Una historia inesperada emerge de la rueda de anuncios del Cloud Next 2026: la Cybersecurity and Infrastructure Security Agency (CISA), la principal agencia de ciberseguridad de Estados Unidos, no tiene acceso a Claude Mythos Preview, el modelo de Anthropic que ha revolucionado la detección de vulnerabilidades zero-day. Lo revelaron Sam Sabin en Axios y The Verge este 21 de abril: mientras más de 40 organizaciones y agencias (incluida la NSA y el Centro de IA del Departamento de Comercio) prueban Mythos, CISA, que coordina la defensa digital de bancos, centrales eléctricas y hospitales estadounidenses, se queda fuera.
La paradoja es doble. Por un lado, la NSA sí tiene acceso a Mythos, pese a que el Pentágono (que supervisa la NSA) declaró oficialmente a Anthropic «riesgo en la cadena de suministro» en febrero. Por otro, CISA, que por función debería ser la primera en evaluar cómo un modelo capaz de encontrar vulnerabilidades podría ayudar a proteger infraestructura crítica, ni siquiera ha sido invitada al programa. Project Glasswing, que reúne a 11 socios como Apple, Microsoft, Google, Cisco y JPMorgan, ha dejado a la agencia federal en la posición más extraña posible: la de espectador.
El contexto explica buena parte del silencio. La administración Trump ha pasado el último año recortando fondos, personal y competencias de CISA, trasladando políticas al National Cyber Director de la Casa Blanca y empujando responsabilidades hacia los estados. El nominado para dirigir CISA lleva más de un año en el limbo del Senado. Mientras tanto, Anthropic mantiene una demanda activa contra el Departamento de Defensa por su designación como «riesgo de cadena de suministro», que la propia compañía considera una represalia por haberse negado a permitir el uso de su tecnología en vigilancia doméstica masiva o armas autónomas sin supervisión humana.
Los datos objetivos son impresionantes. La Fundación Mozilla, una de las organizaciones con acceso temprano a Mythos, ha corregido 271 vulnerabilidades en Firefox 150 gracias al modelo. Anthropic ha comprometido 100 millones de dólares en créditos para los socios que usen Mythos en trabajo defensivo, y 4 millones en donaciones a organizaciones de seguridad open source. Y este mismo martes, Axios reveló que un grupo no autorizado accedió brevemente a Mythos a través de un Discord, un incidente que Anthropic está investigando.
Fuentes citadas por The Verge indican que hay «cierto deshielo» entre Anthropic y la Casa Blanca: Dario Amodei, CEO de Anthropic, se reunió el pasado viernes con Susie Wiles, jefa de gabinete del presidente. Un funcionario involucrado en las discusiones dijo que «sería enormemente irresponsable que el gobierno de EE.UU. se privara a sí mismo del avance tecnológico que ofrece este nuevo modelo», y que no hacerlo «sería un regalo para China». Anthropic confirmó la reunión y habló de «una discusión fructífera sobre intereses mutuos como ciberseguridad y mantener el liderazgo de EE.UU. en la carrera de IA».
Mi valoración: este episodio deja en evidencia un problema estructural grave. La misma capacidad que ha llevado al FMI y al Banco de Inglaterra a convocar reuniones urgentes con bancos por los riesgos de Mythos es precisamente la que CISA necesita para hacer su trabajo: ayudar a las centrales eléctricas municipales, los sistemas de agua rurales y los hospitales pequeños a defenderse. Esos actores no tienen presupuesto ni personal para subirse al tren de Mythos sin el acompañamiento de una agencia coordinadora. Que la NSA tenga acceso y CISA no invierte la lógica: el espionaje ofensivo queda mejor equipado que la defensa doméstica. Jen Easterly, ex directora de CISA, lo resumió bien: «Esto no es solo una oportunidad técnica, es un imperativo estratégico». La administración Trump está perdiendo esa oportunidad por razones políticas, no técnicas. Y eso, en ciberseguridad, siempre acaba costando caro.
Preguntas frecuentes
¿Por qué el NSA tiene Mythos pero CISA no? No hay una explicación oficial. Fuentes citadas por Axios apuntan al deterioro general de CISA bajo la administración Trump y a la batalla legal abierta entre Anthropic y el Pentágono, que podría estar bloqueando decisiones intermedias. ¿Qué es Project Glasswing? Una iniciativa de Anthropic que da acceso a Mythos Preview a 11 empresas tecnológicas y financieras (Apple, AWS, Microsoft, Google, JPMorgan, entre otras) para trabajo defensivo: encontrar y parchear vulnerabilidades en código propio y open source. ¿Mythos se va a lanzar al público? No, al menos por ahora. Anthropic considera que sus capacidades son demasiado peligrosas para un lanzamiento general, pero ha declarado que el objetivo a largo plazo es permitir despliegues seguros de modelos de clase Mythos.