Ciberseguridad y privacidad digital · Inteligencia artificial y Data Analytics

Mythos: cuando el aleteo de una mariposa obliga a repensar los cimientos de la ciberseguridad

Javier Aznar
Javier Aznar
Global AI Security Leader en KPMG y socio de Ciberseguridad y Riesgo Tecnológico de KPMG en España
21 abril, 2026
3 min

En las últimas semanas, el anuncio de Claude Mythos, el modelo avanzado de inteligencia artificial desarrollado por Anthropic, ha generado un intenso debate en la comunidad de ciberseguridad. Más allá de titulares llamativos, lo relevante para las organizaciones es entender qué ha cambiado realmente, por qué Anthropic ha decidido limitar su despliegue, y qué implicaciones prácticas tiene este salto tecnológico para la gestión del riesgo.

Desde hace tiempo venimos analizando la convergencia entre inteligencia artificial avanzada y capacidades ciber tanto defensivas como ofensivas. Mythos no representa una anomalía aislada, sino un punto de inflexión que anticipa cómo evolucionarán otros modelos en los próximos meses.

¿Qué motivó el desarrollo de Mythos?

Anthropic diseñó Claude Mythos como un modelo frontera con capacidades superiores en razonamiento lógico, análisis de código y autonomía agéntica. Aunque se presenta como un modelo generalista, su rendimiento en tareas de seguridad, especialmente identificación y explotación de vulnerabilidades, superó ampliamente las expectativas.

Durante las diferentes pruebas llevadas a cabo, Mythos demostró ser capaz de:

  • Analizar grandes bases de código de forma autónoma.
  • Formular hipótesis sobre fallos de seguridad, validarlas y refinar ataques.
  • Identificar vulnerabilidades complejas, incluidas vulnerabilidades lógicas o defectos históricos.
  • Construir cadenas de explotación funcionales sin intervención humana directa.

Estas capacidades no fueron entrenadas explícitamente como «ofensivas», sino que emergieron como consecuencia natural de mejoras en razonamiento, planificación y capacidad de ejecución autónoma. Precisamente este carácter emergente ha sido el principal detonador de las acciones que pasamos a comentar.

Anthropic diseñó Mythos como un modelo frontera con capacidades superiores en razonamiento lógico, análisis de código y autonomía agéntica

¿Por qué se detuvo (o limitó) su despliegue?

Tras validar estas capacidades, Anthropic optó por no liberar Mythos de forma abierta, restringiendo su acceso, dentro del Project Glasswing, a un grupo limitado de grandes proveedores de tecnología e infraestructuras críticas, con el objetivo de trabajar en sus capacidades y en la identificación de vulnerabilidades que potencialmente pueden corregir.

La razón no fue un fallo técnico, sino un riesgo sistémico:

  • El modelo reducía drásticamente el tiempo entre la introducción de una vulnerabilidad y su explotación.
  • Permitía que perfiles no especializados generasen exploits funcionales.
  • Desplazaba el factor limitante de la ciberseguridad desde el conocimiento humano hacia el cómputo, la orquestación y el acceso.

Anthropic reconoció que liberar estas capacidades sin controles apropiados podría suponer la explotación avanzada de vulnerabilidades a una velocidad para la que la mayoría de las organizaciones no están preparadas a día de hoy.

Así es cómo ayudamos a las organizaciones a gestionar su ciberseguridad
¿Necesitas apoyo?

¿En qué se parece esto a otros modelos emergentes (GPT‑5.x, Claude y Gemini)?

Aunque Mythos es hoy un caso extremo y controlado, no es único en su naturaleza. Modelos generalistas de nueva generación, incluidas futuras versiones de GPT, Claude o Gemini, están avanzando en las mismas dimensiones clave:

  • Mejor comprensión semántica del código.
  • Capacidad para razonar sobre sistemas complejos.
  • Mayor autonomía para ejecutar tareas de principio a fin.

La diferencia es principalmente de umbral, no de dirección. Mythos ha cruzado ese umbral antes, pero las trayectorias tecnológicas sugieren que capacidades similares serán gradualmente accesibles a mayor escala.

Esto implica que las preguntas relevantes para las organizaciones ya no son si aparecerán modelos con estas capacidades, sino cuándo y bajo qué controles.

Impacto para las organizaciones: cambia el factor crítico

El principal impacto no es que existan más vulnerabilidades, sino que:

  • El ritmo de identificación de dichas vulnerabilidades deja de ser un cuello de botella.
  • La velocidad de explotación potencial supera los ciclos tradicionales de parcheo.
  • Vulnerabilidades moderadas pueden combinarse en cadenas de ataque críticas.

En este contexto, los enfoques clásicos de gestión de vulnerabilidades, basados en ciclos semanales, priorización manual o dependencia exclusiva del CVSS, resultan insuficientes.

Mythos no representa una anomalía aislada, sino un punto de inflexión que anticipa cómo evolucionarán otros modelos en los próximos meses

¿Cuáles son las principales recomendaciones para los equipos de ciberseguridad de las organizaciones?

Sin caer en alarmismo, creemos que sí es momento de abordar determinados ajustes con un enfoque inmediato y pragmático:

1. Acelerar la capacidad de evaluación y parcheo

No se trata solo de aplicar parches más rápido, sino de:

  • Evaluar relevancia real de 0-days respecto al stack propio.
  • Prepararse para picos muy elevados en el volumen de divulgaciones.
  • Asumir que algunos parches deberán aplicarse en < 24h–48h.

2. Pensar en cadenas de explotación, no en vulnerabilidades aisladas

Los equipos deben analizar concentración de fallos en componentes comunes (especialmente OSS) y tratarlos como riesgo agregado, incluso si individualmente parecen moderados.

3. Reforzar las capas de defensa en detalle e intentar reducir el radio de impacto

Controles como segmentación, mínimos privilegios, detección temprana y respuesta rápida siguen demostrando ser barreras eficaces incluso frente a capacidades avanzadas.

4. Tratar la IA como nuevo vector de riesgo

Si bien es algo de lo que venimos hablando desde hace más de un año y que quedó contrastado prácticamente en la totalidad de las charlas hace unas semanas en la RSA de San Francisco, se urge a:

  • Entender qué modelos se usan internamente y para qué.
  • Incorporarlos a programas de insider threat y monitoreo.
  • Definir límites claros de autonomía y uso aceptable.

5. Prepararse operativamente (no solo técnicamente)

Realizar ejercicios de simulación table-top, centrados en escenarios de alto volumen de 0-days ayuda a identificar cuellos de botella reales: capacidad humana, toma de decisiones, ventanas de mantenimiento y aceptación de riesgo.

Si bien entendemos que Claude Mythos no es el inicio del fin, comporta unas capacidades tremendas en el ámbito de la ciberseguridad, sí entendemos que estamos ante un punto de inflexión crítico, enviando una señal clara  de hacia dónde se debe dirigir el equilibrio entre seguridad ofensiva y defensiva, incluyendo la variable de la velocidad en medio de la ecuación.

Las organizaciones que entiendan este cambio como una evolución estructural, y no como una amenaza puntual, estarán mejor posicionadas para absorber futuras olas tecnológicas, con mayor capacidad de éxito y resiliencia.

Este momento es una oportunidad para modernizar modelos operativos de ciberseguridad, reforzar la gobernanza de la IA y anticiparse, con criterio, a un presente donde la velocidad será tan crítica como la tecnología.

Artículos relacionados