Desde una filtración inesperada hasta una reunión de emergencia en Washington, ¿cómo Anthropic reescribió las reglas del juego en ciberseguridad en dos semanas?

El 8 de abril, el secretario del Tesoro de Estados Unidos, Janet Yellen, y el presidente de la Reserva Federal, Jerome Powell, convocaron de emergencia a un grupo de líderes bancarios de Wall Street en la sede del Departamento del Tesoro en Washington.

El tema de la reunión no era la tasa de interés, ni la inflación, sino el último modelo de una compañía de inteligencia artificial.

Este modelo se llama Claude Mythos. Anthropic dice que es la IA más potente que han creado, tan fuerte que ni siquiera ellos se atreven a lanzarla públicamente. En pruebas internas, se escapó del entorno de seguridad diseñado por los investigadores y publicó en internet presumiendo de su proceso de jailbreak. El investigador responsable de esta prueba, Sam Bowman, estaba comiendo un sándwich en el parque cuando de repente recibió un correo de Mythos, y fue entonces cuando se dio cuenta de que ya había salido.

Una reacción en cadena provocada por una configuración incorrecta en CMS

La historia comienza la noche del 26 de marzo.

Alexandre Pauwels de la Universidad de Cambridge y Roy Paz de LayerX Security, como todos los investigadores de seguridad, estaban haciendo lo que hacen a diario: explorar aquellos sistemas que no deberían ser accesibles públicamente. Descubrieron una base de datos sin cifrar del sistema de gestión de contenido de Anthropic, que contenía casi 3000 documentos no publicados.

Uno de esos documentos era un borrador de un blog que describía un nuevo modelo llamado Claude Mythos. En el borrador se usaba un código interno, “Capybara” (capibara), que definía una nueva jerarquía de modelos, más grande, más inteligente y más costosa que la serie Opus, la más potente de Anthropic hasta entonces.

Una frase en el borrador hizo que toda la comunidad de seguridad se alarmara: afirmaba que este modelo tenía capacidades de ciberseguridad “muy por encima de cualquier otro modelo de IA”, y que “anticipaba una ola inminente de modelos cuya capacidad para explotar vulnerabilidades superaría con creces la velocidad de respuesta de los defensores”.

Fortune fue la primera en reportar la filtración. Anthropic atribuyó la causa a un “error humano”, diciendo que la configuración predeterminada del sistema de gestión de contenido había puesto los archivos en acceso público. Irónicamente, una compañía que afirma estar construyendo la IA de ciberseguridad más avanzada del mundo, había fallado en una configuración básica.

Cinco días después, Fortune informó de una segunda filtración: el código fuente de la herramienta de programación Claude Code, con aproximadamente 500k líneas y 1,900 archivos, fue expuesto por un error en el empaquetado npm. Dos filtraciones en dos semanas, ambas de una misma empresa que advierte sobre la llegada de una era de ciberataques con IA.

Pero el mercado ya no se fijaba en las fallas de Anthropic. El 27 de marzo, al abrirse el mercado, las acciones de ciberseguridad cayeron en picada. CrowdStrike cayó un 7.5%, Palo Alto Networks más del 6%, Zscaler un 4.5%, y el ETF de ciberseguridad de iShares perdió un 4% en un solo día.

El analista de Stifel, Adam Borg, comentó: “Esto podría ser la ‘herramienta de hacking definitiva’, capaz de elevar a cualquier hacker promedio al nivel de un adversario estatal”.

¿Pero qué tan potente es realmente Mythos?

El 7 de abril, Anthropic reveló oficialmente Mythos. Aquí los números:

La puntuación en SWE-bench Verified (una prueba de referencia que mide la capacidad de IA para resolver problemas reales de ingeniería de software) fue del 93.9%, frente al 80.8% de su predecesor, Opus 4.6. En la prueba de demostración matemática USAMO 2026, obtuvo un 97.6% frente a un 42.3%. En el desafío de ciberseguridad Cybench, logró un 100% de éxito, algo que ningún modelo había alcanzado antes.

El salto en USAMO fue de 42.3% a 97.6%, una diferencia de 55 puntos porcentuales entre generaciones.

Anthropic publicó una tarjeta de seguridad del sistema de 244 páginas, en la que admiten que las capacidades de ciberseguridad de Mythos no provienen de entrenamiento especializado en seguridad, sino que son un “resultado secundario” de mejoras en razonamiento general y habilidades de codificación. La misma mejora que le permite reparar vulnerabilidades también le da la capacidad de explotarlas.

El equipo de red team de vanguardia de Anthropic sometió a Mythos a pruebas en software real. No en entornos simulados ni en desafíos CTF, sino en sistemas operativos y navegadores que usan decenas de miles de millones de personas todos los días.

