Mythos: la IA que abrió un debate incómodo sobre el futuro de la ciberseguridad

Publicado el 3 de junio 2026

Durante las últimas semanas, el nombre de Mythos ha circulado en conversaciones sobre inteligencia artificial, ciberseguridad y regulación tecnológica. No se trata de un chatbot más ni de una herramienta pensada únicamente para redactar textos, resumir documentos o responder preguntas. Mythos es un modelo desarrollado por Anthropic, la compañía creadora de Claude, con capacidades especialmente avanzadas para analizar código, encontrar vulnerabilidades y apoyar tareas complejas de seguridad informática.

La importancia del caso no está solo en la tecnología. Está en la decisión que tomó Anthropic: no liberar el modelo de forma abierta y probarlo en un entorno restringido, a través de Project Glasswing, junto a grandes compañías tecnológicas, proveedores de nube, empresas de ciberseguridad, entidades financieras y organizaciones vinculadas al software crítico.

Ese gesto dejó una pregunta que sigue plenamente vigente: ¿qué ocurre cuando una inteligencia artificial puede encontrar fallos de seguridad antes que muchos equipos humanos?

La respuesta tiene dos caras. Una esperanzadora y otra inquietante.

 

Una IA que no solo conversa: busca grietas

Para entender el debate sobre Mythos no hace falta ser ingeniero ni experto en ciberseguridad. Basta con pensar en el software como la estructura invisible que sostiene buena parte de nuestra vida diaria. Detrás de una transferencia bancaria, una cita médica, una factura de la luz, un pedido online, un semáforo inteligente, una fábrica automatizada o una administración electrónica hay miles o millones de líneas de código.

Ese código, como cualquier obra humana, puede tener errores. Algunos son pequeños y apenas tienen consecuencias. Otros pueden convertirse en puertas abiertas para que un atacante robe información, paralice un servicio, secuestre sistemas, manipule procesos o escale privilegios hasta tomar el control de una máquina.

Durante años, encontrar esos errores graves ha sido una tarea artesanal, lenta y altamente especializada. Los equipos de seguridad revisan código, hacen pruebas, buscan comportamientos extraños, notifican fallos y esperan a que los fabricantes o mantenedores los corrijan.

Mythos cambia la escala del problema.

No porque la IA sustituya por completo a los expertos, sino porque puede acelerar enormemente una tarea que hasta ahora dependía casi por completo de la capacidad humana. Puede revisar grandes cantidades de código, identificar patrones sospechosos, proponer hipótesis, probar caminos y ayudar a demostrar cómo podría explotarse una vulnerabilidad.

Dicho de forma sencilla: Mythos puede encontrar puertas mal cerradas en el mundo digital a una velocidad que antes parecía impensable.

 

Por qué Anthropic no lo liberó como una herramienta más

El hecho de que Anthropic haya limitado el acceso a Mythos no debe interpretarse como una rareza comercial. Tiene una explicación sencilla: algunas capacidades de inteligencia artificial son demasiado sensibles para lanzarse sin red.

Project Glasswing nace precisamente de esa lógica. La iniciativa busca usar Claude Mythos Preview para encontrar y corregir vulnerabilidades en software crítico antes de que capacidades similares puedan ser utilizadas por atacantes. En lugar de poner la herramienta a disposición del público general, Anthropic la ha compartido con un grupo restringido de organizaciones que mantienen o protegen parte de la infraestructura digital de la que dependen millones de personas.

La metáfora es clara. Si alguien desarrolla un detector extraordinariamente potente de grietas en edificios, quizá no conviene repartirlo sin control entre cualquiera. Primero habría que usarlo para revisar hospitales, puentes, túneles, aeropuertos, colegios y redes eléctricas. Después habría que decidir quién puede usarlo, bajo qué reglas y con qué responsabilidad.

Eso es, en esencia, lo que plantea el caso Mythos.

La polémica no nace porque la herramienta sea inútil, sino por lo contrario: porque puede ser muy útil en una tarea extremadamente delicada. Encontrar vulnerabilidades es una capacidad defensiva cuando la usa un equipo legítimo para proteger sistemas. Pero también puede convertirse en una capacidad ofensiva si cae en manos de delincuentes, grupos de ransomware, mercenarios digitales o actores estatales hostiles.

Mythos puede ser un escudo. Una tecnología parecida, mal utilizada, también podría convertirse en una ganzúa.

