El modelo que Anthropic no se atreve a hacer público puede detectar miles de vulnerabilidades; aquí tienes una lista de 15 recomendaciones de seguridad numérica que conviene guardar.

作者： Ole Lehmann

编译： 深潮 TechFlow

深潮导读： Anthropic ha publicado el último modelo de vanguardia Claude Mythos Preview. Este modelo ha encontrado miles de vulnerabilidades de día cero en todos los sistemas operativos y navegadores más populares, tan potente que ni siquiera Anthropic se atreve a publicarlo abiertamente. La mala noticia es que, tarde o temprano, un modelo con capacidades similares caerá en manos de los atacantes. El cofundador de OpenAI, Karpathy, ya elaboró el año pasado una lista de verificación de seguridad digital; ahora es momento de tomarla en serio.

Así es: ayer Anthropic anunció Claude Mythos Preview.

¿Qué tan potente es este modelo? Ha descubierto miles de vulnerabilidades de día cero en todos los sistemas operativos y navegadores más populares. Tan fuerte que ni siquiera Anthropic se atreve a lanzarlo al público, por temor a causar daños incontrolables.

Este modelo aún no se ha hecho público, pero en cuanto los malhechores obtengan un modelo con capacidades equivalentes (solo es cuestión de tiempo), los ataques de red a los que te enfrentarás serán tan avanzados que la mayoría de la gente ni siquiera se dará cuenta de que ya han sido comprometidos.

Es como una epidemia en el mundo del software.

Así que tu defensa de seguridad digital, ahora mismo, tiene que reforzarse.

Guía de seguridad digital de Karpathy

El año pasado, el cofundador de OpenAI, Karpathy, elaboró una guía de seguridad digital que cubre lo esencial de la protección personal en la era de la IA.

Esta es una de las mejores listas de inicio que he visto. Estas son las 15 cosas que deberías hacer ahora mismo:

1. Usa un gestor de contraseñas (como 1Password)

Genera una contraseña aleatoria e independiente para cada una de tus cuentas.

Si algún servicio es comprometido, los atacantes usarán el mismo conjunto de credenciales para intentar acceder a todas las demás plataformas. Un gestor de contraseñas elimina directamente ese riesgo, y además puede completar automáticamente, siendo en realidad más rápido que reutilizar contraseñas.

2. Configura llaves de seguridad de hardware (como YubiKey)

Es un dispositivo físico que actúa como tu segundo factor de verificación. Los atacantes deben tener realmente ese dispositivo para iniciar sesión en tu cuenta.

Los códigos de verificación por teléfono en realidad no son tan seguros. La toma de la SIM (alguien llama al operador haciéndose pasar por ti para que tu número se transfiera a su teléfono) no es tan difícil de ejecutar como crees.

Compra 2 a 3 YubiKey, y guarda cada una en un lugar diferente, para que no te bloqueen si pierdes una.

3. Activa la biometría en todos los dispositivos

Face ID, huellas dactilares: activa lo que tu dispositivo admita. En el gestor de contraseñas, apps bancarias y todas las aplicaciones sensibles, ponlo.

Esta es la tercera capa de autenticación: quién eres. Nadie puede robar tu cara desde una base de datos.

4. Trata las preguntas de seguridad como contraseñas

«¿Cuál es el apellido de soltera de tu madre?» Ese tipo de pregunta se puede consultar en Google en 10 segundos.

Genera respuestas aleatorias para las preguntas de seguridad y guárdalas junto con las contraseñas en tu gestor de contraseñas. Nunca respondas las preguntas de seguridad de forma veraz.

5. Activa el cifrado de disco

En Mac se llama FileVault; en Windows se llama BitLocker.

Si te roban el portátil, el cifrado de disco significa que el ladrón obtiene una piedra más que todos tus archivos. Se puede activar en 2 minutos y se ejecuta en silencio en segundo plano.

6. Reduce los dispositivos inteligentes en casa

Cada dispositivo «inteligente» es esencialmente una computadora conectada a la red, con un micrófono sentado en tu casa.

