Claude Mythos, la inteligencia artificial que da miedo: garantiza la seguridad en ciberataques, pero en manos equivocadas es un riesgo letal

Claude Mythos es el arma contra los ciberataques de inteligencia artificial que solo pueden usar unos pocos y que da miedo. Es una herramienta tan poderosa que hasta sus creadores han optado por no ponerla, de momento, al alcance de todo el mundo.

Es la última creación de Anthropic, una de las empresas más importantes de Inteligencia Artificial. Claude Mythos tiene el poder de detectar vulneabilidades en sistemas de software. Agujeros de seguridad, incluso en sistemas digitales que llevaban años funcionando, sin ser descubiertos. Este modelo acaba con la dinámica sobre la que se basaba la ciberseguridad. Los ataques se producían a una velocidad a la que se podían corregir. Mythos detecta esas debilidades de forma automática, pero también permite aprovecharlas. En manos equivocadas puede provocar graves problemas de seguridad.

Durante el período de pruebas, Anthropic encerró a Mythos en un entorno aislado, una jaula digital diseñada para que ningún modelo de inteligencia artificial pudiera escapar. Mythos escapó. Después mandó un mail al investigador a cargo para avisarle que había escapado. Mythos posteó los detalles de su propia fuga en sitios públicos difíciles de encontrar. Y en otras pruebas, cuando encontró una forma de editar archivos que no debería haber podido tocar, hizo modificaciones extra para asegurarse de que esas ediciones no aparecieran en el historial de cambios. Borró sus propias huellas. Anthropic no lo define como un error técnico. Lo define como capacidad operando sin límites de objetivo suficientes, señala el Financial Times.

Pero Mythos hizo mucho más que eso, que no es poco. Encontró un agujero de seguridad en OpenBSD, el sistema operativo que la industria usa como referencia. Lo usan cortafuegos corporativos, servidores críticos, infraestructura del propio internet... Está auditado obsesivamente. Miles de expertos lo han revisado durante años. Lo cierto es que el fallo llevaba ahí 27 años y nadie lo vio nunca. Mythos, sí.

Esto afecta todo: la infraestructura crítica, el sistema bancario internacional (el Fondo Monetario Internacional y el Banco Mundial debatieron exactamente esto la semana pasada), las bases de datos médicas, los sistemas electorales, los reactores nucleares.

Según ha informado el director ejecutivo de la compañía, Dario Amodei, Mythos posee una capacidad analítica tan elevada que ha detectado vulnerabilidades críticas en el código que sostiene gran parte de la infraestructura digital actual. La decisión de no publicarlo responde a que, en manos de ciberdelincuentes, estas capacidades podrían utilizarse para ejecutar ataques sistémicos de forma automatizada.

En sus pruebas internas, Mythos Preview ha descubierto miles de vulnerabilidades de alta gravedad, incluidas brechas en todos los grandes sistemas operativos y navegadores web. Anthropic advierte de que, al ritmo actual de progreso de la IA, no tardarán en proliferar modelos con capacidades similares fuera del control de actores comprometidos con un uso responsable, lo que podría tener "consecuencias graves para la economía, la seguridad pública y la seguridad nacional", según un comunicado de Anthropic.

Por ese motivo se ha distribuido de forma restringida a un pequeño grupo de empresas de finanzas, de seguridad, de software para que lo utilicen para reforzar sus sistemas de seguridad. Este movimiento es un arma de doble filo. ¿Da más poder a estas empresas, deja desprotegidas a las que se quedan fuera? Hasta la Casa Blanca está en contacto con Anthropic para que las agencias federales puedan usar Mythos. El Gobierno de Trump ya se enfrentó con esta empresa hace unas semanas a cuenta del uso de sus herramientas.

El portavoz de Soberanía Tecnológica y Defensa de la Comisión Europea, Thomas Regnier, ha confirmado que ha mantenido ya una reunión con Anthropic al respecto con el fin de tener información sobre potenciales peligros vinculados al nuevo modelo, añadiendo que se espera mantener más encuentros con la plataforma.

La Asociación de Bancos Alemanes (Bankenverband) ha confirmado estar manteniendo contactos sobre este asunto con las entidades alemanas, así como con el Ministerio Federal de Finanzas (BMF), la Autoridad Federal de Supervisión Financiera (BaFin) y el Bundesbank.

El presidente de la Reserva Federal (Fed), Jerome Powell, y el secretario del Tesoro de EEUU, Scott Bessent, convocaron la semana pasada una reunión de urgencia con los directivos de Bank of America, Citigroup, Goldman Sachs, Morgan Stanley y Wells Fargo. El objetivo de este encuentro fue estudiar los riesgos asociados a Mythos, ante la posibilidad de que una IA de este calibre pueda ser utilizada para identificar brechas en los sistemas de liquidación de activos, manipular algoritmos de alta frecuencia o vulnerar la seguridad de las transacciones internacionales.

Anthropic ha puesto en marcha Project Glasswing para anticiparse a escenarios negativos

Anthropic ha puesto en marcha Project Glasswing, una iniciativa que reúne a Amazon Web Services, Anthropic, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, Linux Foundation, Microsoft, Nvidia y Palo Alto Networks con el objetivo de proteger el 'software' "más crítico" del mundo. Con este proyecto, Anthropic pretende anticiparse a un escenario negativo y poner estas capacidades al servicio de la defensa, no del ataque.

La compañía ha extendido el acceso a más de 40 organizaciones adicionales que desarrollan o mantienen infraestructuras de software críticas, para que puedan emplear el modelo en escanear y asegurar tanto sistemas propios como proyectos de código abierto.

El jefe de la compañía, Dario Amodei se negó a que se usara sin restricciones en labores de vigilancia masiva o en armas autónomas. Como consecuencia del enfrentamiento, la compañía ha sido designada como proveedor de riesgo. El asunto está en los tribunales, pero es otra señal de alerta sobre la falta de regulación en una tecnología que avanza de forma vertiginosa.