 

La buena noticia: puede ayudarnos a defender mejor el software

La parte positiva es evidente. Si una IA puede encontrar fallos antes que los delincuentes, las empresas, administraciones y fabricantes pueden corregirlos antes de sufrir un ataque.

Eso tiene un valor enorme. Pensemos en hospitales, sistemas de transporte, plataformas financieras, redes energéticas, servicios de telecomunicaciones, administraciones públicas o componentes de software de código abierto que utilizan miles de organizaciones en todo el mundo.

Un fallo grave en uno de esos elementos puede afectar a millones de personas. Puede comprometer datos personales, interrumpir servicios esenciales, provocar pérdidas económicas o generar una crisis de confianza.

En ese contexto, una herramienta como Mythos puede ser una aliada poderosa. Puede ayudar a los equipos de seguridad a revisar sistemas complejos, descubrir vulnerabilidades que llevaban años ocultas y priorizar qué debe corregirse primero.

Para los defensores, supone una oportunidad: pasar de buscar agujas en un pajar a contar con una IA capaz de señalar dónde puede estar el riesgo.

 

La mala noticia: los atacantes también quieren velocidad

La misma capacidad que permite encontrar una vulnerabilidad para corregirla también puede servir para encontrarla y explotarla. Esa es la clave del debate.

Las herramientas de ciberseguridad tienen una característica incómoda: muchas son de doble uso. Sirven para proteger, pero también pueden servir para atacar. Un escáner puede ayudar a una empresa a descubrir sus sistemas expuestos, pero también puede ayudar a un ciberdelincuente a elegir objetivos. Un análisis de código puede servir para mejorar un producto, pero también para localizar un agujero antes de que haya parche.

Mythos apunta a una nueva fase de esa tensión. Hasta ahora, muchos ataques avanzados requerían conocimiento técnico profundo, tiempo y recursos. Si modelos similares se popularizan sin controles, parte de ese trabajo podría acelerarse o automatizarse.

Esto no significa que cualquier persona vaya a convertirse de repente en un hacker sofisticado. Pero sí significa que determinados grupos podrían trabajar más rápido, probar más opciones, reducir costes y encontrar antes debilidades que hasta ahora requerían mucho esfuerzo.

La ciberseguridad siempre ha sido una carrera entre quienes encuentran fallos para corregirlos y quienes los encuentran para aprovecharse de ellos. Con la IA, esa carrera se acelera.

 

El cuello de botella ya no será solo encontrar fallos, sino repararlos

Durante años, uno de los grandes retos de la ciberseguridad ha sido descubrir vulnerabilidades antes que los atacantes. Mythos cambia esa lógica. Si una IA puede encontrar miles de fallos en poco tiempo, el problema no termina al descubrirlos. Empieza justo después.

Alguien tiene que comprobar si esos fallos son reales. Alguien tiene que valorar cuáles son más urgentes. Alguien tiene que avisar a los fabricantes o mantenedores. Alguien tiene que preparar parches. Alguien tiene que probar que esos parches no rompen otros sistemas. Finalmente, empresas y administraciones tienen que aplicarlos.

Ese proceso sigue siendo humano, lento y complejo.

Es como si una ciudad recibiera de golpe un informe con todas las grietas de sus puentes, túneles, colegios y hospitales. La información sería valiosísima, pero después harían falta ingenieros, materiales, permisos, presupuesto y prioridades para reparar cada problema.

Con el software ocurre algo parecido. Encontrar más vulnerabilidades es una gran noticia si somos capaces de corregirlas. Pero si la velocidad de descubrimiento supera con mucho la velocidad de reparación, podemos encontrarnos ante una nueva presión: saber que existen miles de agujeros, pero no tener capacidad suficiente para cerrarlos a tiempo.

Ese es uno de los grandes mensajes que deja Mythos. La inteligencia artificial no solo acelera la defensa. También obliga a modernizar todo el proceso de respuesta: inventario de sistemas, gestión de parches, coordinación con proveedores, validación de riesgos y capacidad real de actuar con rapidez.

 

Un riesgo que no afecta solo a las tecnológicas

Puede parecer un asunto lejano, reservado a laboratorios de IA, grandes empresas de software o gigantes tecnológicos. No lo es.

Las vulnerabilidades no viven en abstracto. Están en sistemas operativos, navegadores, librerías de código abierto, aplicaciones empresariales, plataformas industriales, servicios en la nube, herramientas de gestión, dispositivos conectados y soluciones que usan organizaciones de todos los tamaños.