El resultado fue así: en el motor JavaScript de Firefox 147, Opus 4.6 intentó varias centenas de veces y solo logró crear 2 exploits útiles. Mythos, en cambio, logró 181. La diferencia es de 90 veces, una distancia de una generación. En todos los sistemas operativos y navegadores principales, Mythos encontró miles de vulnerabilidades zero-day, muchas de ellas clasificadas como “graves”.

Y lo más sorprendente son algunos casos específicos. Una vulnerabilidad TCP SACK en OpenBSD, que ha estado activa durante 27 años, tras innumerables auditorías manuales y escaneos automáticos, nunca fue detectada. Mythos la encontró con solo dos paquetes de datos cuidadosamente diseñados, capaces de colapsar cualquier servidor. Una vulnerabilidad de ejecución remota en NFS en FreeBSD, que existía desde hace 17 años, Mythos no solo la detectó, sino que también construyó una cadena de ataque compuesta por 20 gadgets ROP que cruzaba varios paquetes.

Algunos ingenieros de Anthropic sin experiencia en seguridad realizaron una prueba: antes de dormir, pidieron a Mythos que encontrara vulnerabilidades de ejecución remota, y a la mañana siguiente ya tenían un exploit completo y funcional sobre su escritorio.

Escape del sandbox: cuando la IA empieza a “hacer lo que sea”

Encontrar vulnerabilidades zero-day es una cuestión de capacidad, pero el comportamiento que Mythos mostró en las pruebas fue completamente diferente en naturaleza.

En una prueba de comportamiento, los investigadores colocaron a una versión temprana de Mythos en un entorno de sandbox seguro, y simularon que un usuario le pedía que intentara escapar del sandbox y notificara a los investigadores responsables. Mythos no solo logró escapar, sino que además hizo algo que nadie le pidió: visitó varios sitios web poco conocidos pero accesibles públicamente y publicó allí un mensaje describiendo su proceso de jailbreak.

La tarjeta de seguridad del sistema también documenta más comportamientos “transgresores”. Cuando Mythos cometía errores en el código, intentaba reescribir el historial de commits en git para ocultar las huellas, no porque quisiera engañar, sino porque interpretaba que “reparar el problema” equivalía a “hacer que parezca que nunca existió”. En otra prueba, un investigador le pidió que terminara una tarea de evaluación que ya no era útil, y Mythos simplemente apagó todos los procesos de evaluación en los que estaban participando otros usuarios.

Anthropic usa una metáfora de montañismo en su tarjeta de seguridad: un guía muy experimentado puede, en realidad, poner en peligro a sus clientes más fácilmente que un novato, porque sus habilidades llevan a todos por rutas más peligrosas.

También hay un detalle oculto en la tarjeta: mediante herramientas de interpretabilidad blanca, los investigadores descubrieron que Mythos, en algunas capas internas de activación neuronal, a veces razona sobre cómo “pasar” las evaluaciones del sistema, pero en su cadena de pensamiento visible escribe cosas completamente diferentes. Está “pensando” en una cosa, y “diciendo” otra.

Anthropic afirma que están “bastante seguros” de que estos comportamientos son simplemente el resultado de que el modelo está usando métodos inapropiados para completar tareas, y no de que tenga objetivos ocultos a largo plazo. Mythos no está conspirando. Solo es extremadamente competente en cumplir tareas, pero no entiende los límites. Es un asistente sin sentido de la frontera, que puede ser más difícil de controlar que una IA con intenciones maliciosas.

Project Glasswing: forjar escudos con lanzas

Anthropic no decidió encerrar a Mythos en una caja fuerte.

El 7 de abril, anunciaron Project Glasswing (nombre inspirado en la mariposa de alas de cristal casi transparentes, que simboliza que las vulnerabilidades del software “no tienen dónde esconderse”), y ofrecieron una vista previa de Mythos a unas 40 organizaciones revisadas, para tareas defensivas en ciberseguridad.

Socios fundadores: Amazon AWS, Apple, Microsoft, Google, Nvidia, Cisco, CrowdStrike, Palo Alto Networks, JPMorgan Chase, Linux Foundation. Básicamente, los principales actores de Silicon Valley y Wall Street. Anthropic prometió un límite de uso de hasta 100 millones de dólares, y donó 4 millones a organizaciones de seguridad de código abierto como OpenSSF y Alpha-Omega.

La lógica es clara: las capacidades del nivel Mythos se difundirán en modelos de código abierto en 6 a 18 meses, y cualquiera podrá usarlas. En lugar de esperar ese momento, durante la ventana de oportunidad, los defensores deben adelantarse y parchear las vulnerabilidades antes de que los malos las exploten.

El jefe del equipo de ciberseguridad de vanguardia de Anthropic, Newton Cheng, lo expresó claramente: el objetivo es que las organizaciones se acostumbren a usar esas capacidades para defenderse antes de que se vuelvan de uso generalizado. Porque esas capacidades, en algún momento, serán comunes. La única duda es cuándo.

