La sección tecnológica Novaceno de El Confidencial publicó este 8 de mayo un análisis sobre Claude Mythos de Anthropic bajo el marco de «amenaza de seguridad mundial», sumándose a un debate que en las últimas semanas ha llegado desde las reuniones del G7 hasta el Eurogrupo y las páginas de opinión de los principales medios occidentales. El artículo no estaba accesible para su consulta directa, pero el tema encaja con una conversación que llevamos semanas documentando en detalle.
La pregunta que articula ese debate —¿es Mythos una amenaza de seguridad mundial o es la respuesta defensiva más importante de los últimos años?— no tiene una respuesta binaria. Tiene matices que vale la pena ordenar.
Qué sabemos sobre Mythos que justifica la preocupación
Anthropic presentó Claude Mythos Preview el 7 de abril en el contexto de Project Glasswing. En pocas semanas de uso controlado con 12 organizaciones partner y 40 de infraestructura crítica, el modelo identificó miles de vulnerabilidades zero-day en sistemas operativos, navegadores y software crítico. El bug más antiguo encontrado llevaba 27 años en producción en OpenBSD. En Firefox, comparando abril 2026 con abril 2025, el número de correcciones de seguridad pasó de 31 a 423 —un factor de casi 14— gracias al escaneo con Mythos.
Ciaran Martin, ex director del National Cyber Security Centre del Reino Unido, describió a Mythos como «un hacker muy bueno» contra sistemas mal defendidos. El UK AI Safety Institute concluyó que no puede confirmar que el modelo sea capaz de comprometer sistemas bien protegidos, pero que la amenaza para infraestructuras vulnerables es real.
Para entender el contexto completo desde el primer momento, el análisis del lanzamiento de Mythos Preview y Project Glasswing del 8 de abril detalla por qué Anthropic eligió no hacer un lanzamiento público.
Qué justifica la alarma y qué es hype
Las acciones de CrowdStrike, Palo Alto Networks y Zscaler cayeron entre 5 y 11 puntos porcentuales cuando se filtró la noticia de Mythos, ante el temor de que una IA capaz de encontrar vulnerabilidades automatice lo que esas empresas cobran por hacer manualmente. Eso indica que el mercado cree en las capacidades del modelo.
Lo que no justifica la alarma es presentar Mythos como una amenaza apocalíptica inminente para el ciudadano medio. La mayoría de los ciberataques exitosos en 2026 siguen usando phishing básico y contraseñas reutilizadas, no zero-days sofisticados. Mythos comprime el tiempo entre descubrimiento y explotación de vulnerabilidades avanzadas, pero esa capacidad aún requiere acceso al modelo, que Anthropic está restringiendo con rigor.
El paradojo más interesante del momento: la NSA americana usa Mythos para encontrar vulnerabilidades en software crítico mientras el Pentágono ha designado a Anthropic como «riesgo en la cadena de suministro». Los ministros de finanzas del G7 han expresado «seria preocupación» mientras ningún gobierno europeo tiene acceso. El análisis del debate en el Eurogrupo del 4 de mayo, donde se discutió un modelo al que ningún gobierno de la UE tiene acceso, captura bien esa paradoja.
El argumento de Anthropic: la IA defensiva puede ganar si se hace bien
Dario Amodei expresó en un evento reciente una posición que merece tomarse en serio: «Si manejamos esto bien, podríamos estar en una mejor posición que al principio, porque hemos arreglado todos estos bugs. Solo hay un número finito de bugs que encontrar.» La tesis es que la IA ofensiva eventualmente agota la superficie de ataque existente, y que si los defensores la usan antes que los atacantes, el balance es positivo.
Claude Security, lanzado el 30 de abril en beta pública para Enterprise, con Opus 4.7 para escaneo de repositorios y partners como CrowdStrike, Microsoft Security y Palo Alto Networks, es la manifestación práctica de esa tesis: democratizar la defensa antes de que los atacantes democraticen el ataque.
Mi valoración
El debate «Mythos como amenaza global» tiene partes legítimas y partes de hype amplificado. Las partes legítimas son dos: la velocidad de descubrimiento de vulnerabilidades que supera la velocidad de corrección, y la proliferación inevitable de capacidades similares en actores sin las restricciones éticas de Anthropic. Las partes de hype son la confusión entre «un modelo que encuentra zero-days» y «apocalipsis de ciberseguridad inminente para todos».
El indicador que seguiré en los próximos meses no es el número de noticias sobre Mythos como amenaza, sino el tiempo promedio entre descubrimiento de vulnerabilidad por IA y parche disponible. Si ese tiempo se comprime con herramientas como Claude Security, el argumento de Amodei tiene base. Si se estabiliza o crece, la preocupación de los gobiernos es más que justificada.
Preguntas frecuentes
¿Puede cualquier empresa o persona acceder a Mythos de Anthropic?
No. Mythos Preview solo está disponible para las 12 organizaciones partner del programa Project Glasswing (Apple, Amazon, Microsoft, Google, Cisco, Broadcom, CrowdStrike, Palo Alto Networks, JPMorgan Chase, Nvidia y Linux Foundation) y para aproximadamente 40 organizaciones adicionales de infraestructura crítica bajo NDA. No hay lanzamiento público previsto.
¿Es Mythos el único modelo de IA con estas capacidades?
No. OpenAI lanzó en abril GPT-5.5 Cyber y GPT-5.4 Cyber para trabajo de ciberseguridad defensiva, con acceso expandido a miles de defensores verificados. La diferencia es filosófica: Anthropic restringe a 12 organizaciones y OpenAI amplia a miles con verificación. Ambos modelos son capaces de análisis de vulnerabilidades avanzado; la pregunta es cuál es el balance correcto entre acceso defensivo y riesgo de mal uso.
¿Qué riesgo real supone Mythos para una empresa normal?
El riesgo directo para empresas sin infraestructura crítica es bajo: Mythos está restringido y monitoreado. El riesgo indirecto es mayor: si actores maliciosos desarrollan modelos similares sin las restricciones de Anthropic —algo que ya está ocurriendo en distintos grados— el tiempo disponible para parchear vulnerabilidades se comprime dramáticamente. Invertir en actualizar software, eliminar deuda técnica y aplicar principios de privilegio mínimo en accesos es la respuesta práctica más importante, independientemente de Mythos.