Durante la semana pasada, el mundo tecnológico se vio alarmado por el lanzamiento de un modelo de inteligencia artificial (IA) altamente eficiente para detectar vulnerabilidades en sistemas informáticos, y también capaz de explotarlas con gran efectividad. Anthropic, una de las compañías más destacadas del actual auge de la IA junto a OpenAI, decidió postergar el lanzamiento masivo de Claude Mythos Preview al considerarlo “demasiado riesgoso” para liberarlo sin restricciones.
No es la primera vez que una empresa líder de Silicon Valley advierte sobre los riesgos de una tecnología. En febrero de 2019, OpenAI calificó su generador de texto como “muy peligroso” para salir al mercado, e incluso se habló del “riesgo de extinción” asociado a la IA. Tres años después, OpenAI lanzó su chatbot ChatGPT, que revolucionó el uso cotidiano de la IA generativa y hoy compite directamente con Google en tareas diarias de los usuarios.
El mundo cada vez más interconectado depende fundamentalmente de la seguridad de sus conexiones a la red. Desde operaciones bancarias en línea hasta mensajes en WhatsApp, la confianza en estas plataformas está directamente relacionada con la robustez de sus sistemas de seguridad.
Según Anthropic, Mythos Preview exhibe una capacidad sin precedentes para detectar y explotar fallas críticas en software de manera autónoma. El sistema puede identificar vulnerabilidades a una escala mucho mayor que un investigador humano avanzado, abarcando errores graves en sistemas operativos, navegadores, aplicaciones de uso masivo y componentes clave de infraestructura digital.
Debido a este nivel de riesgo, la empresa optó por restringir el acceso a Mythos Preview a un grupo cerrado de más de 40 organizaciones tecnológicas y de ciberseguridad, entre ellas Apple, Google, Microsoft, AWS y CrowdStrike, dentro de un programa enfocado en usos defensivos.
Asimismo, esta semana Anthropic lanzó la versión 4.7 de su modelo Claude, aclarando que es “menos riesgosa” que la edición que generó controversia: “Estamos lanzando Opus 4.7 con mecanismos que detectan y bloquean automáticamente las solicitudes que impliquen usos de ciberseguridad prohibidos o de alto riesgo”, afirmó la compañía en un comunicado.
El riesgo que plantea Anthropic
Aunque varias empresas y expertos relativizaron la amenaza, una investigación independiente detectó una mejora sustancial en las capacidades ofensivas del modelo. La evaluación del AI Security Institute reveló que Claude Mythos Preview puede encadenar ataques complejos contra redes vulnerables y completar simulaciones corporativas de hasta 32 pasos de manera autónoma, algo que hasta hace pocos años resultaba difícil de imaginar.
Nicolás Waisman, Chief Security Officer de Xbow —plataforma de seguridad ofensiva automatizada por IA—, señaló a Clarín que existe un progreso constante en las capacidades ofensivas de los modelos, derivado de sus avances en desarrollo de código. “Las empresas deben comenzar a planificar y actuar seriamente para adaptar sus defensas ante el avance de estos modelos, porque la escala y velocidad de las capacidades ofensivas afectarán profundamente la seguridad”, advirtió.
Por su parte, Mandiant, empresa de ciberseguridad de Google, destacó que los modelos de IA de propósito general ahora sobresalen en la detección de vulnerabilidades, reduciendo drásticamente la barrera de entrada para actores maliciosos y facilitando campañas de explotación masiva. En un documento publicado tras el caso Mythos, señalaron que estas herramientas ayudan a detectar fallas y generar exploits funcionales, potenciando ataques masivos, ransomware y extorsiones.
CrowdStrike, otro actor destacado del sector y participante del programa cerrado de Anthropic, coincidió en que la relevancia del caso supera un lanzamiento puntual. En un comunicado, indicó que Mythos “importa para todas las empresas” porque los modelos de frontera elevan simultáneamente el nivel tanto de la ofensiva como de la defensa. Además, advirtió que el desafío ya no reside sólo en la seguridad del modelo en sí, sino en cómo se controla cuando se integra con datos, sistemas internos y flujos de trabajo de una organización.
CrowdStrike también reportó un aumento interanual del 89% en ataques perpetrados por actores maliciosos que utilizan IA.
Google, por su parte, concluye que las empresas ya no pueden confiar exclusivamente en procesos tradicionales de parcheo y respuestas “a velocidad humana”. La rapidez con la que opera la IA puede ser una herramienta valiosa para la defensa, pero en ciberseguridad no existe una solución mágica: si un dispositivo está conectado a internet, siempre será un objetivo para atacantes.
En este escenario hiperconectado, la mayor amenaza no es un hacker individual o un grupo específico, sino quienes ya emplean IA para comprometer sistemas. La velocidad de respuesta humana ya no es suficiente frente a la inteligencia artificial, por lo que quienes protegen sistemas deberán depender cada vez más de herramientas basadas en IA para mantenerse a la altura del desafío.