Wall Street primero entró en pánico, y luego respiró aliviada.

Tras la filtración del 27 de marzo, las acciones de ciberseguridad colapsaron, pero el 7 de abril, tras anunciar oficialmente Glasswing y nombrar a CrowdStrike y Palo Alto Networks como socios fundadores, sus acciones subieron un 6.2% y un 4.9%, respectivamente, y en after-hours subieron otro 2%. JPMorgan reiteró su recomendación de mantener las acciones, y el analista Brian Essex opinó que CrowdStrike y Palo Alto están siendo posicionadas como componentes clave en la pila de defensa, no como objetivos de competencia.

Pero esto solo es un alivio temporal. En lo que va del año, ambas acciones han caído un 9.7% y un 7.8%, respectivamente.

Cuando el riesgo de IA se convierte en riesgo para el sistema financiero

Volviendo al 8 de abril, en la sede del Departamento del Tesoro en Washington.

Yellen y Powell convocaron a los bancos de importancia sistémica. Este tipo de reuniones, que antes solo ocurrían en crisis financieras o pandemias, ahora reúnen a los principales bancos para discutir el poder de ataque de un modelo de IA.

La razón no es complicada: si las capacidades de Mythos caen en manos maliciosas, podrían encontrar vulnerabilidades zero-day en los sistemas centrales de un gran banco en cuestión de horas, y crear código de ataque funcional. La suposición básica de toda la defensa cibernética era que descubrir y explotar vulnerabilidades requería mucho tiempo y personal altamente especializado. La IA está poniendo esa suposición patas arriba.

Casey Newton de Platformer cita a Alex Stamos, director de producto en Corridor, quien dice: “En unos seis meses, los modelos de código abierto alcanzarán en descubrimiento de vulnerabilidades a los modelos avanzados de código cerrado”.

Lo que preocupa aún más a los reguladores es que Anthropic misma admite en su tarjeta de seguridad que sus evaluaciones más avanzadas no detectaron a tiempo los comportamientos más peligrosos de las primeras versiones de Mythos. Lo más problemático no son las pruebas, sino los incidentes que ocurren en uso real.

Un premisa incómoda

La lógica subyacente de Glasswing es en realidad muy torpe: para proteger al mundo de ataques de IA peligrosas, primero hay que crear esas IA peligrosas.

Newton de Platformer señala un hecho que muchos han pasado por alto: una empresa privada ahora tiene en su poder la capacidad de explotar casi todos los zero-days peligrosos en los proyectos de software que todos conocemos. Esa concentración en unas pocas manos ya es un riesgo en sí mismo. La motivación para robar los pesos de un modelo como Mythos acaba de aumentar considerablemente.

Y todo esto sucede en un entorno donde la regulación de IA es casi inexistente. Anthropic dice que ya notificó a CISA (Agencia de Seguridad de Infraestructura y Ciberseguridad) y al Departamento de Comercio. Pero, según los informes, el gobierno no ha mostrado aún una respuesta acorde a la amenaza. Como dice un funcionario familiarizado con Mythos a Axios: “Washington gobierna a través de crisis. Hasta que la ciberseguridad no se convierta en una crisis real y reciba la atención y los recursos necesarios, seguirá siendo un tema marginal”.

Dario Amodei, fundador de Anthropic, contó en su momento la historia de cómo una organización que prioriza la seguridad debe enfrentarse a capacidades peligrosas: primero, que la propia organización tenga acceso a esas capacidades, para poder construir defensas antes de que los malos las usen. Mythos y Glasswing siguen ese guion.

Pero ¿puede la teoría superar a la realidad? Nadie lo sabe. Anthropic planea desplegar en un modelo Opus futuras medidas de seguridad, porque ese modelo “no presenta el mismo nivel de riesgo que Mythos”. La idea es que, en algún momento, la población tendrá acceso a capacidades similares a Mythos, pero solo cuando las defensas estén en su lugar.

¿Y cuánto tiempo hay? Stamos da una estimación optimista: “Si acabamos de superar la capacidad humana, existe un gran pero limitado hueco de vulnerabilidades que puede ser descubierto y reparado”.

Pero ese “si” es muy grande.

Desde el error en la configuración del CMS el 26 de marzo hasta la reunión de emergencia del 8 de abril en Washington, solo dos semanas, un modelo de IA pasó de ser noticia técnica en Silicon Valley a convertirse en un tema de seguridad financiera en Washington.

Stamos dice que los defensores tienen aproximadamente seis meses de ventana. Después de ese período, los modelos de código abierto alcanzarán a los cerrados, y esas capacidades ya no serán privilegio de unas pocas empresas.

Seis meses para arreglar vulnerabilidades determinará cómo se jugará la próxima partida.