La IA oculta Claude Mythos: El peligro que Anthropic enterró

El Modelo Más Peligroso de la Historia de la IA No Está Disponible para Ti

A finales de febrero de 2026, un equipo de ingenieros de Anthropic le dio a su nueva IA, Claude Mythos Preview, una instrucción aparentemente sencilla: busca vulnerabilidades en este código. Lo que ocurrió a continuación fue tan inquietante que la compañía decidió no lanzar el modelo al público. Lo que Mythos encontró no eran fallos menores. Eran agujeros de seguridad críticos en Windows, macOS, Linux, Chrome, Safari y Firefox. Algunos de esos errores llevaban ahí décadas, invisibles para cualquier sistema de detección anterior.

Desde el primer test realizado el 24 de febrero de 2026, los ingenieros observaron que Mythos Preview supera ampliamente a modelos anteriores al identificar y explotar de forma autónoma vulnerabilidades zero-day en los principales sistemas operativos y navegadores web. La diferencia con todo lo anterior no es de grado. Es de categoría.

Los Números que Asustaron a Silicon Valley y a la Casa Blanca Un Bug de 27 Años que Nadie Había Visto

El ejemplo más impactante de todo el informe técnico de Anthropic es uno solo: Mythos localizó una vulnerabilidad que había permanecido oculta durante 27 años en OpenBSD, considerada una de las plataformas más seguras del mercado. No es un sistema cualquiera. OpenBSD es el sistema operativo que usan cortafuegos, pasarelas de seguridad y servidores críticos en todo el mundo. Veintisiete años. Millones de auditorías. Y ninguna herramienta humana ni automatizada lo había detectado.

Durante sus pruebas internas, Mythos también detectó una vulnerabilidad en FFmpeg que había pasado desapercibida tras cinco millones de tests automatizados. FFmpeg es el software que procesa el vídeo en prácticamente toda la internet. Si eso suena a ciencia ficción, es porque hasta hace unos meses lo era.

El Proyecto Glasswing: La IA Solo para los Elegidos

Ante esos resultados, Anthropic tomó una decisión sin precedentes en la industria: cerrar el acceso. La empresa limitó el acceso a Claude Mythos Preview únicamente a más de 50 grandes organizaciones, entre ellas Amazon, Apple, Microsoft, Google y JPMorgan Chase, a través del llamado Proyecto Glasswing. El objetivo era que estas organizaciones usaran la IA de forma defensiva: identificar y corregir vulnerabilidades antes de que actores maliciosos pudieran explotarlas.

El argumento de Anthropic era claro: si esto cae en las manos equivocadas, las consecuencias son incontrolables. La respuesta del sector fue más dividida. Gary McGraw, veterano investigador en seguridad e IA, fue directo: “Si no lanzas una herramienta como esta, no estás resolviendo el problema real. La tecnología no es tan peligrosa como para no liberarla”.

El Desastre que Nadie Esperaba: Mythos se Filtró en Horas

Entonces pasó lo inevitable. Horas después del anuncio oficial, Bloomberg reveló que un grupo de usuarios no autorizados ya estaba usando Mythos. El acceso no vino por un jailbreak sofisticado ni por un adversario estatal, sino por credenciales comprometidas de un trabajador de un contratista tercerizado de la propia Anthropic. No hackearon Anthropic. Accedieron por la puerta trasera de un proveedor externo.

La ironía es demoledora: la empresa de IA más centrada en seguridad del mundo no pudo contener su modelo más peligroso ni 24 horas. Y el dato que más duele de todo el informe posterior es este: menos del 1% de las vulnerabilidades que ya encontró Mythos habían sido parcheadas en el momento de la filtración. Miles de zero-days identificados por la IA. El 99% de ellos, aún abiertos.

Qué Significa Esto Para el Futuro de la Ciberseguridad

La aparición de Claude Mythos ha llegado incluso al terreno político: en Estados Unidos, la Casa Blanca siguió de cerca el desarrollo del modelo y la Administración Trump llegó incluso a vetar a Anthropic por considerarla un riesgo para la seguridad nacional, una decisión que acabó en los tribunales. Desde la Comisión Europea, se advirtió de que Mythos presenta “capacidades cibernéticas sin precedentes”.

El mundo de la ciberseguridad acaba de cambiar para siempre. La pregunta ya no es si la IA puede encontrar los fallos de tus sistemas. La pregunta es quién llegará primero: los que quieren protegerlos o los que quieren explotarlos.

¿Crees que Anthropic hizo lo correcto al restringir Mythos, o debería ser accesible para todos los defensores? El debate más importante de 2026 está en los comentarios. Comparte este artículo y abre la discusión.