Una pyme puede depender de un software vulnerable sin saberlo. Un hospital puede utilizar una plataforma con fallos heredados. Un ayuntamiento puede tener sistemas expuestos. Una empresa industrial puede operar maquinaria conectada con componentes antiguos. Una aseguradora, una universidad, una energética o una empresa logística pueden verse afectadas por fallos en proveedores tecnológicos que ni siquiera controlan directamente.

La ciberseguridad siempre ha sido una cadena. La cadena se rompe por el eslabón más débil.

La diferencia es que ahora la inteligencia artificial puede encontrar esos eslabones débiles mucho más rápido.

 

Sanidad, energía, transporte, industria: el debate es multisectorial

Reducir el caso Mythos a la banca o a las grandes tecnológicas sería quedarse corto. El debate afecta a cualquier sector que dependa del software, es decir, prácticamente a todos.

• En sanidad, un ataque puede paralizar citas, historiales clínicos, pruebas diagnósticas o sistemas hospitalarios. No hablamos solo de datos; hablamos de continuidad asistencial y de confianza en servicios esenciales.
• En energía, una vulnerabilidad puede afectar a redes, plantas, sistemas de control o servicios críticos. Un incidente digital puede tener consecuencias físicas, económicas y sociales.
• En transporte, los sistemas conectados coordinan operaciones, billetes, logística, señalización y planificación. Un fallo puede generar caos operativo y afectar a miles de usuarios.
• En industria, la digitalización ha conectado fábricas, sensores, robots, cadenas de producción y sistemas de mantenimiento. Lo que antes estaba aislado ahora muchas veces está conectado.
• En administraciones públicas, el riesgo afecta a expedientes, ayudas, impuestos, identidad digital, servicios ciudadanos y datos personales.
• En educación, universidades y centros de investigación manejan datos, propiedad intelectual y sistemas abiertos que pueden ser objetivos atractivos.
• En pymes, el reto es todavía más delicado. Muchas dependen de tecnología externa, pero no siempre tienen recursos para revisar, parchear y responder con rapidez.

Mythos no es una alerta para un sector. Es una alerta para todos los que dependen del software.

 

La IA también cambia el trabajo de los ciberdelincuentes

Mientras las organizaciones aprenden a usar IA para defenderse, los delincuentes también la incorporan a sus métodos.

Ya se observa en ataques de phishing mejor redactados, mensajes más personalizados, traducciones perfectas, suplantaciones más creíbles, generación automática de contenidos fraudulentos o uso de deepfakes para engañar a personas dentro de una organización.

Mythos apunta a una fase más avanzada: la posibilidad de que la IA ayude a descubrir vulnerabilidades técnicas complejas.

Esto puede cambiar el equilibrio. Ataques que antes requerían perfiles muy especializados podrían volverse más accesibles para grupos con menos conocimiento. Organizaciones criminales podrían reducir tiempos de preparación. Actores maliciosos podrían probar más caminos en menos tiempo.

La conclusión no debe ser alarmista, pero sí realista: si la IA aumenta la capacidad de los defensores, también puede aumentar la capacidad de los atacantes.

 

El problema no es la IA, sino usarla sin gobierno

Ante una noticia como esta, la reacción fácil sería pedir que se prohíba todo. Sería un error. La inteligencia artificial puede ser una de las mejores herramientas para mejorar la seguridad del software, proteger infraestructuras críticas y reducir riesgos.

Bloquearla por miedo no es una estrategia. Liberarla sin control tampoco.

La palabra clave es gobierno.

Gobernar la IA significa decidir quién puede usarla, para qué, con qué datos, bajo qué límites, con qué supervisión y con qué responsabilidad. Significa registrar lo que hace, auditar sus resultados, controlar sus accesos y definir procedimientos claros si algo sale mal.

En modelos como Mythos, esto es especialmente importante porque no hablamos de una IA que solo escribe textos. Hablamos de una IA que puede ayudar a descubrir fallos explotables en sistemas reales. Eso exige reglas distintas.

No todas las capacidades de IA deberían tratarse igual. No es lo mismo un asistente que ayuda a redactar una nota interna que un modelo capaz de encontrar vulnerabilidades críticas en software usado por millones de personas.

 

Qué deberían preguntarse empresas y administraciones

Para la mayoría de organizaciones, Mythos no significa que mañana tengan que comprar una nueva herramienta. Significa que deben hacerse preguntas urgentes.

