El día de su lanzamiento
Anthropic presentó recientemente Mythos, un modelo de inteligencia artificial tan avanzado en ciberseguridad, que la empresa decidió no publicarlo de forma abierta. Sin embargo, en un giro irónico, el sistema altamente restringido fue comprometido por un pequeño grupo de usuarios no autorizados el mismo día de su lanzamiento.
Según reportes de Bloomberg, los miembros de un grupo privado de Discord dedicado a rastrear modelos de IA no publicados lograron acceder a Claude Mythos Preview tras su despliegue discreto el 7 de abril de 2026. Al eludir las protecciones de uno de los sistemas de IA más vigilados de la industria tecnológica, el grupo ha pasado semanas interactuando con el modelo, lo que reabre el debate sobre la seguridad de las herramientas diseñadas para proteger la infraestructura digital.
Mythos, ¿Arma o escudo?
Claude Mythos se presentó con gran expectativa y fuertes advertencias. El sistema es capaz de identificar y explotar vulnerabilidades en los principales sistemas operativos y navegadores web cuando se le solicita, lo que lo convierte para algunos en un riesgo sistémico y para otros en la herramienta defensiva definitiva.
Por su potencial para ser usado en ciberataques a gran escala, Anthropic optó por no liberarlo públicamente. En su lugar, lanzó el programa Project Glasswing, que limita el acceso a un círculo reducido de socios corporativos y gubernamentales de confianza. Entre los evaluadores autorizados se encuentran gigantes tecnológicos como Nvidia, Google, Amazon Web Services, Apple, Microsoft y Cisco.
Las capacidades del modelo son impresionantes. Mozilla informó que Mythos ayudó a encontrar y corregir 271 vulnerabilidades en su navegador. A pesar de estos logros defensivos, el poder del sistema ha generado debate en la comunidad tecnológica. Mientras algunos ven el entusiasmo como puro marketing, expertos como Alex Zenla, CTO de Edera, advierten que los ciberataques generados por IA ya representan una amenaza real.
La tensión llega en un momento clave para Anthropic, que recientemente fue catalogada como riesgo para la cadena de suministro por el Departamento de la Defensa de EE.UU. La empresa mantiene conversaciones con la Trump administration para retirar esa etiqueta y recuperar la confianza del gobierno.
Cómo se vulneró el acceso a Mythos
El acceso no autorizado no fue producto de un ataque de fuerza bruta, sino de una combinación de acceso interno y rastreo digital.
Desde un servidor privado de Discord, el grupo utiliza bots automatizados para analizar repositorios de GitHub y otros recursos en línea en busca de pistas sobre modelos confidenciales. Según fuentes, uno de los miembros trabajaba como contratista para una empresa externa con acceso legítimo a herramientas de evaluación de Anthropic.
Con estas credenciales como punto de entrada, el grupo empleó herramientas comunes de investigación en internet para deducir la ubicación exacta del modelo. Este proceso se vio facilitado por una filtración previa de datos en Mercor, una startup de entrenamiento de IA que colabora con grandes laboratorios. Los detalles técnicos filtrados sirvieron como pistas para reconstruir la ruta hacia Mythos.
Usos cotidianos y una investigación en curso
Pese a acceder a una herramienta capaz de comprometer sistemas operativos, el grupo afirma no haberla utilizado con fines maliciosos. Según sus declaraciones, han empleado la IA para tareas simples como programar sitios web básicos, una estrategia destinada a evitar los sistemas de detección.
Para respaldar sus afirmaciones, proporcionaron capturas de pantalla y una demostración en vivo a Bloomberg. También aseguran haber accedido a otros modelos no publicados de Anthropic.
La empresa confirmó que investiga el incidente y declaró que analiza un posible acceso no autorizado a través del entorno de un proveedor externo. Por ahora, sostiene que no hay evidencia de impacto en sus sistemas principales ni de que la brecha se haya extendido más allá del entorno aislado del proveedor.
El episodio deja una advertencia clara para la industria tecnológica. En la carrera global por la inteligencia artificial, incluso las herramientas diseñadas para proteger internet pueden ser vulnerables a la creatividad humana.
Deja una respuesta