Mythos: cuando la IA despierta recelos y obliga a mirar de frente el riesgo

Anthropic ha puesto sobre la mesa un nuevo dilema: un modelo llamado Claude Mythos que, según la propia empresa, ha demostrado una destreza inusitada para localizar y explotar fallos en software, incluso en código antiguo de décadas. No es una sospecha velada: la compañía afirma que Mythos "ya ha encontrado miles de vulnerabilidades de alta gravedad" y que puede identificar fallos críticos con poca supervisión.

Esa afirmación ha encendido focos de alarma en quienes velan por la estabilidad digital y financiera. Ministros de Finanzas, gobernadores de bancos centrales y reguladores han trasladado inquietud sobre lo que esta capacidad puede significar para la seguridad de los sistemas financieros. El asunto llegó incluso a una reunión del Fondo Monetario Internacional, donde, según declaraciones recogidas, el proyecto fue descrito como una "incógnita desconocida" que merece la atención de todos los ministros de finanzas.

Anthropic no dejó Mythos en la plaza pública. Optó por un acceso restringido: el Proyecto Glasswing, por el que un grupo selecto de empresas tecnológicas —entre ellas gigantes de la nube, fabricantes de dispositivos y de chips— han podido evaluar el modelo con la intención declarada de reforzar la protección del software más crítico. Ese gesto habla a la vez de prudencia y de responsabilidad corporativa; también plantea preguntas sobre transparencia y control público cuando la naturaleza del riesgo es sistémica.

Los expertos en ciberseguridad responden con una mezcla de reconocimiento y cautela. Algunas voces señalan que las capacidades descritas son "sorprendentes" y que, en ocasiones, Mythos ha detectado vulnerabilidades que llevaban décadas sin solución. Otros analistas, sin embargo, advierten del escepticismo lógico: muchas de esas afirmaciones aún no han podido ser verificadas por equipos independientes.

No es menor que entre las organizaciones con acceso figuren empresas cuya tecnología mantiene infraestructura crítica global. Ni que actores del ecosistema de ciberseguridad hayan tenido experiencias previas con herramientas y actualizaciones que generaron interrupciones significativas. El mensaje, claro y perturbador, es doble: la IA puede acelerar la identificación de fallos que exigen parche inmediato, pero esas mismas herramientas, en manos equivocadas o sin controles adecuados, podrían facilitar su explotación.

Ante ese panorama se impone una decisión colectiva: no bajar la guardia, exigir transparencia y combinar la audacia tecnológica con mecanismos de supervisión robustos. Si Mythos es realmente tan eficaz como se afirma, estamos ante una oportunidad para reforzar defensas; si lo es menos, la prudencia habrá sido igualmente necesaria. En caso contrario, la inacción sería un lujo que ningún sistema financiero ni sociedad puede permitirse.

La discusión ya ha comenzado en los pasillos del poder y en los foros técnicos. La Unión Europea, bancos centrales y otros interlocutores han iniciado conversaciones con Anthropic. Que así sea: la ciencia y la industria deben ir adelante, pero no a cualquier precio. Cuando una herramienta puede acelerar tanto la cura como la herida, corresponde al Estado, a las empresas y a la comunidad técnica trazar límites claros y protocolos de responsabilidad que protejan lo público sin estrangular la innovación.