La llegada de modelos de IA como Claude Mythos está revolucionando la Ciberseguridad. En este artículo, Juan Carlos Pérez Guitián, alumno del Máster Profesional de Ciberseguridad, Ciberinteligencia y Ciberdefensa de LISA Institute, analiza cómo su capacidad para detectar vulnerabilidades y generar exploits funcionales plantea nuevos riesgos para empresas, gobiernos y sistemas críticos.
Todos los que trabajamos en Ciberseguridad sabíamos que este momento iba a llegar, que hubiera una IA que fuera capaz de entrar en muchos sistemas y que se desarrollara desde el lado del «Bien». Porque desde el lado del mal, cosas parecidas (o más peligrosas) ya estaban circulando: FraudGPT, WarmGPT o la que da más miedo, Anthorox.
➡️ Te puede interesar: Qué hacer si tus datos personales se filtran: guía paso a paso
Y podríamos pensar que estamos ante un hype más en IA, pero no se trata de eso, al menos es la conclusión que saco cuando leo el paper publicado en la página de Anthropic. Claude Mythos Preview ha sido la base de lanzamiento del proyecto «Glasswing» de Anthropic donde las más importantes compañías tecnológicas, bancarias, comercio electrónico, etc… están convocadas a evaluar este modelo. No sé las conclusiones a las que llegarán, pero ahora mismo podemos tener claro:
- Mythos es una IA que ve muchas cosas en Ciberseguridad que ni otras herramientas, u otros humanos han visto hasta ahora.
- Es, sin lugar a duda, el mejor modelo que existe para hacer ingeniería inversa de exploits, es decir, encontrar vulnerabilidades N-day en exploits funcionales y provocar con ello ataques que comprometan de verdad (más aún).
- Muchas de las vulnerabilidades detectadas vienen de hace 10 o 20 años, siendo la más antigua detectada (y parcheada) la de OpenBSD de 27 años de antigüedad.
Pero dentro de la publicación de Anthropic hay algo especialmente preocupante y que debe hacernos extremar las alertas a partir de ahora:
«Los no expertos también pueden aprovechar Mythos Preview para encontrar y explotar vulnerabilidades sofisticadas. Ingenieros de Anthropic sin formación formal en seguridad han pedido a Mythos Preview que encontrara vulnerabilidades de ejecución remota de código, y a la mañana siguiente se han despertado con un exploit completo y funcional. En otros casos, hemos visto a investigadores desarrollar andamiajes que permiten a Mythos Preview convertir vulnerabilidades en exploits sin ninguna intervención humana«.
➡️ Te puede interesar: Código rojo: por qué la ciberseguridad es la frontera más crítica del futuro
Es decir, personas neófitas en Ciberseguridad pero con malas intenciones, podrían tener en sus armas algo con un potencial realmente demoledor para encontrar vulnerabilidades y explotarlas.
Así que no es de extrañar que, después de lo ocurrido entre el Pentágono de EE.UU y Anthropic, el Gobierno Federal de EE.UU haya vuelto la vista hacia este modelo para que sea la base de sus modelos de IA. Y, en Europa, el BCE ha pedido directamente a la banca que tenga planes de contingencia listos frente a este nuevo modelo.
¿Cuál sería el mensaje que, como expertos en Ciberseguridad, deberíamos manejar?
Como he comentado antes, esto es algo que tarde o temprano iba a pasar. Por lo que debemos abordarlo desde un punto de vista sensato que nos invite a reforzar nuestras medidas frente a Mythos o cualquier otro modelo que pudiera salir en un futuro con las mismas o superiores capacidades. No será el último y no será el más avanzado que vendrá.
➡️ Te puede interesar: El modelo de ciberseguridad GPT-5.5 Cyber de OpenAI puede atacar redes corporativas de forma autónoma
Es importante seguir haciendo segmentación, Zero Trust, Early Detection y prestar más atención que nunca a los avisos que acumulemos en nuestros registros. Antes uno de esos avisos podría ser inocuo, con Mythos podría ser un Zero-day que ese modelo o cualquier otro actor lo estuviera intentando explotar.
Es decir, que la IA será, en el futuro cercano, no sólo nuestra ayuda para hacer las cosas más rápidas, más automatizadas sino será parte de la superficie de ataque que tendremos que considerar. Típico caso de «doble agente» pero que puede llegar a ser enormemente dañino por las nuevas capacidades que comporta.
Por último, decir que Claude Mythos es el inicio de una serie de modelos con unas capacidades en Ciberseguridad (ofensiva y defensiva) que serán impresionantes, por lo que estamos en el punto exacto en que debemos anticipar estas amenazas, en especial, incluyendo la gobernanza de la IA como parte de la gobernanza de la Ciberseguridad de las empresas.
➡️ Si quieres ser un experto en Ciberseguridad, te recomendamos el siguiente curso formativo:
