni presupuesto para reconstruir instantáneamente sus defensas.

Cuando Anthropic el 7 de abril de 2026 anunció Mythos y simultáneamente dejó claro que el modelo era demasiado peligroso para un lanzamiento común, la primera reacción fue predecible: esto es principalmente un problema para bancos e infraestructura crítica. Días después, el secretario del Tesoro de EE.UU.

, Scott Bessent, reunió a los líderes de los mayores bancos para asegurarse de que tomaban la amenaza en serio. Para Anthropic, esto se convirtió en publicidad perfecta: la empresa obtuvo la máxima atención y al mismo tiempo planteó una pregunta incómoda: quién exactamente tiene acceso temprano a tecnología tan poderosa. Según Bloomberg, el propio Departamento del Tesoro de EE.

UU. ahora también busca acceso a Mythos. Mientras tanto, el acceso al modelo ya existe en el Instituto Británico de Seguridad en IA, que efectivamente se ha convertido en uno de los principales árbitros independientes sobre seguridad en IA.

La evaluación preliminar del instituto se reduce a una idea importante: hay efectivamente mucho ruido alrededor de Mythos, pero no viene de la nada. El modelo es notablemente mejor que otros sistemas de IA populares para ciberataques complejos en comparación con chatbots comunes como ChatGPT o Gemini. Pero parece particularmente peligroso no contra los objetivos mejor protegidos, sino contra sistemas simplificados y mal defendidos.

Esto cambia el enfoque de toda la discusión. Los grandes bancos, por lo general, operan en uno de los perímetros de TI más protegidos del mundo. La situación es mucho peor para pequeñas y medianas empresas, empresas de servicios regionales, organizaciones médicas y cualquier negocio donde la seguridad fue considerada una tarea secundaria durante años.

Durante mucho tiempo, la industria vivió según el modelo de divulgación responsable, es decir, divulgación responsable de vulnerabilidades. Un proveedor encuentra un problema, publica un aviso y ofrece una solución, y los clientes prueban el parche, acuerdan cambios y solo entonces lo lanzan a producción. En Microsoft, esto se convierte en rutina como el Patch Tuesday mensual.

En bancos y grandes corporaciones, este proceso puede tomar semanas o meses: los equipos de TI deben asegurar que la actualización no rompa sistemas antiguos, integraciones críticas y regulaciones internas. Antes de la IA generativa, esto funcionaba tolerablemente precisamente porque los atacantes generalmente necesitaban aún más tiempo para descubrir cómo convertir un error publicado en un exploit funcional. Ahora este margen está desapareciendo.

Hace un par de años, un atacante podía copiar la descripción de una vulnerabilidad en un chatbot, pedirle que estudiara repositorios públicos y encontrara patrones similares en otro software. Hoy, con la llegada de modelos de agentes, el riesgo aumenta: estos sistemas no solo sugieren la idea de un ataque, sino que pueden recorrer opciones independientemente, buscar cadenas de debilidades y llevar el ataque a su conclusión. Mythos, según la descripción de Anthropic, puede vincular varios errores no fatales en un escenario de hackeo de múltiples pasos — como un ladrón que primero encuentra una ventana entreabierta, luego abre la puerta desde adentro y finalmente desactiva la alarma.

Por separado, ningún paso otorga acceso total, juntos — sí. Este es un cambio importante también porque la IA generativa hasta ahora principalmente ha reforzado técnicas antiguas: ayudó a escribir correos de phishing más convincentes, crear deepfakes plausibles para llamadas y acelerar la preparación rutinaria de ataques. La IA de agentes mueve la automatización directamente al oficio del hackeo.

Y aquí los delincuentes ya tienen su propia lógica: raramente van de frente contra los bancos más grandes porque es demasiado caro y complicado, y más frecuentemente buscan hospitales, pequeñas tiendas online o empresas con infraestructura mal configurada. Para tales objetivos, lo crítico no es si el atacante tiene Mythos, sino que la ventana entre la divulgación de vulnerabilidad y su explotación se ha reducido a un mínimo peligroso. Según zerodayclock.

com, el tiempo promedio entre la divulgación pública de un error de software y la creación de un exploit funcional ha disminuido de 771 días en 2018 a menos de cuatro horas ahora. Qué significa esto: Mythos no es solo una historia llamativa sobre "IA peligrosamente peligrosa", sino una señal de que el antiguo régimen de ciberseguridad ya no funciona. Los bancos probablemente podrán reorganizarse más rápido: tienen personas, dinero y procesos.

El problema principal es todos los demás. Las pequeñas y medianas empresas tendrán que actualizar sistemas casi en tiempo real, y sin nuevo soporte técnico y reglas regulatorias más estrictas, el mercado por sí solo difícilmente proporcionará esa velocidad.