Imagen del nuevo plan Máximo de Claude El Androide Libre
El nuevo escenario que la IA ya dibuja en ciberseguridad: "los defensores tienen finalmente la oportunidad de ganar"
En un mes, Mythos, la IA de ciberseguridad de Anthropic ha suscitado gran expectación, "eso se puede traducir en una mayor frecuencia de ataques".
Más información: Palantir, la tecnológica que quiere una autocracia digital: exige "defender Occidente con industria militar basada en IA"
En menos de un mes, Mythos se ha convertido en el centro de un importante debate. Mientras unos alaban las capacidades de esta inteligencia artificial enfocada en la ciberseguridad, otros advierten del riesgo que supone si cae en malas manos. Una dualidad que hace tiempo que llevan denunciando los expertos de este campo, una nueva era con la IA en el centro.
Bajo el pretexto de la seguridad, el mismo día que Anthropic anunciaba Mythos, la empresa aclaraba que la distribución de este nuevo modelo de IA sería limitada. Dos semanas después, Bloomberg informaba que un pequeño grupo de usuarios no autorizados ha conseguido acceso al nuevo modelo.
Anthropic lo presentó como una IA "igual de capaz" que los mejores investigadores de seguridad del mundo e, informes posteriores de empresas como Firefox han revelado de lo que es capaz, identificando cientos de vulnerabilidades y explotándolas de forma autónoma.
Sin embargo, antes de que el lector se eche las manos a la cabeza, los expertos consultados por EL ESPAÑOL-Omicrono advierten que el riesgo que presenta esta IA ya existía desde hace tiempo. “No estamos ante un cambio radical en la naturaleza del riesgo, sino ante una intensificación de este", indica desde Softtek, Doris Seedorf, CEO de la empresa de servicios informáticos en España, explica a este periódico por cuestionario.
Entre los afortunados que han tenido acceso previo a Mythos se encuentran The Linux Foundation, Amazon, Apple, Google, Microsoft y Cisco. También instituciones como la NSA, la agencia de inteligencia del Departamento de Defensa de EEUU, a pesar de que Anthropic fue clasificada como peligrosa para la seguridad nacional tras una serie de desencuentros con el gobierno de Trump.
Advierten los especialistas que esto se podría traducir en una mayor frecuencia de ataques, reduciendo el tiempo necesario para detectar y explotar vulnerabilidades.
Eficaz, pero como los humanos
En los últimos días, se han publicado los primeros informes de Mythos. Uno de ellos es de Mozilla. Según el blog del buscador de Firefox, la IA de Anthropic ha sido capaz de identificar 271 vulnerabilidades de seguridad en la versión Firefox 150. A modo de comparación, señaló que el modelo Opus 4.6 de Anthropic encontró solo 22 errores de seguridad al analizar Firefox 148 el mes pasado.
El director de tecnología de Firefox, Bobby Holley, se ha mostrado entusiasmado con estos resultados, asegurando que "los defensores finalmente tienen la oportunidad de ganar de forma decisiva".
Anthropic
Menos efusivo es Eusebio Nieva, director técnico de Check Point, quien confirma a este medio por teléfono que Mythos ha dado muy buenos resultados, pero aclara que otros modelos ya disponibles y de libre disposición también han mostrado capacidades similares, “alguien con un conjunto de estos modelos, podría replicar en un porcentaje alto las capacidades de Mythos desde el punto de vista ofensivo, en un ataque".
En el sistema operativo OpenBSD, uno de los más seguros del sector, Mythos descubrió un fallo de 27 años de antigüedad que permitía tirar el sistema de manera remota, además de encadenar varias vulnerabilidades de Linux para tomar el control completo del sistema. Esta IA ha conseguido incluso 'escaparse' de entornos aislados de tipo 'sandbox' y de tomar decisiones propias.
We conducted cyber evaluations of Claude Mythos Preview and found that it is the first model to complete an AISI cyber range end-to-end. 🧵 pic.twitter.com/gd9hi0Ve55
— AI Security Institute (@AISecurityInst) April 13, 2026
El Instituto de Seguridad de la IA del Reino Unido también ha publicado una evaluación de la versión preliminar de Claude Mythos. Los resultados presentan al modelo como el primero que ha completado pruebas cibernéticas AISI de extremo a extremo.
“Nuestra evaluación de Mythos Preview muestra que este – y potencialmente modelos futuros – podría ser dirigido para comprometer de manera autónoma sistemas pequeños, débilmente defendidos y vulnerables si se le otorga acceso a la red”, explica esta institución a través de las redes sociales.
Desde Softtek recalcan que estas pruebas se han realizado en entornos controlados,”aunque muestran una mejora clara en automatización y autonomía operativa, no implican necesariamente que estos modelos puedan replicar el mismo rendimiento en entornos reales bien protegidos.”
El riesgo está en los más vulnerables
El miedo generado por las expectativas previas y los recientes resultados se ha incrementado esta semana, cuando ha saltado la noticia de que un pequeño grupo de usuarios no autorizados ha accedido al nuevo modelo de Anthropic.
La fuente consultada por Bloomberg afirma que este grupo de intrusos ha estado usando Mythos con regularidad, aunque no con fines de ciberseguridad. Esta información se ha corroborado con capturas de pantalla y demostración en vivo del modelo.
![Sundar Pichai, CEO de Google, durante la presentación de Google I/O.](["https:\/\/s3.elespanol.com\/2025\/05\/20\/actualidad\/1003743766758_255751413_320x180.jpg"])
Aun así, Mythos solo ha enfatizado más la era de la IA en ciberseguridad. Recuerda Nieva que en 2019, Check Point ya utilizaba la inteligencia artificial para detectar el 80% de los ataques, pero era machine learning tradicional. Ahora se ha vuelto de moda la IA generativa, como Mythos, más orientada a crear, por ejemplo, programación.
Si lo usan los investigadores, también la usan los ciberdelincuentes. A principios de año Check Point informaba de VoidLink en un extenso estudio. Un malware construido prácticamente por completo utilizando inteligencia artificial, desarrollado con tres lenguajes de programación y en una semana.
Mythos, por su parte, sorprende integrando en un único modelo lo que hasta ahora debía ser una secuencia de tareas realizadas por diferentes IA entrenadas para cada una.
El riesgo principal está en los sistemas vulnerables. “Este escenario refuerza un mensaje clave: las buenas prácticas de ciberseguridad (actualizaciones regulares, control de accesos, monitorización y registro de actividad)”, dice Doris Seedorf de Softtek. “La mejor manera de estar protegido es asumir que tarde o temprano los ataques van a producirse y prepararse para ello con las medidas adecuadas”, añade Eusebio Nieva.
El mensaje va calando con alarmas como la generada por Mythos: cada vez es más fácil y rápido lo que antes requería un amplio equipo y muchas horas de trabajo. IAs como Mythos ponen al servicio de los desarrolladores de software una poderosa herramienta para revisar y blindar cada resquicio de su código antes de lanzarlo al mercado; al mismo tiempo, los ciberdelincuentes pueden construir ataques en menor tiempo. La balanza sigue en tensión, pero todo se acelera.
