La comunidad de ciberseguridad estaba en alerta máxima cuando Anthropic anunció el 7 de abril de 2026 que su modelo de lenguaje grande de propósito general más nuevo y más capaz, Claude Mithos Preview, había demostrado capacidades notables (y no deseadas). El sistema de inteligencia artificial pudo encontrar y explotar vulnerabilidades de software (el tipo de error de software más grave) a una velocidad nunca antes vista.
Afirmando que sería demasiado arriesgado publicar el modelo y que la empresa tiene la responsabilidad moral de revelar estas vulnerabilidades, Anthropic dijo que no ofrecería el modelo al público de inmediato. En cambio, les dio a los gigantes tecnológicos acceso exclusivo para probar las capacidades del modelo, un proceso que Anthropic denominó Proyecto Glasswing.
Como investigador de ciberseguridad, creo que las capacidades de Mithos son impresionantes, pero el sistema de inteligencia artificial no es un cambio radical. El mito no es tanto una nueva amenaza como un espejo que refleja cómo se comporta la gente y cuán frágiles son ya los sistemas modernos.
¿Qué hizo Mithos?
Durante una evaluación controlada, ingenieros con experiencia mínima en seguridad hicieron que Mithos escaneara miles de bases de código de software en busca de vulnerabilidades. El modelo ha demostrado capacidades asombrosas para llevar a cabo ataques autónomos de múltiples etapas que los expertos tardan semanas o incluso meses en ensamblar. Mithos no sólo pudo descubrir 271 vulnerabilidades en Firefox de Mozilla, sino que también desarrolló exploits para explotar 181 de ellas.
El anuncio de Anthropic sobre Mithos y la amenaza a la seguridad cibernética que representa generó una amplia atención de los medios.
Entre los más reportados se encuentra la capacidad de Mithos para identificar una falla de seguridad inactiva de 27 años en OpenBSD, un sistema operativo centrado en la seguridad, y una falla de 16 años en FFmpeg, una herramienta de procesamiento de video/audio. Algunas de estas fallas permiten que usuarios no autorizados obtengan control sobre las máquinas que albergan estas aplicaciones.
Lo que es más impresionante, los ingenieros relativamente inexpertos que realizaron evaluaciones de Mithos pudieron utilizar Mithos para completar ataques de la noche a la mañana, desde el descubrimiento de vulnerabilidades hasta la explotación, algo que podría llevar semanas a los expertos humanos. La capacidad del modelo para conectar múltiples pasos es lo que sorprendió a Anthropic y a las organizaciones que lo probaron. Según el AI Security Institute, Mithos pudo hacerse cargo de una red corporativa simulada en tres de cada 10 intentos, lo que lo convierte en el primer modelo de IA que logra realizar la tarea con éxito.
Estos resultados son reales. También pintan un panorama incompleto en aspectos importantes.
¿Dónde está el gran avance?
A primera vista, el avance de Mithos parece novedoso y podría indicar una nueva clase de ciberamenazas. Sin embargo, una mirada más cercana sugiere algo diferente. Las vulnerabilidades encontradas por Mithos no son nuevas en la naturaleza. Por lo general, no caen bajo fallas de seguridad desconocidas y, en muchos casos, representan variaciones de clases de vulnerabilidades de software bien conocidas y comprendidas.
En ciberseguridad, no es inusual encontrar nuevos casos de tipos conocidos de fallas. Los ataques más exitosos se basan en vulnerabilidades conocidas y bien definidas que pasan desapercibidas o no se reparan. Lo que preocupaba a los investigadores no era que Mithos cambiara la naturaleza de encontrar y explotar vulnerabilidades, sino la escala y la velocidad con la que era capaz de encontrar y explotar esas vulnerabilidades.
Esto no es un avance en sí mismo, sino el resultado de décadas de investigación tanto en ciberseguridad como en IA. En este sentido, Mithos es el resultado natural (y esperado) de una poderosa automatización e integración de IA, ya que sigue los mismos procedimientos básicos utilizados en las prácticas ofensivas estándar de ciberseguridad. Esto incluye escaneo de vulnerabilidades, identificación de patrones y pruebas de explotabilidad. Los mitos y modelos emergentes similares permiten que estos pasos se conecten a una velocidad difícil de imaginar.
Entonces, ¿por qué se pasaron por alto estas vulnerabilidades en primer lugar?
La clave es comprender que no todas las vulnerabilidades son rentables de corregir y que no todas las vulnerabilidades son una prioridad. Mithos no reveló un nuevo tipo de debilidad: reveló los límites de cómo los profesionales de la ciberseguridad las buscan.
Nueva tecnología, dinámica antigua
Mithos destaca un hecho importante sobre la realidad de las amenazas a la seguridad cibernética. Los defensores del sistema siempre están en desventaja porque siempre tienen que triunfar. Sin embargo, los atacantes sólo necesitan lograr romper la seguridad del sistema una vez. Este juego del gato y el ratón siempre será el mismo, y Mithos no cambia eso: simplemente lo intensifica.
Mithos sigue una dinámica familiar: una herramienta creada para protección también se puede utilizar para atacar y causar daño.
“Las mismas mejoras que hacen que el modelo sea significativamente más efectivo para parchear vulnerabilidades también lo hacen significativamente más efectivo para explotarlas”, escribieron los funcionarios de Anthropic en una publicación de blog sobre Mithos.
Lo que antes requería habilidades altamente especializadas ahora se puede lograr con mucho menos esfuerzo, lo que plantea la pregunta más importante: ¿quién se beneficiará primero del uso de una herramienta como Mithos: los defensores o los atacantes?
Descubre más desde USA Today
Suscríbete y recibe las últimas entradas en tu correo electrónico.
Spanish 