• ¿Sabemos qué software crítico usamos?
• ¿Tenemos inventario de sistemas, aplicaciones, datos y proveedores?
• ¿Conocemos qué componentes de código abierto forman parte de nuestros servicios?
• ¿Podemos aplicar parches con rapidez?
• ¿Dependemos de proveedores sin conocer bien su nivel de seguridad?
• ¿Tenemos monitorización suficiente para detectar comportamientos anómalos?
• ¿Sabemos responder ante un incidente grave?
• ¿Existe una política clara sobre el uso de inteligencia artificial dentro de la organización?

Muchas compañías quieren hablar de IA, pero todavía arrastran cuestiones básicas de ciberseguridad: contraseñas débiles, accesos excesivos, sistemas sin actualizar, copias de seguridad no probadas, falta de visibilidad o ausencia de planes de respuesta.

Mythos nos recuerda algo incómodo: la IA puede acelerar el futuro, pero también puede dejar al descubierto todas las deudas del pasado.

 

El ciudadano también está en la ecuación

Aunque el debate parezca empresarial, el ciudadano está en el centro.

Cuando una empresa sufre una brecha, los datos filtrados son de personas. Cuando un hospital se paraliza, los afectados son pacientes. Cuando una administración cae, los perjudicados son ciudadanos. Cuando una energética o una empresa de transporte sufre un incidente, el impacto puede sentirse en la vida diaria.

Por eso la seguridad de la IA no es un lujo técnico. Es una cuestión de confianza pública.

Queremos que la IA ayude a descubrir fallos antes de que los delincuentes los exploten. También necesitamos garantías de que esas capacidades no se difunden sin control, no se usan sin supervisión y no generan una nueva carrera armamentística digital.

La sociedad no necesita menos innovación. Necesita innovación más responsable.

 

La nueva realidad: defensores y atacantes tendrán IA

Durante años, la ciberseguridad ha sido una carrera entre quienes atacan y quienes defienden. Con la inteligencia artificial, esa carrera se acelera.

Los defensores podrán detectar antes, analizar más rápido y responder mejor. Los atacantes podrán personalizar engaños, automatizar reconocimiento, encontrar fallos y reducir tiempos.

La diferencia estará en quién se organiza mejor.

Las organizaciones que sigan funcionando con procesos lentos, sistemas desactualizados y poca visibilidad estarán en desventaja. Las que integren IA con criterio, refuercen sus controles, formen a sus equipos y colaboren con su ecosistema tendrán más opciones de resistir.

La IA no elimina la necesidad de buenos profesionales. Al contrario: los hace más necesarios. Cambia su trabajo, multiplica sus capacidades y aumenta la importancia del criterio humano.

 

Mythos como aviso de lo que viene

Dentro de unos meses o años, el nombre Mythos quizá sea sustituido por otros modelos todavía más potentes. Eso será lo menos importante.

Lo relevante es lo que representa.

Mythos es una señal de que la inteligencia artificial ya no solo genera contenido. También puede descubrir debilidades en el mundo digital. Puede convertirse en una herramienta de defensa extraordinaria o en un acelerador de amenazas si se usa sin control.

La decisión de no liberarlo de forma general no debería leerse como una simple anécdota empresarial. Es un mensaje: algunas capacidades de IA empiezan a ser tan sensibles que necesitan normas, pruebas controladas y colaboración entre empresas, gobiernos, investigadores y organizaciones de seguridad.

No estamos ante el final de la innovación. Estamos ante su mayoría de edad.

 

No se trata de temer a la IA, sino de estar preparados

Mythos no debería llevarnos al miedo irracional ni al entusiasmo ciego. Debería llevarnos a una conversación madura.

La inteligencia artificial puede ayudarnos a encontrar fallos antes, proteger infraestructuras críticas, mejorar el software y reducir riesgos. También puede acelerar ataques, multiplicar la capacidad de los delincuentes y poner presión sobre organizaciones que todavía no han hecho sus deberes básicos de seguridad.

El reto no es elegir entre innovación y protección. El reto es entender que, a partir de ahora, no habrá innovación sostenible sin seguridad.

La pregunta que deja Mythos sobre la mesa es sencilla y profunda: si una IA puede encontrar las grietas de nuestro mundo digital más rápido que nunca, ¿estamos preparados para repararlas igual de rápido?

La respuesta marcará la diferencia entre una inteligencia artificial que nos ayude a defendernos y una inteligencia artificial que nos deje más expuestos.