Anthropic, empresa de inteligencia artificial, desarrolló recientemente un nuevo modelo que, afirma, es capaz deidentificar vulnerabilidades críticasen sistemas, software y navegadores. El modelo conocido como Claude Mythos Preview, según documentó la propia compañía, detectó y explotó zero‑days en todos los principales sistemas operativos y navegadores, incluidas vulnerabilidades con más de dos décadas de antigüedad.

A través del Project Glasswing, la empresa anunció el martes que pondrá a disposición Claude Mythos Preview a un consorcio de más de 40 empresas de tecnología, incluyendo Apple, Google, Amazon Web Services y Cisco. Según la system card publicada, Mythos no será liberado para uso general sino limitado a un programa defensivo, ya que la compañía reconoce el riesgo que representaría si se libera de forma amplia al público.

Riesgos de ciberseguridad

La decisión de restringir el acceso a Claude Mythos Preview se relaciona con una serie de riesgos observados durante su evaluación. Entre ellos:

  • Capacidad de descubrimiento y explotación automatizada de vulnerabilidades a gran escala, que podría reducir las barreras técnicas necesarias para realizar ataques complejos.
  • Generación automática de exploits, potenciando campañas como ransomware o intrusiones corporativas.
  • Autonomía operativa: el modelo es capaz de encadenar fallas y estructurar ataques de manera autónoma, haciendo las ofensivas más rápidas, continuas.
  • Capacidad de eludir controles de seguridad: existen indicios de que la IA puede evadir mecanismos tradicionales y operar fuera de entornos controlados, como sandboxes.

La IA como motor de la ciberdelincuencia

Modelos avanzados como Claude Mythos Preview apuntan a un cambio sostenido en la naturaleza del riesgo digital. La automatización del análisis, explotación y encadenamiento de vulnerabilidades podría transformar los ataques cibernéticos en procesos más rápidos, continuos y eficientes que los vistos hasta ahora.

En este escenario, las organizaciones enfrentan amenazas que podrían ejecutarse a velocidades más difíciles de detectar con herramientas tradicionales. Esto obliga a revisar las estrategias defensivas actuales.

Más allá del precedente de GPT‑2

A diferencia de modelos anteriores, como GPT‑2, cuyos riesgos se centraban en desinformación, Claude Mythos Preview introduce riesgos técnicos directos, como la explotación autónoma de vulnerabilidades, la evasión de entornos aislados y comportamientos ocasionalmente no alineados.

Debido a estas capacidades, la documentación técnica de Anthropic sostiene que Mythos representa un cambio significativo en el panorama de seguridad y requiere un esfuerzo coordinado de protección por parte de la industria.

La comparación plantea un punto clave: aunque el historial del GPT‑2 muestra que los riesgos iniciales pueden mitigarse, el salto cualitativo de estos nuevos modelos sugiere que, esta vez, el uso malicioso podría ser más concreto.

Recomendaciones

“En un escenario donde la inteligencia artificial puede acelerar desde el descubrimiento de vulnerabilidades hasta la ejecución de ataques sofisticados, contar con capacidades de visibilidad dentro de la infraestructura se vuelve esencial para reducir los tiempos de detección y respuesta, contener incidentes en tiempo real y fortalecer la resiliencia de las organizaciones frente a un nuevo nivel de amenazas digitales”, destaca Camilo Gutierrez, field CISO en ESET Latinoamérica.

Aunque Claude Mythos Preview no será liberado al público, las capacidades demostradas durante su evaluación sugieren que las organizaciones deben fortalecer su postura defensiva mediante enfoques más rigurosos en gobernanza, control de acceso y seguridad desde las primeras etapas de desarrollo, y, sobre todo, de mayor visibilidad dentro de las infraestructuras mediante herramientas de XDR (Extended Detection and Response).