La calma del ciberespacio se ha roto con un estruendo que resuena en los centros de datos globales y hasta las oficinas de Wall Street.

Anthropic, la firma que siempre ha llevado la bandera de la «IA constitucional» y la seguridad,  revelo por accidente que estaba construyendo un gigante demasiado peligroso para caminar libre entre nosotros.

Su nombre como ya sabemos es Claude Mythos, un modelo de lenguaje con una capacidad de sanación —y de destrucción—, tan vasta que su lanzamiento al público ha sido cancelado indefinidamente.

La historia de Mythos es la crónica de cómo el tiempo, en el mundo de la ciberseguridad, ha dejado de existir tal como lo conocíamos.

— Es una locura —comento como ingeniero de seguridad mientras analizo los reportes del Project Glasswing—.

Mythos encuentra fallos y entiende la arquitectura del software mejor que quienes lo escribieron hace tres décadas.

El modelo ha demostrado ser capaz de identificar y explotar de forma autónoma vulnerabilidades zero-day en el núcleo del sistema operativo Linux y en los navegadores más utilizados del planeta.

En una prueba que ha dejado gélida a la comunidad de ciberseguridad, Mythos redescubrió una vulnerabilidad crítica en OpenBSD que había permanecido oculta durante 27 años.

Lo que a equipos de élite humana les toma meses de ingeniería inversa, a esta inteligencia le toma minutos de «reflexión».

Ante este poder, Anthropic ha tomado una decisión sin precedentes.

En lugar de una API abierta, ha creado una coalición cerrada conformada por Amazon Web Services, Google, Microsoft, Apple, NVIDIA y J.P. Morgan, entre los pocos elegidos que ya tienen acceso a Mythos bajo el Project Glasswing.

Anthropic ha destinado 100 millones de dólares en créditos para que estos gigantes, junto con organizaciones como la Linux Foundation, utilicen el modelo para parchear el mundo antes de que el «genio» escape de la lámpara.

Sin duda, la ventana entre el descubrimiento de una vulnerabilidad y su explotación activa ha colapsado, como lo advierte el CTO de CrowdStrike.

Ya no hablamos de días para parchear; estamos hablando de minutos, lo que seria metafóricamente que, si no tienes una IA defendiéndote, estás peleando una guerra nuclear con palos y piedras.

Eso si, incluso los dioses digitales sangran.

Mientras Anthropic pregona la omnipotencia de Mythos, la realidad les dio un golpe de humildad el mes pasado. Por un error humano casi mundano —una falla en el empaquetado de archivos en un repositorio público—, la empresa expuso más de 2,000 archivos del código fuente de Claude Code.

Puedes tener el algoritmo más avanzado de la historia, pero un descuido en la gestión básica de archivos puede dejarte desnudo ante el mundo. En los foros de seguridad se bromean con cierta frustración y amargura que, «si a los arquitectos de Mythos les roban el código por un error de empaquetamiento, a las empresas comunes nos van a quitar hasta el reloj analógico Casio de la muñeca«.

El peligro real no es solo Mythos, también lo es el rastro de software antiguo y sin auditar sobre el que corre la economía global.

El ERP que gestiona tus inventarios, el SaaS de facturación o el software de nómina suelen ser cajas negras de código heredado. Mythos ha demostrado que puede entrar en esas cajas y encontrar llaves maestras en segundos.

El riesgo latente es que, tarde o temprano, estas capacidades filtrarán hacia el mercado negro o serán replicadas por actores estatales.

Cuando eso ocurra, cualquier empresa que NO TENGA un inventario riguroso de su software de terceros y un equipo de respuesta rápida será, sencillamente, una estadística más.

Si Señores y Señoras, hemos entrado oficialmente en la era de la transparencia forzada por IA.

Ya no existe la seguridad basada en que «nadie encontrará ese error en el código«, Claude Mythos ha demostrado que el código es cristalino para una inteligencia de su calibre.

Este hito, a mi parecer no busca infundir miedo a la IA, busca que entendamos la urgencia de la seguridad cognitiva.

La ciberseguridad no es un departamento de soporte en el sótano o tras bambalinas en el fondo de la estructura organizacional; es el sistema inmunológico vital de cualquier organización.

Reflexionemos en que los ataques se mueven a la velocidad del pensamiento sintético.

Nuestra única defensa real es la visibilidad total de tu infraestructura y la humildad de reconocer que nadie es invulnerable. La acción fundamental aquí es; si sabes o si no sabes que tu software tiene fallos y si tienes o no las herramientas para encontrarlos, antes de que la IA de alguien más lo haga por ti.