Una empresa de inteligencia artificial ha decidido no publicar su propio modelo porque es demasiado peligroso. No es el argumento de una película de ciencia ficción: es lo que acaba de hacer Anthropic con Claude Mythos Preview, una IA tan eficaz encontrando y explotando fallos de software que la compañía ha optado por restringir su acceso antes de que caiga en manos equivocadas. La decisión, anunciada el 7 de abril de 2026, marca un antes y un después en cómo la industria tecnológica gestiona el riesgo de sus propias creaciones.
Mythos Preview es un modelo de propósito general, aún no publicado, que pone sobre la mesa un hecho sin precedentes: las IAs han alcanzado un nivel de capacidad en programación que les permite superar a casi cualquier humano buscando y explotando vulnerabilidades de software. En sus pruebas internas, el modelo ya ha detectado miles de fallos de alta gravedad, incluyendo algunos en todos los grandes sistemas operativos y navegadores web. Para entender la escala del problema: no hablamos de encontrar un par de bugs en una aplicación menor, sino de comprometer los cimientos digitales que usa prácticamente todo el planeta.
Qué hace Mythos que otros modelos no pueden
Según Logan Graham, responsable del equipo de red team de Anthropic, Mythos Preview es "extremadamente autónomo" y posee capacidades de razonamiento sofisticado que le otorgan las habilidades de un investigador de seguridad avanzado. El modelo puede encontrar "decenas de miles de vulnerabilidades" que incluso los mejores cazadores de errores tendrían dificultades para localizar.
En pruebas internas documentadas, Mythos fue capaz de identificar y explotar vulnerabilidades en todos los grandes sistemas operativos y navegadores. En un caso concreto, llegó a escribir un exploit para un navegador encadenando cuatro vulnerabilidades distintas. El salto cualitativo respecto a generaciones anteriores es abismal: donde el modelo Opus 4.6 consiguió convertir vulnerabilidades en exploits funcionales apenas dos veces en varios cientos de intentos contra el motor JavaScript de Firefox, Mythos Preview lo logró 181 veces, alcanzando además el control de registros en 29 intentos adicionales.
Las tareas que antes requerían experiencia técnica avanzada —como escanear código en busca de vulnerabilidades o ejecutar ataques que encadenan múltiples exploits— están siendo automatizadas por sistemas de IA. Los atacantes, incluso los menos cualificados técnicamente, pueden lanzar ataques altamente automatizados contra miles de sistemas a la vez en un asalto masivo y coordinado.
Project Glasswing: la respuesta colectiva de la industria
Ante este escenario, Anthropic ha optado por una estrategia que combina restricción y cooperación. En lugar de lanzar Mythos al mercado o directamente bloquearlo, ha creado Project Glasswing, una iniciativa para usar el modelo con fines exclusivamente defensivos. El proyecto reúne como socios fundadores a Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, la Linux Foundation, Microsoft, NVIDIA y Palo Alto Networks. Todos ellos utilizarán Mythos Preview en sus tareas de seguridad defensiva, y Anthropic compartirá los aprendizajes para que el resto de la industria pueda beneficiarse. Además, el acceso se ha extendido a más de 40 organizaciones adicionales que construyen o mantienen infraestructura crítica de software.
Anthropic ha comprometido hasta 100 millones de dólares en créditos de uso para Mythos Preview en el marco de estos esfuerzos, más 4 millones en donaciones directas a organizaciones de seguridad de código abierto. Parte de ese dinero va destinado a la Apache Software Foundation y a OpenSSF, los guardianes de gran parte del software libre sobre el que se asienta internet.
El sector financiero también está en alerta máxima. El director de información del Tesoro de EE.UU., Sam Corcos, ya informó a su equipo de ciberseguridad sobre la tecnología y dirigió esfuerzos para obtener acceso al modelo de forma urgente. Los ejecutivos de Wall Street fueron advertidos de que Mythos y modelos similares podrían inaugurar una nueva era de riesgo cibernético elevado. JPMorgan Chase figura entre los primeros socios con acceso formal, mientras que Goldman Sachs, Citigroup, Bank of America y Morgan Stanley también están evaluando el sistema.
¿Sirve de algo restringir el acceso?
La decisión de Anthropic no está libre de críticas. Anthropic no es el único laboratorio de IA desarrollando modelos con estas capacidades ni considerando estrategias de distribución restringida. OpenAI está preparando un modelo conocido internamente como "Spud" que podría igualar a Mythos en capacidades de ciberseguridad.
Algunos investigadores cuestionan además cuánto margen real de maniobra ofrece el control de acceso. Pruebas realizadas por la firma de seguridad AISLE revelaron que ocho de cada ocho modelos de código abierto, pequeños y baratos, detectaron el exploit estrella de Mythos para FreeBSD; un modelo con apenas 5.100 millones de parámetros activos reprodujo el núcleo de un fallo de 27 años de antigüedad en OpenBSD. La conclusión que extraen es que la ventaja no reside tanto en el modelo en sí como en el sistema y la experiencia que lo rodea.
El Instituto de Seguridad de IA del Gobierno del Reino Unido emitió una advertencia calificando a Mythos de "un escalón superior" a los modelos anteriores en términos de amenaza cibernética. En España y Europa, los reguladores observan de cerca cómo evoluciona esta situación, especialmente con el Reglamento de IA europeo desplegándose de forma progresiva.
Lo que está claro es que Anthropic ha abierto un debate que ya no tiene marcha atrás: dada la velocidad del progreso en IA, no tardará mucho en que capacidades como las de Mythos se propaguen, potencialmente más allá de actores comprometidos con un despliegue seguro. Las consecuencias para las economías, la seguridad pública y la seguridad nacional podrían ser graves. La pregunta ya no es si la IA cambiará la ciberseguridad, sino si los defensores llegarán antes que los atacantes.