En los últimos días, el modelo Mythos se ha convertido en uno de los desarrollos más comentados dentro del mundo de la ciberseguridad y la inteligencia artificial.

Presentado en versión preliminar como Claude Mythos Preview por la empresa Anthropic, este sistema ha generado tanto entusiasmo como preocupación por su capacidad sin precedentes para detectar y explotar vulnerabilidades de software.

Qué es Mythos y por qué importa

Mythos es un modelo de inteligencia artificial diseñado específicamente para el análisis de código y la identificación de fallos de seguridad. Su relevancia radica en que no solo detecta vulnerabilidades, sino que también puede convertirlas en ataques funcionales.

Esto lo posiciona como una herramienta potencialmente revolucionaria para la ciberseguridad, pero obviamente también como un riesgo significativo en manos equivocadas.

Debido a este potencial peligro, Anthropic decidió no liberar Mythos al público. En su lugar, el acceso ha sido limitado a unas 50 organizaciones bajo la iniciativa Project Glasswing. Entre ellas se encuentran grandes actores como Microsoft, Apple o Amazon. El objetivo es que estas entidades refuercen sus sistemas antes de que herramientas similares estén al alcance de actores maliciosos.

Capacidades que sorprendieron y dudas de lo ocultado

Los primeros resultados compartidos por Anthropic han sido llamativos:

• Miles de vulnerabilidades detectadas en sistemas operativos y navegadores ampliamente utilizados

• Descubrimiento de errores históricos, como un bug de 27 años en OpenBSD o una falla de 16 años en FFmpeg

• Capacidad para transformar vulnerabilidades en ataques. Por ejemplo en Firefox, Mythos generó 181 exploits funcionales

Estos datos sugieren que Mythos podría marcar un antes y un después en la seguridad informática. Pero a pesar del impacto de estos resultados, hay un problema clave: falta de transparencia.

Los datos publicados funcionan como una “demostración de éxitos”, pero no permiten evaluar completamente el rendimiento del modelo.

Por ejemplo, no se conoce cuántas veces Mythos identifica falsos positivos. Investigaciones previas en modelos similares muestran que detectar muchos errores reales suele venir acompañado de múltiples alertas incorrectas.

Esto es crucial, porque un sistema con demasiados falsos positivos requiere intervención humana constante, limitando su automatización real.

Otro aspecto relevante es que Mythos, como otros modelos de lenguaje, funciona mejor en entornos similares a sus datos de entrenamiento:

• Proyectos open source populares

• Navegadores principales

• Kernel de Linux

• Frameworks web conocidos

Sin embargo, sistemas menos comunes o especializados (como dispositivos médicos, sistemas industriales o infraestructuras financieras específicas) podrían quedar fuera de su alcance inicial.

Aunque aquí surge un riesgo inverso. Un atacante con conocimiento especializado podría usar Mythos como multiplicador de capacidades en esos entornos.

Un debate más amplio y la mirada de especialistas

El caso Mythos abre preguntas que van más allá de la tecnología:

¿Quién decide qué sistemas se protegen primero? ¿Debe una empresa privada controlar el acceso a herramientas con impacto global? ¿Cómo se equilibra innovación con seguridad?

Anthropic ha optado por un enfoque prudente, pero su decisión también evidencia que el desarrollo de IA avanzada está superando los marcos tradicionales de gobernanza y regulación.

Un ensayo de David Lie, difundido por el especialista Bruce Schneier, aporta una visión crítica y complementaria sobre el fenómeno Mythos:

• Se reconoce que la decisión de restringir el modelo es responsable, pero también se señala la falta de información pública para evaluar su verdadero impacto

• Se advierte que, como se dijo anteriormente, sin conocer la tasa de errores no es posible determinar si los resultados mostrados son representativos

• Se destaca una asimetría preocupante: mientras que las grandes empresas reciben acceso prioritario, la comunidad académica y especialistas independientes quedan fuera.

El análisis también destaca que ninguna empresa tiene la capacidad completa para auditar toda la infraestructura global.

Las decisiones actuales están siendo tomadas con recursos, tiempo y conocimiento limitados, por lo que los errores pueden tener consecuencias reales en sectores críticos.

Además, se plantea que Mythos no sería un caso único, ya que otros modelos similares también están emergiendo, lo que refuerza la necesidad de una respuesta coordinada.

Para los especialistas, es fundamental:

• Mayor transparencia en métricas de rendimiento

• Acceso estructurado para investigadores independientes

• Marcos globales de auditoría

• Sistemas de divulgación obligatoria de información agregada

La mayor crítica es que las tecnologías capaces de encontrar miles de vulnerabilidades no deberían depender únicamente del criterio interno de una empresa, por más responsable que sea.