El cambio de política de Anthropic sobre su potente modelo Mythos señala una nueva era de defensa colaborativa, obligando a un frágil sector de la ciberseguridad a enfrentarse a amenazas impulsadas por IA que superan las respuestas lideradas por humanos.
Anthropic ha revertido una política clave para su potente modelo de IA Mythos, permitiendo ahora a las aproximadamente 50 empresas de su exclusivo "Proyecto Glasswing" compartir inteligencia de amenazas con entidades externas. La medida, que supone un alejamiento significativo de los acuerdos de confidencialidad iniciales, se produce tras la presión de legisladores estadounidenses preocupados por el hecho de que el aislamiento de las vulnerabilidades descubiertas por la IA pudiera poner en peligro infraestructuras críticas.
"Ninguna entidad debería estar restringida contractualmente para advertir a otros, coordinar mitigaciones o informar a las partes interesadas relevantes y de confianza sobre riesgos cibernéticos urgentes", escribió el representante Josh Gottheimer (D., N.J.) en una carta a Anthropic, según The Wall Street Journal. Gottheimer copreside una comisión demócrata de la Cámara sobre IA.
La política inicial exigía que las grandes empresas y los operadores de infraestructuras críticas que utilizaban Mythos mantuvieran sus hallazgos en secreto. La semana pasada, Anthropic comenzó a informar a estos socios de que ahora podían compartir de forma responsable información sobre ciberamenazas y los hallazgos de Mythos. Este cambio se produce mientras firmas como Palo Alto Networks y Mozilla han comenzado a publicitar la eficacia del modelo; Mozilla señaló que Mythos encontró 271 vulnerabilidades en su navegador Firefox en una sola ejecución.
El debate sobre la política de Anthropic subraya el desafío central al que se enfrenta todo el sector tecnológico: cómo gestionar el despliegue de herramientas de IA que pueden tanto construir como romper sistemas digitales a una escala sin precedentes. Las capacidades de modelos como Mythos están alimentando lo que algunos expertos en ciberseguridad llaman un "Bugmageddon", una avalancha de descubrimientos de vulnerabilidades impulsada por IA que amenaza con desbordar el proceso humano de parcheo y defensa de redes.
La industrialización del hackeo
La suposición de que explotar fallos de software complejos es una habilidad rara se está desmoronando. Según un informe reciente de Google, cadenas de ataque completas están "cada vez más definidas por software y se ejecutan de forma más rápida y barata que nunca". Esta tendencia no solo está creando más hackeo; está conduciendo a la industrialización del hackeo. CrowdStrike documentó un aumento interanual del 89 por ciento en las operaciones de adversarios habilitadas por IA en 2025, un ritmo que sería impracticable sin asistencia de IA.
La velocidad de este cambio es asombrosa. El proyecto Zero Day Clock, que rastrea el tiempo desde el lanzamiento de un parche hasta la aparición de un exploit funcional, vio cómo el tiempo promedio caía de 2.3 años en 2018 a solo 20 horas en 2026. Esta aceleración, impulsada por la capacidad de la IA para realizar "patch-diff" e ingeniería inversa de correcciones, deja a las organizaciones con una ventana de tiempo increíblemente pequeña para remediar fallos.
Grietas en los cimientos
Según un análisis reciente del Council on Foreign Relations, la difusión de la IA está poniendo a prueba tres supuestos fundamentales que han sustentado la ciberseguridad durante 30 años. El primero es que los ataques sofisticados son caros; la IA los ha abaratado. El segundo es que los sistemas de identidad construidos para humanos podrían gestionar agentes no humanos; eso está resultando falso, a medida que los agentes automatizados comienzan a actuar con consecuencias no deseadas.
La grieta final, y la más sutil, es la eliminación del juicio humano como respaldo. Donde un analista podría haberse detenido alguna vez ante una anomalía, las organizaciones ahora están automatizando revisiones y aprobaciones para operar a velocidad de máquina. Esto elimina una capa de defensa crucial, aunque informal, precisamente cuando más se necesita.
La decisión de Anthropic de permitir un intercambio de amenazas más amplio es un reconocimiento tácito de esta nueva realidad. Para los inversores, la medida señala un cambio permanente en el panorama de la ciberseguridad. El anuncio inicial de las capacidades de Mythos provocó una caída en las acciones de ciberseguridad, reflejando el temor a que la IA convirtiera el trabajo de seguridad en una mercancía básica. La realidad es más compleja: mientras que la IA automatiza la ofensiva, la necesidad de una defensa sofisticada impulsada por IA y marcos de gobernanza sólidos está creando un nuevo mercado de alto riesgo. El cambio de política puede aumentar los costes de cumplimiento para líderes de la IA como Anthropic y OpenAI, pero también refuerza el valor de todo el sector de la ciberseguridad, que ahora debe adaptarse a un mundo donde tanto atacantes como defensores operan a velocidad de máquina.
Este artículo es solo para fines informativos y no constituye asesoramiento de inversión.
