Los bancos globales, los gigantes tecnológicos y los gobiernos se vieron obligados a luchar el mes pasado para contener los riesgos planteados por Mythos, el modelo antrópico que se dice es tan poderoso que ha encontrado miles de vulnerabilidades previamente desconocidas en la infraestructura de software del mundo.
Sólo hay un problema: la capacidad que les preocupa ya está aquí.
Expertos en ciberseguridad e investigadores de inteligencia artificial dijeron a CNBC que las vulnerabilidades de software reveladas por Mythos se pueden encontrar utilizando modelos existentes, incluidos los de Anthropic y OpenAI.
“Lo que estamos viendo ahora en toda la industria es que las personas son capaces de reproducir las vulnerabilidades encontradas con Mythos a través de una orquestación inteligente de modelos públicos para obtener resultados muy, muy similares”, dijo Ben Harris, director ejecutivo de la firma de ciberseguridad watchTowr.
Mythos ha sacudido tanto a ejecutivos como a formuladores de políticas por la preocupación de que pueda estar cerca una nueva y peligrosa era de delitos cibernéticos basados en IA. Anthropic limitó su lanzamiento a algunas empresas estadounidenses, incluidas Manzana, Amazonas, JPMorgan Chase y Redes de Palo Alto para reducir el riesgo de que los malos actores lo consigan.
Incluso con esa precaución, la publicación ha llevado a la administración Trump a considerar una nueva supervisión gubernamental sobre los modelos futuros.
Es el último de una serie de lanzamientos de alto perfil de Anthropic que han intensificado su rivalidad con OpenAI a medida que los dos gigantes de la IA se acercan a sus tan esperadas ofertas públicas iniciales. Semanas después de la llegada de Mythos, el director ejecutivo de OpenAI, Sam Altman, anunció GPT-5.5-Cyber, un modelo diseñado específicamente para la ciberseguridad.
OpenAI permitió el jueves acceso limitado a GPT-5.5-Cyber a equipos de ciberseguridad examinados.
El lanzamiento controlado de Mythos, parte de una medida de seguridad llamada Proyecto Glasswing, tenía como objetivo darle tiempo al mundo empresarial para reforzar sus defensas cibernéticas contra una futura avalancha de ataques de grupos criminales y naciones adversarias.
“El peligro es simplemente un enorme aumento en la cantidad de vulnerabilidades, en la cantidad de infracciones, en el daño financiero que causa el ransomware en escuelas, hospitales, sin mencionar los bancos”, dijo el CEO de Anthropic, Dario Amodei, esta semana en un evento de Anthropic.
‘Bastante aterrador’
Pero para quienes luchan en las trincheras de la guerra cibernética, una de las capacidades clave anunciadas por Anthropic (encontrar vulnerabilidades de software a escala) existe desde el año pasado.
“Los modelos que tenemos ahora son lo suficientemente potentes como para detectar días cero a gran escala, y esto es bastante aterrador”, dijo a CNBC Klaudia Kloc, directora ejecutiva de la firma de ciberseguridad Vidoc.
Ese ha sido el caso durante “un par de meses, si no un año”, dijo.
El término “día cero” se refiere a una falla de software previamente desconocida que no ha sido reparada, lo que brinda a los atacantes una ventana para explotarla antes de que los defensores puedan responder.
Los investigadores de Vidoc se apoyaron en una técnica llamada “orquestación” para probar si podían encontrar las mismas vulnerabilidades que encontró Mythos. Como sugiere el nombre, el proceso implica la creación de flujos de trabajo que dividen el código en partes más pequeñas, coordinando varias herramientas o modelos para verificar los resultados.
“Ejecutamos modelos más antiguos con la misma base de código para ver si podíamos detectar las mismas vulnerabilidades”, dijo Kloc. “Lo hicimos, tanto con OpenAI como con los modelos más antiguos de Anthropic”.
Otra empresa de ciberseguridad, Aisle, descubrió que muchos de los resultados principales de Mythos podrían reproducirse utilizando modelos más baratos trabajando en paralelo, lo que sugiere que la escala y la coordinación eran más importantes que tener el último modelo.
“Mil detectives adecuados que busquen por todas partes encontrarán más errores que un detective brillante que tenga que adivinar dónde buscar”, escribió el fundador de Aisle, Stanislav Fort, en una entrada de blog.
En comentarios a CNBC, Anthropic no cuestionó que los modelos anteriores fueran capaces de encontrar vulnerabilidades de software.
De hecho, dijo un portavoz de la compañía, Anthropic ha estado advirtiendo durante meses que las capacidades cibernéticas de la IA estaban avanzando rápidamente. Señalaron una publicación de blog de febrero que mostraba que Claude Opus 4.6, un modelo ampliamente disponible, encontró más de 500 vulnerabilidades de “alta gravedad” en software de código abierto.
