En las últimas semanas, la industria de la ciberseguridad ha recibido una señal de alarma sin precedentes. Anthropic, la empresa detrás del asistente de IA Claude, ha presentado un nuevo modelo llamado Claude Mythos, cuyas capacidades han sacudido por igual a expertos, inversores y grandes tecnológicas. No estamos ante un avance incremental, sino ante un antes y un después en la relación entre inteligencia artificial y ciberseguridad. En apenas unas semanas de pruebas internas, el modelo ha localizado miles de vulnerabilidades críticas en sistemas operativos, navegadores y software de infraestructura que millones de empresas utilizan a diario.
Qué es Claude Mythos
Claude Mythos es el nuevo modelo de inteligencia artificial de Anthropic, la empresa fundada en 2021 por ex-empleados de OpenAI con foco en desarrollo responsable de IA. Mythos no es una versión mejorada de los modelos anteriores: ocupa una categoría propia por encima de la línea Opus, hasta ahora la más avanzada de la compañía. Según Anthropic, supera en benchmarks a modelos como GPT-5.4 de OpenAI y Gemini 3.1 de Google en razonamiento, codificación y, especialmente, en capacidades de ciberseguridad.
Su potencia no viene de una arquitectura radicalmente distinta, sino de la combinación de razonamiento avanzado con capacidades agénticas: Mythos no solo analiza código, sino que lo ejecuta, formula hipótesis sobre posibles vulnerabilidades, las verifica en entornos aislados y produce informes detallados con pruebas de concepto. En pocas palabras, actúa como un investigador de seguridad autónomo que trabaja a escala y velocidad imposibles para un equipo humano.
En pocas semanas de pruebas internas, Claude Mythos Preview identificó miles de vulnerabilidades zero-day de alta gravedad en todos los principales sistemas operativos y navegadores web. La más antigua llevaba 27 años sin detectarse: un fallo en OpenBSD, un sistema operativo reconocido históricamente por su seguridad. (Fuente: Anthropic / Fortune, abril 2026)
Por qué Anthropic decidió no lanzarlo al público
La decisión de restringir el acceso a Mythos no fue de cara a la galería. Los propios documentos internos filtrados reconocían que el modelo está "muy por delante de cualquier otro sistema de IA en capacidades cibernéticas" y que su potencial de uso ofensivo es real: puede encontrar y explotar vulnerabilidades más rápido de lo que los equipos de defensa pueden responder.
Esta asimetría es el problema central. En ciberseguridad, el atacante solo necesita encontrar un fallo. El defensor necesita cerrarlos todos. Cuando una IA puede descubrir miles de vulnerabilidades críticas en semanas, el equilibrio entre ataque y defensa cambia de forma estructural. Anthropic no quería ser quien inclinara esa balanza sin haber construido primero los contrapesos.
"Mythos anuncia una ola de modelos que pueden explotar vulnerabilidades de maneras que superan ampliamente los esfuerzos de los defensores."
— Anthropic, borrador interno filtrado, marzo 2026El Proyecto Glasswing: la respuesta controlada
El 7 de abril de 2026, Anthropic presentó oficialmente Claude Mythos junto con el Proyecto Glasswing: una iniciativa para usar el modelo exclusivamente con fines defensivos, bajo acceso restringido. Doce organizaciones socias fundadoras — entre ellas AWS, Apple, Microsoft, Google, Cisco, CrowdStrike, NVIDIA, JPMorgan Chase, Palo Alto Networks y la Linux Foundation — tienen acceso al modelo para identificar y corregir vulnerabilidades en infraestructura crítica antes de que puedan ser explotadas. Otras 40 organizaciones responsables de software crítico tienen también acceso supervisado.
Anthropic acompaña la iniciativa con 100 millones de dólares en créditos de uso y 4 millones en donaciones directas a organizaciones de seguridad open source, con el objetivo de que los hallazgos beneficien a toda la industria. Que haga falta una inversión de esa escala para gestionar los riesgos de un modelo propio dice mucho sobre lo que Anthropic encontró en sus pruebas.
El contexto más amplio: IA como herramienta de ataque
Mythos no aparece en el vacío. En septiembre de 2025, Anthropic documentó la primera campaña de ciberespionaje orquestada con IA: un grupo vinculado al gobierno chino utilizó Claude Code para infiltrarse de forma autónoma en unas 30 organizaciones — tecnológicas, financieras y gubernamentales — antes de ser detectado. Según el informe global de amenazas de CrowdStrike de 2026, los ataques ejecutados por actores que usan IA crecieron un 89% interanual. En ese mismo periodo, Mythos demostró en pruebas controladas una precisión del 89% en la evaluación de gravedad de vulnerabilidades — coincidiendo exactamente con el criterio de expertos humanos en 198 informes revisados de forma independiente.
Lo que hace diferente a Mythos es que lleva estas capacidades a un nivel cualitativamente distinto. Hasta ahora, la IA se usaba como asistente en los ataques. Con modelos de esta generación, puede ejecutar el ciclo completo — reconocimiento, identificación de vulnerabilidad, desarrollo de exploit y ejecución — con autonomía y a escala industrial. Es el mismo salto que se produjo cuando los ataques pasaron de manuales a automatizados, pero con un orden de magnitud mayor en velocidad y sofisticación.
La decisión de Anthropic de no lanzar Mythos al público y construir primero una coalición defensiva es, en ese contexto, una postura sin precedentes en la industria. Ninguna empresa tecnológica de primer nivel había frenado voluntariamente un producto por considerarlo demasiado peligroso. Eso solo indica una cosa: que el modelo es tan potente como dicen. Y que la carrera entre atacantes y defensores acaba de entrar en una fase que ningún parche trimestral va a resolver por sí solo.