Recopilan datos continuamente, envían información una y otra vez a servidores y, además, a menudo son hackeados. No necesitas saber las coordenadas GPS exactas de ese detector de calidad de aire Wi‑Fi de Amazon que compraste.

Cuantos menos dispositivos conectados tengas, menos puntos de entrada tendrá tu red.

7. Cambia a Signal para la comunicación diaria

Signal cifra los mensajes de extremo a extremo. Nadie (ni siquiera Signal, tu operador, ni cualquier persona que intercepte datos) puede leer tus mensajes.

Los mensajes de texto normales e incluso iMessage guardan metadatos (con quién hablas, cuándo, cuánto tiempo), y quienes tengan permisos pueden analizarlos.

Se recomienda activar la función de mensajes que desaparecen automáticamente; 90 días es un buen valor predeterminado, para que las conversaciones antiguas no se conviertan en una vulnerabilidad.

8. Usa un navegador centrado en la privacidad (como Brave)

Brave se basa en Chromium, por lo que todas las extensiones de Chrome pueden usarse y la experiencia es casi la misma.

9. Cambia el motor de búsqueda predeterminado a Brave Search

La razón es que tiene su propio índice independiente, a diferencia de DuckDuckGo, que en esencia es una «piel» de Bing.

Si algún resultado de búsqueda no funciona bien, agrega «!g» para redirigir esa consulta a Google.

La versión premium cuesta 3 dólares al mes. Es mejor pagar por el servicio y ser cliente que hacerlo gratis como producto.

10. Usa tarjetas de crédito virtuales (como Privacy.com)

Genera un número de tarjeta nuevo para cada comerciante. Puedes poner un límite de gasto para cada tarjeta, y los datos del nombre y la dirección en la factura se pueden completar como quieras.

Si el comerciante es comprometido, los atacantes solo obtienen un número de tarjeta de un solo uso, no tu identidad financiera real. Esto también significa que ningún comerciante sabe tu dirección residencial real.

11. Crea una dirección de entrega virtual

Servicios como Virtual Post Mail te ayudan a recibir correo físico, y luego de escanearte lo permiten ver en línea. Tú decides qué quieres que se destruya y qué quieres reenviar.

Así no tendrás que entregar tu dirección residencial real a todo tipo de tiendas cada vez que haces un pago.

12. No hagas clic en los enlaces dentro de los correos

Las direcciones de correo se falsifican de forma extremadamente sencilla. Con IA, los correos de phishing ahora se ven exactamente igual que los correos reales.

En lugar de hacer clic en los enlaces, es mejor abrir tú mismo el sitio web manualmente e iniciar sesión.

Además, se recomienda desactivar la carga automática de imágenes en los ajustes de correo, porque las imágenes incrustadas se pueden usar para rastrear si abriste el mensaje.

13. Usa VPN de forma selectiva (como Mullvad)

Una VPN oculta tu dirección IP (el identificador único de tu dispositivo y tu ubicación), haciendo que los servicios a los que te conectas no puedan ver quién eres.

No es necesario tenerla activa 24 horas, pero sí encenderla en Wi‑Fi público o al acceder a servicios que no sean de mucha confianza.

14. Configura bloqueo de anuncios a nivel DNS (como NextDNS)

DNS básicamente es el directorio telefónico que tu dispositivo usa para buscar sitios web; bloquear en este nivel significa que los anuncios y rastreadores se eliminan antes de cargarse.

Funciona para todas las apps y navegadores en tu dispositivo.

15. Instala una herramienta de monitoreo de red (Little Snitch en Mac)

Te mostrará qué apps en tu computadora se comunican, cuántos datos enviaron y a dónde los enviaron.

Cualquier app que devuelva datos fuera de lo esperado es sospechosa y, en la mayoría de los casos, lo correcto es desinstalarla.

Actualmente, Mythos solo está en manos del equipo defensor de Project Glasswing (Anthropic, Apple, Google, etc.).

Pero los atacantes conseguirán un modelo del nivel de Mythos muy pronto: aproximadamente en 6 meses, o quizá antes. Por eso, ahora mismo reforzar la seguridad es una urgencia.

Configura esto en 15 minutos ahora y te ahorras un montón de problemas después.