La aparición de Mythos abrió una señal de alerta en el sector tecnológico y dejó al descubierto un problema mucho más amplio que el lanzamiento de una nueva herramienta de IA. Lo que en un primer momento asomó como un avance para fortalecer la ciberseguridad terminó por instalar dudas sobre el impacto que una tecnología de este tipo puede tener en empresas, mercados y sistemas informáticos sensibles.
La preocupación se encendió cuando Anthropic optó por frenar su lanzamiento masivo a raíz de los riesgos que detectó durante las pruebas. La empresa mostró primero una versión preliminar a un grupo reducido de usuarios, pero después descartó una apertura más amplia. Y la razón fue contundente. Sus propios testeos indicaron que la herramienta podía encontrar fallas de software con una eficacia muy alta y, al mismo tiempo, poner en riesgo las defensas digitales. Ese escenario sacudió al sector y luego se reflejó en Wall Street, con una baja en las acciones de ciberseguridad.
Mythos surgió como una apuesta para fortalecer la seguridad informática, pero en apenas unos días instaló una inquietud distinta. Si un modelo podía identificar miles de vulnerabilidades, varias de alta gravedad, esa misma capacidad podía utilizarse para proteger sistemas o para facilitarles el ingreso a atacantes con recursos bastante menores que antes. Esa fue la razón central por la que Anthropic no avanzó con una apertura general.
El primer anuncio llegó con acceso restringido
A diferencia de otros modelos de IA, Claude Mythos quedó delimitado desde su presentación a un uso mucho más restringido. Anthropic lo lanzó como una versión preliminar con acceso limitado para un grupo acotado de usuarios, entre socios seleccionados y equipos dedicados a la ciberseguridad defensiva. También lo integró a Project Glasswing, un programa pensado para evaluar estas capacidades en un marco cerrado, lejos de un despliegue comercial convencional.
Esa decisión marcó su perfil desde el arranque. Mythos Preview no apareció como una herramienta orientada al público general ni a tareas de productividad, sino como un sistema enfocado en detectar errores de software y analizar vulnerabilidades complejas.
Los primeros textos sobre su presentación señalaron ese punto y remarcaron, además, su capacidad de programación para este tipo de trabajos. El acceso quedó habilitado por canales empresariales concretos, como Claude API, Amazon Bedrock, Google Cloud Vertex AI y Microsoft Foundry.
En apenas unas semanas, Mythos detectó miles de vulnerabilidades zero-day, varias de ellas de gravedad alta. El propio material difundido por la empresa incluyó un caso que permitió medir el alcance de ese rendimiento. El modelo identificó una falla que permitía derribar una máquina con solo conectarse a ella, un error que, según esa descripción, había permanecido oculto durante 27 años de revisión humana.
Esos resultados modificaron la lectura sobre el modelo. La conversación dejó de girar únicamente alrededor de su capacidad para encontrar fallas de software y pasó a concentrarse en otro punto mucho más sensible, el riesgo de que esa misma potencia se utilizara para ataques informáticos.
Si una empresa de IA resolvía restringir el acceso a una herramienta por su capacidad para descubrir vulnerabilidades con tanta precisión, el sector entraba en una instancia mucho más delicada.
En ese marco, Project Glasswing pasó a ser una pieza central de la historia. La iniciativa quedó asociada al plan de despliegue de Mythos Preview y a la idea de poner esas capacidades en manos de organizaciones seleccionadas para trabajos defensivos y bajo un esquema de acceso cerrado.
En medio de ese escenario, Project Glasswing se volvió una pieza decisiva. El programa quedó asociado al despliegue controlado de Mythos Preview y a la idea de restringir esas capacidades a un grupo acotado de organizaciones, bajo un esquema cerrado y orientado a tareas defensivas.
