Newsletter
Suscribite
    ¡Hola!
    Cuenta

© 2026. Forbes Argentina.
Todos los derechos reservados.

Forbes Argentina
Innovacion

(Photo by Jakub Porzycki/NurPhoto via Getty Images)

Por qué la supuesta brecha de seguridad en Claude Mythos plantea interrogantes sobre la seguridad de la IA

Tim Keary

Share

El episodio puso el foco en un problema menos visible y cada vez más urgente: ¿quién controla realmente el acceso a las herramientas más poderosas del sector?

27 Abril de 2026 15.38

Según un informe que Bloomberg publicó el martes, un grupo de usuarios no autorizados accedió al modelo Claude Mythos de Anthropic el mismo día en que la empresa lo anunció. Según se informó, esos usuarios integran un grupo de Discord que busca información sobre modelos de IA todavía no publicados.

El informe indica que uno de esos usuarios tenía acceso privilegiado por su condición de empleado de una empresa subcontratada por Anthropic.

Solicité comentarios a la empresa sobre el incidente y un vocero respondió por correo electrónico: “Estamos investigando un informe que alega acceso no autorizado a Claude Mythos Preview a través de uno de nuestros entornos de proveedores externos”, señaló. La compañía también afirmó que, por ahora, no encontró evidencia de que la actividad reportada se extienda más allá del entorno del proveedor externo ni de que los sistemas de Anthropic se hayan visto comprometidos.

De todos modos, este presunto incidente pone de manifiesto el riesgo de que personas no autorizados apunten contra modelos de IA de vanguardia. Si bien Bloomberg señala que los usuarios no parecen haber actuado con mala intención, si modelos potentes como Mythos cayeran en manos de una banda cibernética o de un Estado, podrían surgir graves problemas de seguridad para las empresas.

Las empresas de IA de vanguardia necesitan seguridad de vanguardia

La noticia llega apenas dos semanas después de que Anthropic anunciara Claude Mythos Preview y Project Glasswing, un programa que ofrecía acceso a organizaciones selectas dedicadas al desarrollo y al mantenimiento de software crítico. Greenwing hizo hincapié en el control de acceso a este potente modelo, y la posibilidad de que un grupo de usuarios pudiera eludir esos controles y aun así acceder al modelo plantearía serias dudas sobre las medidas de seguridad de Anthropic.

Cabe destacar que la noticia sobre Mythos salió a la luz inicialmente a partir de una filtración de datos, cuando las descripciones del modelo quedaron almacenadas en una caché de datos de acceso público. La compañía también publicó accidentalmente parte del código fuente de su asistente de inteligencia artificial, Claude Code, a causa de un “error humano”.

En conjunto, estos incidentes sugieren que las organizaciones no pueden confiar en que las empresas de IA de vanguardia limiten el acceso a sus modelos más potentes. Estas compañías son tan vulnerables a errores humanos y brechas de seguridad como cualquier otro proveedor y, dado el potencial ofensivo de Mythos para descubrir vulnerabilidades, las organizaciones deben acelerar aún más la detección y la corrección de esas fallas.

“El incidente de Mythos es una advertencia de que el mayor riesgo de los sistemas avanzados de IA no reside únicamente en la capacidad del modelo, sino en el control de acceso sobre las personas, los proveedores y los sistemas que lo rodean. En el momento en que se puede acceder a un sistema de IA restringido a través de un tercero, ya no se trata solo de un problema de seguridad de la IA, sino de una falla de seguridad sistémica que abarca la identidad, la cadena de suministro y la infraestructura”, me comentó por correo electrónico John Paul Cunningham, director de seguridad de la información de Silverfort, proveedor de seguridad de identidad.

“La IA no necesitará infiltrarse si puede heredar el acceso a través de identidades mal gestionadas, integraciones excesivamente confiadas o controles débiles sobre los proveedores. Pero el verdadero riesgo no radica solo en cómo obtiene ese acceso, sino en lo que el sistema puede hacer una vez que lo consigue. Estos sistemas necesitan límites estrictos que definan de manera explícita su campo de acción: a qué pueden acceder, qué acciones pueden ejecutar y en qué punto deben terminar esos permisos”, afirmó Cunningham.

Fotos de stock gratuitas de amenaza de ciberseguridad, anonimato, ataque cibernetico (Foto: Pexels)
Un grupo de usuarios no autorizados accedió al modelo Claude Mythos de Anthropic el mismo día en que la empresa lo anunció. (Foto: Pexels)

Cunningham afirmó que los sistemas de IA potentes, como Mythos, deben protegerse como infraestructura crítica, con verificación continua de identidad y una aplicación estricta de las políticas de ejecución sobre aquello a lo que pueden acceder y lo que pueden ejecutar, para evitar que el acceso se convierta automáticamente en acciones sin restricciones.

Las empresas deben estar a la altura después de Mythos

El escándalo en torno a Mythos deja en evidencia que las empresas no pueden confiar en que las compañías de IA de vanguardia controlen el riesgo. En el momento en que se anuncian modelos como Mythos o incluso GPT-5.4 Cyber de OpenAI, los responsables de seguridad deben empezar a prepararse para enfrentar la próxima generación de amenazas. 

