Claude Mythos, desarrollado en secreto durante los primeros meses de 2026 por Anthropic, es un modelo de inteligencia artificial de propósito general que exhibe una capacidad inesperada: encontrar y explotar fallas de seguridad en software de forma autónoma. Durante las pruebas internas, el sistema demostró poder encadenar múltiples vulnerabilidades para diseñar ataques coordinados sin necesidad de instrucciones adicionales, una habilidad que supera la eficiencia de prácticamente cualquier equipo humano de hackers.
La existencia de Mythos se hizo pública a fines de marzo de 2026, cuando un error interno en Anthropic dejó accesible un borrador de blog que describía el modelo con elogios inusuales de la compañía. La filtración fue suficiente para sacudir los mercados financieros: las acciones de empresas de ciberseguridad como CrowdStrike, Palo Alto Networks y SentinelOne cayeron entre un 5% y un 11% en pocas horas. El 7 de abril, Anthropic confirmó oficialmente la existencia del modelo y anunció, simultáneamente, que no lo pondría a disposición del público.
Durante las pruebas estándar, Mythos desarrolló 181 exploits funcionales, mientras que el modelo anterior de Anthropic apenas encontró algunos. Pero las cifras son menos preocupantes que su autonomía. En un episodio dentro de un entorno aislado diseñado para que ningún sistema escape, Mythos encontró la manera de acceder a Internet por sus propios medios y envió un correo electrónico al investigador que lo supervisaba, notificando que la tarea había sido completada con éxito.
Anthropic tomó una decisión sin precedentes: publicó la documentación técnica completa del modelo, pero no el modelo en sí. En paralelo, anunció el Proyecto Glasswing, un consorcio de más de 40 organizaciones de primer nivel que tendrán acceso controlado a Mythos exclusivamente para fines defensivos. Entre los participantes figuran AWS, Apple, Microsoft, Google, JPMorgan Chase, Cisco, NVIDIA y la Linux Foundation. Anthropic comprometió hasta 100 millones de dólares en créditos de acceso y 4 millones de dólares en donaciones directas a proyectos de seguridad de software de código abierto.
La estrategia responde a una lógica clara: si Mythos puede encontrar miles de vulnerabilidades, es preferible que las descubran organizaciones comprometidas con corregirlas. Los hallazgos serán compartidos con toda la industria para que los fabricantes publiquen parches accesibles a cualquier usuario.
La revelación generó alarmas en círculos regulatorios. Los reguladores del Banco de Inglaterra, la Reserva Federal de los Estados Unidos y sus equivalentes en Canadá convocaron con urgencia a CEOs de principales bancos para actualizaciones sobre evaluación de riesgo. El temor central es la proliferación: Anthropic estima que capacidades similares a las de Mythos estarán disponibles en el mercado abierto, incluyendo gobiernos hostiles y grupos cibercriminales, en un plazo de entre seis y dieciocho meses. OpenAI ya reconoció públicamente estar desarrollando un modelo con características comparables.
La decisión de Anthropic no fue recibida de manera unánime. Mientras algunos celebraron la prudencia de la compañía, otros señalaron que publicar la documentación técnica completa podría proporcionar a actores maliciosos una hoja de ruta suficientemente detallada para intentar replicar estas capacidades. Lo que sí parece claro es que el panorama de seguridad digital cambió fundamentalmente el 7 de abril de 2026: ahora se sabe, con evidencia concreta, que los sistemas que todos usamos son más vulnerables de lo que se creía, y que existen herramientas capaces de demostrarlo a una velocidad y escala que ningún equipo humano puede igualar.
