✨︎ Resumen (TL;DR):
- Anthropic presentó Claude Mythos Preview, un modelo capaz de descubrir y explotar vulnerabilidades de software de forma autónoma.
- La IA generó exploits funcionales en el 72% de las pruebas y detectó un bug de hace 27 años en el sistema OpenBSD.
- El descubrimiento provocó reuniones de emergencia entre el Tesoro de EE. UU., el FMI y directivos bancarios globales.
Claude Mythos Preview es un modelo de inteligencia artificial que identifica y explota vulnerabilidades informáticas de forma autónoma. Anunciado por Anthropic el 7 de abril, el sistema encendió las alertas de gobiernos y entidades financieras por su capacidad sin precedentes para penetrar defensas digitales y escalar privilegios.
En lugar de lanzar el modelo al público, Anthropic restringió el acceso mediante Project Glasswing, un consorcio defensivo que agrupa a corporaciones como Apple, Google, Microsoft, AWS, NVIDIA y JPMorgan Chase. La compañía respaldó esta barrera con 100 millones de dólares en créditos de uso y 4 millones de dólares en donaciones para grupos de seguridad open-source.
Durante las pruebas internas, la IA encontró vulnerabilidades de día cero en los principales navegadores y sistemas operativos. Incluso localizó un bug de 27 años de antigüedad en la plataforma OpenBSD. Mientras que su predecesor, Claude Opus 4.6, lograba exploits exitosos en menos del 1% de los casos, Mythos alcanzó un 72% de efectividad.
Riesgo sistémico para la infraestructura financiera
El 13 de abril, el Instituto de Seguridad de IA del Reino Unido (AISI) comprobó que Mythos resuelve retos de captura la bandera (nivel experto) con un 73% de precisión, una marca que se estimaba inalcanzable hasta 2025. También fue la primera IA en superar “The Last Ones”, un simulacro de ataque corporativo de 32 pasos, tomando el control total de la red en 3 de cada 10 intentos.
Esta escalada tecnológica sacudió la banca. El secretario del Tesoro de EE. UU., Scott Bessent, organizó una reunión de emergencia con directores de bancos y el presidente de la Reserva Federal, Jerome Powell, según reportó The New York Times.
El CEO de JPMorgan, Jamie Dimon, confirmó que la IA detectó fallos no identificados previamente durante las auditorías de su propio banco. “La IA lo ha empeorado, lo ha hecho más difícil”, advirtió el directivo en su llamada de ganancias.
Por su parte, la directora del FMI, Kristalina Georgieva, alertó el 12 de abril en el programa Face The Nation de CBS News: “No tenemos la capacidad —nosotros como mundo— para proteger el sistema monetario internacional contra riesgos cibernéticos masivos”.
El impacto del modelo movilizó a múltiples autoridades e investigadores:
- El Bank of England programó reuniones urgentes con la Autoridad de Conducta Financiera y el Centro Nacional de Seguridad Cibernética de la región.
- Cloud Security Alliance, el Instituto SANS y OWASP advirtieron que las organizaciones probablemente se verán abrumadas ante la velocidad operativa de estas amenazas.
- El AISI aclaró que estas evaluaciones carecieron de herramientas defensivas activas propias de un entorno real, por lo que el potencial ofensivo definitivo de Mythos aún está bajo análisis.
El CEO de Anthropic, Dario Amodei, dimensionó la gravedad del hallazgo mediante una publicación en X: “Los peligros de hacer esto mal son obvios, pero si lo hacemos bien, hay una oportunidad real de crear un internet fundamentalmente más seguro”.
Fuentes: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24, 25, 26, 27, 28, 29, 30, 31, 32, 33, 34, 35, 36, 37, 38, 39, 40, 41, 42, 43, 44, 45, 46, 47, 48, 49, 50