El problema no pasa solo por la posibilidad de que estos modelos se filtren por actores maliciosos, sino también por la posibilidad de que otros proveedores desarrollen modelos con capacidades similares que introduzcan nuevas amenazas.

“Las versiones sobre el acceso no autorizado a Mythos, un sistema de IA capaz de identificar vulnerabilidades críticas de software, generaron una fuerte atención mientras Anthropic avanza con la investigación. Aunque la investigación se centra en el acceso y en los controles, las implicancias de seguridad más amplias resultan más importantes y previsibles”, me comentó por correo electrónico Nicole Carignan, vicepresidenta sénior de seguridad y estrategia de IA y CISO de campo en la empresa de seguridad de IA Darktrace.

“Esto pone de manifiesto la instrumentalización continua de las herramientas comerciales. Los modelos de vanguardia y de reciente desarrollo se usan cada vez más, por defecto, con fines maliciosos. Las funcionalidades diseñadas para mejorar la calidad y la seguridad del software pueden reutilizarse con un esfuerzo mínimo para acelerar el descubrimiento de vulnerabilidades con fines maliciosos. Esto no responde a una falta de intención; responde a la escala, la accesibilidad y la difusión de capacidades”, afirmó Carignan.

Dario Amodei, CEO de Anthropic (Foto: TechCrunch, CC BY 2.0, via Wikimedia Commons)
Si modelos potentes como Mythos cayeran en manos de una banda cibernética o de un Estado, podrían surgir graves problemas de seguridad para las empresas. (Foto: TechCrunch, CC BY 2.0, via Wikimedia Commons)

Estos modelos seguirán siendo un objetivo para los ciberdelincuentes, que pueden explotarlos para obtener acceso inicial a otras organizaciones, agregó Carignan. Dado que muchas vulnerabilidades críticas todavía no se conocen públicamente, el acceso a modelos como Mythos puede permitir que los ciberdelincuentes exploten vulnerabilidades “desconocidas” e ingresen en el entorno interno de una empresa.

Desde esta perspectiva, los equipos de seguridad deben asumir que el descubrimiento avanzado de vulnerabilidades seguirá proliferando, a medida que se reduce el tiempo entre la detección y la explotación. Aunque parecía que Project Glasswing podía ofrecer un período de gracia para que la comunidad de seguridad se familiarizara con los riesgos de la próxima generación de modelos de IA de vanguardia, esta presunta brecha sugiere que podrían hacer falta medidas más inmediatas.

Es hora de asumirlo

El riesgo más inmediato radica en la reducción del tiempo necesario para explotar una vulnerabilidad. Modelos como Mythos permiten que los ciberdelincuentes descubran vulnerabilidades con mayor rapidez de la que los defensores necesitan para corregirlas, lo que acorta el tiempo total necesario para comprometer la seguridad.

“No se trata de un riesgo teórico del futuro. La ola ya se está formando mar adentro y la mayoría de las organizaciones todavía debate si debe construir un muro de contención. La IA no solo aceleró a los atacantes, sino que cambió de manera radical la economía de la explotación”, me comentó por correo electrónico Adam Arellano, director de tecnología de campo de Harness, una empresa de DevOps con IA valuada en US$ 5.500 millones.

“Lo que antes requería un atacante experto, semanas de reconocimiento y recursos considerables, ahora puede automatizarse, escalarse y desplegarse por alguien que cuente con el modelo adecuado y la motivación necesaria. Las vulnerabilidades de día cero, que antes conservaban una ventana de días o semanas antes de su explotación generalizada, ahora se convierten en armas en cuestión de horas. La asimetría entre ataque y defensa nunca fue tan extrema”, afirmó Arellano.

Si bien la exposición al riesgo que presentan herramientas como Mythos y GPT-5.4-Cyber es limitada, la situación cambia con rapidez. Los responsables de seguridad no pueden darse el lujo de depender de proveedores de IA de vanguardia para contener los riesgos de estos modelos potentes. Hoy más que nunca, las organizaciones necesitan desarrollar la capacidad de identificar y corregir vulnerabilidades a velocidad de máquina.

*Esta nota fue publicada originalmente en Forbes.com

Tags
amenazas digitales ciberseguridad Claude Darío Amodei Inteligencia Artificial Proteccion de datos

155090

La mansión de los Macri: un nuevo intento por vender la histórica propiedad de Barrio Parque

44685

Fundaron una startup y le dieron una tarjeta de crédito corporativa a una IA para que abriera un local: ya opera en EE.UU. y Suecia

33445

"¿Qué debería estudiar mi hijo?”: la respuesta de Guibert Englebienne, con una advertencia sobre la IA

28805

Cómo invertir en SpaceX antes de su salida a Bolsa: la apuesta cripto que busca democratizar los IPO

28540

Efecto "Mate-Boom": cómo la infusión nacional se convirtió en el nuevo objeto de deseo del wellness global

Más noticias

10