El lanzamiento de Claude Mythos y su acceso restringido confirman una realidad cada vez más evidente: la IA está cambiando las reglas de la ciberseguridad, en defensa y en ataque. Un nuevo escenario que obliga a las organizaciones a replantearse una pregunta clave: ¿estamos realmente preparados?
Estas últimas semanas ha habido una noticia dando vueltas en el sector tecnológico y de ciberseguridad que ha generado bastante debate: el lanzamiento de Claude Mythos, el nuevo modelo de Anthropic, y el hecho de que su acceso esté limitado a un grupo muy reducido de compañías.
Lo interesante no es tanto el modelo en sí, sino lo que pone encima de la mesa.
Porque no estamos hablando simplemente de una nueva versión más potente. Estamos hablando de una generación de modelos que empiezan a operar con un nivel de contexto y razonamiento que impacta directamente en cómo se detectan, y cómo se explotan, las vulnerabilidades.
Qué es Claude Mythos y por qué preocupa en Ciberseguridad
Anthropic no ha presentado Mythos como una simple evolución de Claude. De hecho, el propio hecho de que su acceso esté restringido ya da una pista clara de que no estamos ante una iteración más.
El modelo forma parte de Project Glasswing, una iniciativa en la que participan compañías como Microsoft, orientada a aplicar IA avanzada a la detección y corrección de vulnerabilidades en software crítico.
Más allá del contexto, lo relevante es el nivel de capacidad que está demostrando. En sus fases iniciales, Mythos ha sido capaz de identificar vulnerabilidades de alta gravedad en sistemas operativos, navegadores y software ampliamente utilizado, incluyendo fallos que llevaban años sin detectarse.
Esto cambia el tipo de conversación. Ya no se trata solo de automatizar tareas de seguridad, sino de aplicar modelos capaces de encontrar errores que, hasta ahora, requerían equipos altamente especializados y mucho tiempo de análisis.
Impacto de la IA en Ciberseguridad: qué cambia para CIOs y CISOs
El impacto no está tanto en entender cómo funciona Mythos, sino en asumir lo que implica que exista.
Durante años, la ciberseguridad se ha construido sobre un modelo bastante estable: proteger activos, detectar patrones conocidos y responder a incidentes. Ese modelo sigue funcionando, pero empieza a quedarse corto cuando el atacante también evoluciona.
El hecho de que modelos como Mythos no se estén abriendo de forma generalizada no es casualidad. No responde solo a una decisión estratégica, sino al riesgo que supone que este tipo de capacidades acaben en manos equivocadas.
Porque si una IA puede ayudar a encontrar vulnerabilidades complejas en sistemas críticos, también puede reducir el tiempo necesario para explotarlas. No cambia el tipo de ataque, pero sí cambia su velocidad, su escala y su capacidad de adaptación.
Entender ese punto es clave, porque cuando cambia la forma en la que se descubren y explotan las vulnerabilidades, lo que se pone en juego es el modelo de seguridad de las empresas.
Por eso, los CIOs y CISOs tienen que replantearse si están preparados para este nivel de exigencia o si siguen respondiendo a un contexto que ya ha cambiado.
Esto, en al práctica, implica revisar varios puntos clave, entre ellos:
- Reducir el tiempo entre detección y respuesta ante un incidente.
- Incorporar capacidades de IA también en el análisis de vulnerabilidades.
- Revisar si el servicio de SOC está preparado para un entorno menos predecible, donde los ataques no siguen siempre patrones repetibles.
Y es ahí donde se hace evidente si la empresa está preparada para este nuevo escenario o no.