EscucharImagine que cualquier persona sin conocimientos técnicos pueda solicitar a una inteligencia artificial que busque las debilidades de seguridad de un sistema e identifique brechas nuevas de seguridad no reportadas. Esa escena, que hace apenas dos años pertenecía al terreno de la ciencia ficción, es hoy una realidad documentada. En abril de 2026, Anthropic reveló que su modelo Claude Mythos había alcanzado un nivel de capacidad en ciberseguridad tan elevado que la compañía decidió no comercializarlo de forma abierta. La pregunta ya no es si la inteligencia artificial cambiará el panorama de las amenazas digitales. La pregunta es: ¿está su empresa preparada para lo que ya está ocurriendo?
Un modelo demasiado poderoso para liberarse, pero que ya ha sido accedido de forma no autorizada
Ante la magnitud del riesgo, Anthropic optó por no comercializar Mythos en su versión completa. En su lugar, lanzó el Proyecto Glasswing: un consorcio selecto de empresas tecnológicas y más de 40 organizaciones que desarrollan o mantienen software crítico, con acceso monitorizado a una variante del modelo denominado Mythos Preview. El navegador Mozilla Firefox reportó en abril que logró identificar y arreglar 271 vulnerabilidades en una semana gracias a este nuevo modelo. Sin embargo, ya se ha reportado que este modelo Mythos ha sido accedido de forma no autorizada. Es solo cuestión de meses para que los atacantes tengan acceso a capacidades similares y lo utilicen de forma masiva contra cualquier empresa.
¿Qué significa esto para quien dirige una empresa?
El primer error que cometen muchas organizaciones es tratar la ciberseguridad como un problema tecnológico delegable. La evidencia apunta en otra dirección: es un riesgo de negocio de primer orden que requiere atención activa y constante de la alta dirección. Más del 60% de las organizaciones señalan que las tensiones geopolíticas ya han modificado sus estrategias de ciberseguridad, según el Informe Global de Perspectivas en Ciberseguridad 2026 del Foro Económico Mundial. La amenaza no proviene únicamente de grupos criminales organizados, sino también, de actores estatales y atacantes solitarios.
El informe de Estadísticas de vulnerabilidades de Edgescan de 2025 reveló que, en promedio, más del 45% de las vulnerabilidades de seguridad identificadas en grandes organizaciones permanecen sin corregir doce meses después de su descubrimiento. El estado actual de la inteligencia artificial va a incrementar el impacto negativo dado que va a permitir atacar de forma automática a las empresas que aún no tienen la capacidad de remediar las vulnerabilidades conocidas.
Las nuevas caras del riesgo en la era de la IA ofensiva
Mythos no explota vulnerabilidades de forma aislada: las encadena de manera autónoma hasta lograr el control total del sistema, comprimiendo al mínimo el tiempo de respuesta. Al mismo tiempo, los atacantes están aprovechando el firmware obsoleto y el software, legado que las organizaciones dejaron de monitorizar hace años. Y más allá de lo técnico, la misma IA puede generar phishing personalizado y suplantar identidades con precisión, convirtiendo el factor humano en el flanco más difícil de defender.
¿Qué puede hacer su organización desde hoy?
Eleve la ciberseguridad al nivel de la dirección. La gestión del riesgo de ciberseguridad no puede delegarse únicamente al área de tecnología. El director ejecutivo (ceo) y el consejo directivo deben tener visibilidad constante sobre la postura de seguridad de la organización y participar activamente en la definición de prioridades.
Audite su superficie olvidada. Encargue un inventario completo de todos los sistemas activos en su organización, con énfasis en software sin soporte vigente, firmware de dispositivos de red y aplicaciones heredadas. Establezca un plan de actualización con plazos concretos.
Construya una defensa en profundidad y capacidad de monitoreo. Un solo perímetro de seguridad ya no es suficiente. La estrategia debe contemplar capas de control, desde el acceso a la red hasta el comportamiento de cada usuario, con monitorización continua y capacidad de respuesta automatizada ante anomalías.
Use IA para defender, no solo para optimizar. Las mismas capacidades que hacen a modelos como Mythos peligrosos en manos equivocadas pueden emplearse para identificar vulnerabilidades propias antes que los atacantes. Evalúe qué herramientas de análisis de seguridad impulsadas por IA son adecuadas para el tamaño y sector de su organización.
Forme a su equipo humano. La primera línea de defensa contra la ingeniería social amplificada por IA sigue siendo una cultura organizacional crítica y alerta. Invierta en programas de concientización que enseñen a los colaboradores a identificar intentos de manipulación, incluso, cuando provienen de comunicaciones que parecen perfectamente legítimas.
Respuesta medida, no reacción automática
Claude Mythos no es una alarma, es un punto de inflexión. La pregunta que todo líder empresarial debe responder —sin delegarla— es si realmente conoce el estado de ciberseguridad de su empresa y qué tan rápido puede la organización reaccionar a ataques. Otros actores desarrollarán capacidades equivalentes independientemente de lo que haga Anthropic, por lo que, la amenaza no esperará. Las organizaciones mejor posicionadas no serán las más grandes, sino, las que decidan hoy tratar la ciberseguridad como un asunto de dirección. ¿Está la suya entre ellas?
---
El autor es socio de la firma Brakk Ciberseguridad.