La dimensión del freno se entendió mejor a partir de una reconstrucción que publicó Bloomberg. En una revisión interna realizada en febrero, Nicholas Carlini, investigador al que Anthropic contrató para poner a prueba sus sistemas, accedió a Mythos con un objetivo concreto: medir hasta dónde podía causar daño.
Según esa nota, la empresa le encarga ensayos vinculados con espionaje, robo y sabotaje, y el resultado encendió más alarmas. Carlini quedó impactado por las capacidades del modelo y hasta expertos de la propia Anthropic advirtieron que Mythos podía atacar capas de software sobre las que funciona buena parte de la computación moderna.
El lanzamiento quedó en pausa
Con esos resultados, Anthropic resolvió frenar el avance de Claude Mythos. Para el 13 de abril, ya estaba claro que la compañía no iba a habilitar el acceso al público general, porque las pruebas internas habían encendido una alarma seria sobre su capacidad para comprometer ciberdefensas.
A partir de ese punto, el debate dejó de centrarse en el potencial del modelo para detectar errores de software y pasó a enfocarse en un riesgo mucho más sensible, qué podía pasar si una herramienta de ese nivel quedaba disponible con menos controles.
La misma tecnología que servía para identificar vulnerabilidades también podía elevar el riesgo de ataques a gran escala si caía en manos equivocadas. Por eso, Anthropic modificó su plan antes de avanzar con una apertura más amplia de Mythos.
Ese dato también sirvió para corregir una confusión que circuló en el mercado. Mythos no fue un producto que Anthropic lanzó de forma masiva y después retiró. La herramienta quedó dentro de una etapa de prueba cerrada, con acceso selectivo, y nunca llegó a una disponibilidad general porque el propio proceso de evaluación cambió la hoja de ruta de la compañía. El quiebre se produjo cuando quedó en evidencia el riesgo de abrir una IA con ese nivel de capacidad.
El golpe sobre las acciones de ciberseguridad
La reacción en Wall Street fue inmediata. Para el 14 de abril, el impacto ya se reflejaba en las acciones del sector. El fondo iShares Cybersecurity ETF cayó 4,5% y varias compañías de referencia sufrieron bajas marcadas. CrowdStrike perdió 7%, Palo Alto Networks retrocedió 6%, Zscaler y SentinelOne bajaron cerca de 6% cada una, mientras Okta y Netskope cedieron más de 7%.
La caída no respondió a ventas concretas de Mythos ni a una llegada comercial inmediata. El mercado leyó un riesgo más profundo. Si una IA podía detectar fallas de software a una velocidad inédita, parte del negocio de varias firmas de ciberseguridad quedaba bajo presión.
A eso se sumó una amenaza todavía más sensible, que esa misma capacidad achicara costos y barreras para atacantes, grupos criminales e incluso gobiernos.
El debate también se extendió a bancos, organismos públicos y grandes compradores de tecnología, que empezaron a medir qué implicaba una herramienta capaz de afectar las capas de software que sostienen buena parte de la infraestructura informática actual.
La discusión quedó atravesada por dos miradas. Por un lado, aparecieron quienes vieron en Mythos la posibilidad de una ola de ataques asistidos por IA mucho más difícil de frenar. Por otro, quedaron quienes sostuvieron que una herramienta de ese nivel también podía fortalecer la defensa, siempre que operara bajo controles estrictos y en entornos cerrados. Esa tensión ayudó a explicar por qué la reacción del mercado fue tan brusca incluso sin un lanzamiento masivo.
Mythos mostró hasta dónde puede llegar una IA avanzada en la detección de vulnerabilidades graves, y esa misma potencia hizo que imposible justificar una liberación amplia.
En los hechos, Anthropic frenó Mythos porque su desempeño supuso un riesgo demasiado alto. La empresa dio marcha atrás por la magnitud de lo que podía hacer en un terreno sensible, donde la distancia entre reforzar las defensas y facilitar los ataques quedó demasiado corta.
*Nota con información de Forbes US
*Imagen de portada: Wikimedia Commons.
