Claude Mythos: la inteligencia artificial que nadie puede usar (y por qué eso debería mantenerte despierto por las noches).

Inteligencia artificial · Ciberseguridad

Anthropic ha creado el modelo de IA más capaz de la historia. Tan capaz que sus propios ingenieros decidieron no ponerlo a disposición del público. Lo que descubrió en su primera semana de vida cambió para siempre la conversación sobre el futuro de la ciberseguridad global.

En el mundo de la inteligencia artificial, la euforia es el estado natural. Cada lanzamiento viene acompañado de superlativos, promesas y benchmarks que demuestran que lo último es siempre lo mejor. Pero el 8 de abril de 2026, Anthropic hizo algo inusual: presentó su nuevo modelo con una advertencia.

No era marketing. No era precaución calculada para generar expectación. Era que los ingenieros que habían pasado meses construyendo Claude Mythos Preview se enfrentaron, en sus primeras pruebas internas, a algo que no esperaban ver tan pronto.

La IA encontró, por sí sola y sin instrucciones específicas, vulnerabilidades de seguridad desconocidas en los principales sistemas operativos y navegadores del mundo. Agujeros que nadie había visto antes. Puertas traseras que llevaban décadas abiertas sin que nadie supiera que existían.

El caso más llamativo: una vulnerabilidad enterrada en el código de OpenBSD llevaba 27 años sin detectarse. Tres décadas de auditorías humanas. Claude Mythos la encontró.

Para entender el alcance real de Mythos hay que alejarse un momento del lenguaje técnico y pensar en lo que implica a escala humana.

Toda la infraestructura que sostiene la vida moderna funciona sobre software. Software escrito por humanos a lo largo de décadas, acumulando capas y capas de código que nadie ha revisado por completo jamás. Ese software tiene grietas. Las tiene siempre. La pregunta nunca ha sido si existen, sino cuánto tiempo tardarán en encontrarse.

Hasta ahora, ese tiempo podía medirse en meses o años. Con un modelo como Mythos, empieza a medirse en horas.

Mythos no busca vulnerabilidades comparando código con una lista de amenazas conocidas. Razona sobre el código, entiende su lógica y detecta los puntos donde esa lógica puede romperse. Identifica desbordamientos de memoria, fallos en la gestión de permisos y errores de validación. Y no se queda en la detección: construye la prueba de que el fallo funciona. Llega con el diagnóstico y el bisturí.

Hablemos con claridad, porque el eufemismo no hace ningún favor aquí.

Si una versión de esta tecnología cayera en manos de un actor estatal con intenciones hostiles, el mapa de lo que es posible en un conflicto moderno cambiaría radicalmente. No hablamos de ciencia ficción. Hablamos de una extrapolación directa de lo que ya ha ocurrido, amplificada por un orden de magnitud.

En 2021, un ataque al oleoducto Colonial Pipeline dejó sin combustible a millones de ciudadanos en la Costa Este de Estados Unidos durante varios días. Ese ataque fue obra de un grupo criminal humano, con herramientas convencionales. Ahora imagina la misma operación ejecutada a la velocidad y escala que permite una IA con capacidades ofensivas autónomas.

Anthropic ha restringido el acceso a Mythos a través del Proyecto Glasswing, un programa exclusivo para un grupo selecto de grandes empresas tecnológicas con fines exclusivamente defensivos: encontrar vulnerabilidades antes que los atacantes y corregirlas.

Es una respuesta razonable. También es una respuesta incompleta.

La historia tecnológica tiene un patrón claro: ningún sistema de control es permanente. El ransomware WannaCry, que en 2017 paralizó hospitales en más de 150 países, utilizaba herramientas robadas de la propia NSA. Anthropic no es el único laboratorio de IA del mundo. Mientras sus ingenieros construían Mythos, otros programas, en otros países y con otras prioridades, avanzan en paralelo.

Mythos reconoce los límites de su propio conocimiento y puede admitir que no tiene información suficiente para responder. En un modelo orientado a ciberseguridad, esta propiedad es crítica: un exploit incorrecto pero convincente puede llevar a un equipo a protegerse del agujero equivocado. Y cuando Mythos se equivoca en tareas complejas, lo hace de forma técnicamente sofisticada, con argumentos difíciles de distinguir de respuestas correctas incluso para expertos.

Anthropic ha sido explícita en algo que tiene el peso de una advertencia: Mythos Preview no es el techo. Es el suelo. Los modelos seguirán mejorando, las capacidades ofensivas seguirán expandiéndose y el tiempo entre el descubrimiento de una vulnerabilidad y su explotación seguirá comprimiéndose.

La humanidad lleva medio siglo construyendo su infraestructura más crítica sobre software. Ahora ha creado algo que entiende ese software mejor que cualquier humano. Usarlo bien puede suponer el mayor avance en ciberseguridad de la historia. Usarlo mal puede significar algo que preferiríamos no tener que describir.

La pregunta que Mythos plantea no es técnica. Es la misma que lleva siglos acompañando a cada herramienta capaz de cambiar el equilibrio del poder: ¿quién decide las reglas, y cómo nos aseguramos de que las cumplen?

Esa, por ahora, sigue siendo una pregunta humana. Y más vale que sigamos así.