En abril, Mozilla corrigió 423 fallos de seguridad en Firefox. La cifra importa menos por su magnitud que por su contraste: durante todo 2025, el ritmo medio se había mantenido en una banda de veinte a treinta bugs al mes. El salto se explica por la construcción un sistema agéntico con varios modelos de IA (entre ellos y como estrella Claude Mythos Preview) y dejarlo analizar el navegador en busca de vulnerabilidades reproducibles.

Para que luego digan que la inteligencia artificial no está mejorando la productividad.

La misma semana en que se publicaba ese post, el kernel de Linux ardía: dos fallos críticos consecutivos, encontrados con asistencia de IA en cuestión de horas, afectaban a parte de los servidores Linux desplegados en los últimos nueve años y que en algún caso ya estaban siendo explotados (por actores iraníes en un caso, en producción, según Microsoft, en el otro) antes de que existiera un parche aplicable.

La Fundación Linux también tiene acceso a Mythos, pero no ha comunicado todavía su integración en el proceso de desarrollo del kernel. El contraste, en todo caso, creo que invita a pensar que el momento en que la inteligencia artificial cambia para siempre la ciberseguridad es ahora y no cuando se despliegue por completo el nuevo modelo de Anthropic.

Mythos es real, pero la llave la tiene Anthropic

Al mantenerlo en privado, Anthropic ha dado pie a un cierto escepticismo sobre sus proclamas sobre Claude Mythos en materia de ciberseguridad. En mi caso, me parece menos creíble que media industria se haya conjurado para exagerar sus capacidades y hacerle gratis la campaña de marketing y, a la vista de evaluaciones como las de Metr, creo que cabe concluir que sus capacidades son reales.

Antonio Ortiz@antonello

La gente de METR he evaluado una versión temprana de Claude Mythos y tremendo puñetazo encima de la mesa. METR mide capacidades de modelos IA estimando la duración de las tareas técnicas que puede resolver con cierta probabilidad de éxito, comparándolas con cuánto tiempo

10:03 AM · May 9, 2026 · 8.98K Vistas

---

4 Respuestas · 20 Reenvíos · 65 Me gusta

Que la NSA lleve semanas usando Mythos (según filtró Axios) pese a que el Pentágono mantiene formalmente a Anthropic en su lista de proveedores de riesgo, añade otra capa de validación que ningún departamento de marketing podría comprar. No todos los días tu mayor enemigo se la envaina y pasa por el aro de adoptar tu solución.

En este episodio de monos estocásticos lo discutimos: la gobernanza de una herramienta de ciberseguridad de primer orden la están decidiendo un puñado de grandes empresas tecnológicas estadounidenses. En la Unión Europea preocupa quedarse atrás en un tema que no sólo afecta a los estados y su seguridad, sino a todos los sectores industriales y a millones de proyectos de código abierto.

La otra mitad del cuadro: el informe de Google

Para devolvernos al presente, Google acaba de publicar un informe que documenta con detalle la transición de los crackers hacia el uso de inteligencia artificial a escala industrial dentro de operaciones ofensivas. Por primera vez, Google identifica a un actor criminal utilizando inteligencia artificial para explotar un problema de seguridad zero-day: un script que evade la autenticación de doble factor de una “popular herramienta de administración web” (que por razones de seguridad no identifican).

Sus hallazgos no se quedan sólo en eso. Además apuntan a la escalada en el uso de la IA por parte de China y Corea del Norte: los ciberdelincuentes y crackers de esos países, obviamente, ya están utilizando la IA para encontrar vulnerabilidades y el desarrollo de exploits. Cada vez hay más malware autónomo: los atacantes están utilizando OpenClaw y otras herramientas agénticas para llevar a cabo tareas de reconocimiento contra sus objetivos y orquestar otras operaciones. Terminan con el asunto de las campañas de desinformación rusas denunciando el uso de la clonación de voz por IA para suplantar a periodistas reales y difundir desinformación en EE. UU., Ucrania y Francia.

Su analista jefe afirma que "esto es solo la punta del iceberg".

La ciberseguridad ya no funciona como antes

Himanshu Anand, un investigador de seguridad que lleva divulgando desde mucho antes del actual ciclo de hype, ha condensado el cambio en un post que merece la pena leer entero.

Su tesis es que el modelo clásico en ciberseguridad de "divulgación responsable a 90 días" fue diseñado para un mundo donde encontrar bugs era difícil y desarrollar exploits era lento. La nueva generación de inteligencia artificial ha colapsado ambos tiempos a casi cero, dejando obsoleto ese modelo.

Según Anand, los supuestos del viejo mundo que podemos dar por rotos serían:

• Que, cuando encuentras un fallo de seguridad, probablemente seas el único o el primero.

• Que el fabricante conserve una ventaja temporal suficiente para parchear a su ritmo.

• Que tras el parche, los atacantes necesiten días o semanas para crear un exploit y que el resto de la industria pueda planificar la actualización.

¿Y cómo es el nuevo mundo de la ciberseguridad? Uno en el que se exige tratar toda vulnerabilidad crítica como prioridad cero y parchear ya, no en el próximo sprint. El creador del software tiene que actuar de inmediato también: debe iniciar la corrección cuando llega el reporte. Los investigadores deben pedir ventanas más cortas antes de avisar en abierto (nada de 90 días, pasar a unos pocos), y la gestión de vulnerabilidades debe operar en tiempo real.

Una aceleración total de todo el proceso, un estrés inducido por la aparición de los sistemas agénticos de inteligencia artificial. Discutía con Juan Lupión un aspecto del nuevo mundo de la ciberseguridad: no se va a lanzar software a producción sin una revisión a fondo por parte de herramientas de IA de primer nivel.

Es una carrera armamentística de atacantes y defensores, ambos con inteligencia artificial, en un nuevo escenario en el que es seguro que vendrán grandes facturas para las empresas que quieran contar con los mejores agentes. Anthropic con Mythos, por tanto, ha conseguido la mejor campaña de marketing de la historia.

Hemos pasado de un comienzo de 2025 en el que la queja era que los LLM generaban demasiadas alertas de seguridad falsas, alucinaban errores y por tanto hacerles caso llevaba a la improductividad por pérdida de tiempo…

… a un 2026 en el que los agentes IA detectan problemas que pasaban desapercibidos antes y arman herramientas para explotarlos en cuestión de horas cuando no en minutos.

Como en otros sectores, el problema de la inteligencia artificial ha pasado, a velocidad de vértigo, de ser “es demasiado mala, se equivoca mucho” a “es demasiado buena”.