En el evento Anthropic de esta semana, Amodei afirmó este punto, diciendo que si bien la escala de vulnerabilidades de software encontradas por Mythos surgió de modelos anteriores, la tendencia no era nueva.
“Los riesgos son muy reales. Por eso tomamos las medidas que tomamos”, dijo Amodei. “Pero, en cierto sentido, tampoco son tan sorprendentes… Hemos estado viendo advertencias de esto por un tiempo”.
Histeria y pánico
Lo que hace diferente a Mythos es su capacidad para dar el siguiente paso, desarrollando exploits funcionales con poca o ninguna participación humana, automatizando efectivamente un proceso que anteriormente requería investigadores capacitados, dijo el portavoz de Anthropic.
Pero los piratas informáticos que trabajan para grupos criminales y naciones adversarias ya tienen este conjunto de habilidades, dicen los investigadores cibernéticos. Los piratas informáticos de Corea del Norte, China y Rusia “saben cómo hacer esto, con o sin Anthropic”, dijo Kloc.
Según Harris, la amenaza de la piratería informática basada en IA tiene a las corporaciones y a los reguladores gubernamentales preocupados por proteger sistemas cruciales de una nueva ola de ransomware y otros tipos de ataques.
Describió las conversaciones con bancos, aseguradoras y reguladores en las últimas semanas como “histeria”.
Incluso antes de la llegada de la IA generativa, las corporaciones enfrentaban el problema de los piratas informáticos expertos que explotaban las vulnerabilidades recién descubiertas en horas, mientras que parchear el código a menudo lleva días o semanas. Algunos parches requieren que los sistemas clave estén fuera de línea, lo que complica las cosas.
“La industria está entrando en pánico por la cantidad de vulnerabilidades que enfrenta ahora”, dijo Harris. “Pero incluso antes de que Mythos esté ampliamente disponible, no podía solucionar las vulnerabilidades lo suficientemente rápido”.
Antes, sólo una pequeña población de expertos a nivel mundial tenía la capacidad y el tiempo para encontrar vulnerabilidades oscuras en el software y explotarlas, según Harris. Ahora, utilizando los modelos de IA actualmente disponibles, se han reducido las barreras de entrada para causar estragos cibernéticos.
Eso significa que los bancos y otros objetivos sufrirán más ataques, y que los sistemas de software que antes no atraían tanto interés por parte de los ciberdelincuentes ahora enfrentarán amenazas, dijo Harris.
Ventaja: ofensiva
Si bien Anthropic, OpenAI y otros están trabajando en el desarrollo de capacidades de ciberdefensa acordes con los problemas que han identificado, la ventaja inicial va a la ofensiva, no a la defensa, dicen los investigadores.
Jamie Dimon de JPMorgan lo sugirió cuando dijo el mes pasado que si bien las herramientas de inteligencia artificial podrían eventualmente ayudar a las empresas a defenderse de los ataques cibernéticos, primero las están haciendo más vulnerables.
“Hay un aumento significativo en el volumen de vulnerabilidades descubiertas, pero no parecen haber implementado una herramienta que ayude a solucionarlas”, dijo Justin Herring, socio de la firma de abogados Mayer Brown y ex superintendente ejecutivo adjunto de ciberseguridad del regulador financiero de Nueva York.
“La gestión de vulnerabilidades es la gran tarea de Sísifo de la ciberseguridad”, afirmó Herring.
El grupo limitado que formó parte de la versión inicial de Mythos tuvo una ventaja en cuanto a parchear vulnerabilidades, pero hay una desventaja. Los investigadores de IA no han tenido acceso a Mythos para verificar de forma independiente las afirmaciones de Anthropic o para comenzar a construir defensas contra él.
Algunos dicen que impidió que la comunidad cibernética en general fuera parte de la solución.
Ha creado “niveles de ricos y pobres”, lo que podría frenar el ritmo de la innovación en ciberseguridad, dijo Pavel Gurvich, director ejecutivo de la startup de ciberseguridad Tenzai, que utiliza los modelos de Anthropic.
Muchas nuevas empresas de ciberseguridad están trabajando en soluciones que puedan ayudar a las empresas en esta nueva era de la IA, afirmó.
“Están tratando de encontrar la mejor manera de arreglar el mundo antes de que esto sea accesible para el mundo”, dijo Ben Seri, cofundador de la startup de ciberseguridad Zafran Security. “Es una situación como la del huevo y la gallina, y vas a romper algunos huevos. Es inevitable”.
