El 7 de abril, Anthropic anunció Mythos, su modelo de IA más poderoso hasta la fecha, pero con un giro inédito: no lo lanzó al público. Mythos fue desarrollado en el marco del Project Glasswing, una iniciativa con 12 socios tecnológicos globales que incluyen Apple, Amazon, Microsoft y Cisco, y su capacidad más disruptiva es también la más inquietante: identificó miles de vulnerabilidades críticas en sistemas operativos y navegadores con décadas de antigüedad, sin supervisión humana constante. Para los equipos tech y de seguridad informática en LATAM, esto abre un debate urgente: la IA ya es una herramienta de ciberseguridad de nivel industrial. La pregunta ya no es si adoptarla, sino cómo hacerlo responsablemente.

Qué es Project Glasswing y por qué Anthropic eligió no lanzar Mythos públicamente

Project Glasswing es la iniciativa de Anthropic para desarrollar modelos de IA de alto riesgo en un entorno controlado, con socios estratégicos que pueden absorber y mitigar los riesgos antes de cualquier despliegue masivo. Con Mythos, Anthropic tomó la decisión sin precedentes de no publicar el modelo en su API ni en Claude.ai, a pesar de que ya está operativo y siendo usado por los socios del proyecto en entornos controlados.

Las razones declaradas por Anthropic según los reportes de TechCrunch son tres:

• El modelo tiene capacidades ofensivas tan avanzadas que su acceso abierto representaría un riesgo de seguridad nacional y corporativa a escala global

• Requiere un marco de uso responsable todavía en proceso de definición conjunta con los socios del Project Glasswing

• Es el primer modelo que activa el "nivel de capacidad crítica" en el sistema de evaluación interno de Anthropic (ASL-4), el nivel más alto de su escala de riesgo

Esto marca un punto de inflexión en la industria: por primera vez, una empresa de IA frontier reconoce públicamente que tiene un modelo demasiado poderoso para lanzar. Es un precedente que va a definir cómo se goviernan los próximos modelos de frontera.

Qué encontró Mythos: vulnerabilidades críticas y su alcance real

Según reportes de 9to5Mac y CNN Business del 7 de abril, Mythos fue capaz de realizar en entorno controlado lo siguiente:

• Identificar más de 4.000 vulnerabilidades no reportadas en kernels de Linux y Windows anteriores a 2020

• Detectar vectores de ataque en Chrome, Firefox y Safari no identificados previamente por equipos de seguridad convencionales

• Generar exploits funcionales para demostrar la explotabilidad de las vulnerabilidades halladas

• Completar este análisis en una fracción del tiempo que requeriría un equipo humano de penetration testing equivalente

La magnitud del hallazgo obliga a las organizaciones a replantear sus procesos de auditoría de seguridad. Si un modelo de IA puede encontrar miles de vulnerabilidades en semanas, los ciclos anuales de pentesting ya no son suficientes como única capa de defensa.

Qué implica para la ciberseguridad en empresas de LATAM

El anuncio de Mythos tiene implicancias concretas para equipos tech en la región, tanto en términos de oportunidades como de riesgos que hay que gestionar.

Oportunidades que ya están disponibles

• Modelos similares (aunque menos potentes) ya están disponibles en herramientas como GitHub Copilot for Security y Snyk Code, integrables en pipelines de CI/CD para detectar vulnerabilidades en tiempo real durante el desarrollo

• La IA puede automatizar tareas repetitivas de security auditing, liberando a los analistas para vulnerabilidades de mayor complejidad que requieren criterio humano

• Empresas que adopten IA en seguridad tendrán ventaja competitiva en contratos con multinacionales que exigen estándares de ciberseguridad más altos como requisito de proveedores

Riesgos que hay que gestionar

• Los mismos modelos que detectan vulnerabilidades pueden usarse para explotarlas. No todas las organizaciones que tienen acceso a estas herramientas las usan éticamente.

• La brecha entre organizaciones que adopten IA en seguridad y las que no crecerá de forma exponencial en los próximos años, creando una desigualdad estructural en el ecosistema tech de LATAM

• Los equipos de IT en la región necesitan upskilling urgente para auditar, entender y trabajar con sistemas de seguridad basados en IA de forma efectiva

El debate sobre la IA de doble filo y el precedente Anthropic

La decisión de Anthropic de no publicar Mythos plantea un debate más amplio sobre la gobernanza de modelos de IA de alto riesgo. Es el primer caso documentado de una empresa frontier que restringe un modelo por motivos de seguridad, y probablemente no sea el último.

El interrogante que queda abierto para la industria: ¿quién decide cuándo un modelo es "demasiado peligroso" para publicar? Por ahora, esa decisión la toman las propias empresas desarrolladoras sin un marco regulatorio internacional vinculante. El debate ya está en la agenda del Congreso de los Estados Unidos y del Parlamento Europeo, y LATAM necesita voz en esa conversación.

Para los profesionales tech, el mensaje es concreto: la IA ya entró al campo de batalla de la ciberseguridad. El dominio de herramientas de IA aplicadas a la seguridad informática se convierte en una habilidad diferenciadora crítica en el mercado laboral tech de la región.

Cursos recomendados de Coderhouse

Para entender el contexto tecnológico de la IA y prepararte para los cambios que genera en la industria tech y en ciberseguridad:

• Curso de AI Engineering: herramientas para trabajar con modelos de IA a nivel técnico, incluyendo integración de APIs, evaluación de modelos y casos de uso en seguridad y automatización.

• Curso de Introducción a la Inteligencia Artificial: punto de entrada ideal para entender de qué se habla cuando se habla de modelos como Mythos, sus capacidades reales y sus limitaciones.

• Curso de AI Automation: para equipos que quieren implementar flujos de trabajo automatizados con IA, incluyendo casos de uso en auditoría, monitoreo y gestión de incidentes.

Preguntas frecuentes

¿Cuándo va a estar disponible Mythos públicamente?

Anthropic no dio fechas concretas. El roadmap del Project Glasswing prevé un proceso gradual de evaluación con los socios antes de cualquier decisión de lanzamiento público, lo que podría llevar meses o no ocurrir nunca si los riesgos no se pueden mitigar adecuadamente con los marcos de seguridad existentes.

¿Existen modelos de IA para ciberseguridad que ya se puedan usar hoy?

Sí. Herramientas como GitHub Copilot for Security, Snyk Code, Veracode IA y CrowdStrike Charlotte AI ya usan modelos de lenguaje para detectar vulnerabilidades, analizar código y responder a incidentes. No tienen la potencia de Mythos, pero son accesibles, están disponibles en el mercado y se integran con los pipelines de desarrollo existentes.

¿Mythos podría ser usado maliciosamente si alguien obtuviera acceso?

Esa es exactamente la razón por la que Anthropic decidió no publicarlo. El modelo tiene capacidad de generar exploits funcionales, lo que en manos equivocadas representaría un riesgo crítico para infraestructura corporativa y gubernamental. Anthropic lo describe internamente como el primer modelo en activar su nivel ASL-4 (Advanced Safety Level 4), el más alto de su escala de evaluación de riesgos.

¿Qué deben hacer las empresas de LATAM ante este escenario?

Tres acciones concretas y priorizables: primero, invertir en actualización de sistemas (especialmente kernels y navegadores desactualizados, que son los vectores más explotados). Segundo, adoptar herramientas de IA para auditoría continua de seguridad en lugar de depender solo de ciclos anuales de pentesting. Tercero, capacitar a sus equipos de IT en IA aplicada a ciberseguridad antes de que la brecha con las empresas más avanzadas se vuelva irreversible.

¿El desarrollo de Mythos cambia el panorama competitivo entre Anthropic, OpenAI y Google?

Sí, aunque de forma compleja. El hecho de que Anthropic tenga un modelo que decidió no publicar posiciona a la empresa como la más conservadora en términos de seguridad dentro del trío de empresas frontier, lo que puede ser ventaja o desventaja según el segmento de mercado. Para clientes corporativos con requisitos estrictos de compliance, la postura de Anthropic puede ser un diferenciador positivo. Para el mercado de consumo masivo, el ritmo de OpenAI y Google sigue siendo más agresivo.