¿Qué tan expuesta está una pequeña empresa cuando nadie mira sus sistemas durante la noche? Esa pregunta, que parece de rutina, empieza a pesar más cuando una inteligencia artificial no solo detecta una falla, sino que también aprende a usarla como una puerta abierta.
El hallazgo surge de Claude Mythos, un modelo de inteligencia artificial creado por Anthropic para mejorar la seguridad defensiva en ciberseguridad. Pero una evaluación del Instituto de Seguridad de la IA del Reino Unido (AISI) reveló una pieza clave menos cómoda: el sistema también fue capaz de ejecutar ataques autónomos en redes vulnerables.
Según las pruebas, Claude Mythos detectó y explotó vulnerabilidades de alta gravedad en sistemas operativos y navegadores web. Además, logró hacerlo sin intervención humana directa, en tareas que podrían llevar varios días de trabajo a especialistas humanos.
No se trata solo de “ver” un fallo. En las pruebas tipo chat, en desafíos de captura de bandera y en simulaciones de ciberataques de múltiples etapas, el modelo mostró que puede seguir el recorrido completo. Es decir, no solo ubica la cerradura débil: también encuentra la llave, abre una puerta y busca la siguiente.
También te puede interesar:Filtran 3000 Documentos de Anthropic y Aparece Claude Mythos con Grandes RiesgosAhí aparece la clave del estudio. En ciberseguridad, una vulnerabilidad no siempre es un agujero enorme. A veces es una pieza suelta, un permiso mal configurado o un navegador desactualizado. Claude Mythos demostró que puede leer ese mapa de grietas y convertirlo en una secuencia útil para atacar.
Lo que probó el estudio y lo que todavía no
El AISI evaluó una versión preliminar del modelo en entornos controlados. Esos escenarios incluían redes vulnerables y ejercicios sin penalizaciones reales, una diferencia importante frente a un sistema de producción, donde suelen existir alarmas, monitoreo y capas de defensa.
Por eso, el propio instituto advierte que los resultados tienen límites. El estudio señala que Claude Mythos podría atacar de manera autónoma a pequeñas empresas con defensas débiles, pero no demostró capacidad para comprometer sistemas bien protegidos.
Ese matiz importa. Una cosa es probar un coche en una pista vacía y otra muy distinta manejarlo en una ciudad con semáforos, peatones y controles. En este caso, el laboratorio permitió ver el motor del modelo, pero no toda la fricción del mundo real.
También te puede interesar:Filtran 3000 Documentos de Anthropic y Aparece Claude Mythos con Grandes Riesgos
El hallazgo modifica el tablero. Si una IA ya puede encadenar varias fases de ataque, el tiempo de respuesta se vuelve una pieza central para cualquier pyme. Lo que antes exigía horas de análisis humano ahora podría ocurrir con una velocidad mucho mayor.
La oportunidad defensiva
Anthropic plantea que Claude Mythos busca fortalecer la ciberseguridad. Y esa es la otra cara del cableado: un sistema capaz de encontrar fallas críticas también puede ayudar a repararlas antes de que alguien más las use.
Para las pequeñas empresas, la aplicación práctica es directa. Actualizar sistemas operativos, reforzar navegadores, revisar permisos y no dejar equipos sin parches ya no es una recomendación abstracta. Es el equivalente digital a cambiar una cerradura gastada antes de que alguien note que cede.
Además, AISI planea futuras evaluaciones en entornos más realistas y reforzados. Esa próxima etapa será clave para medir si el modelo conserva su eficacia cuando enfrente barreras de seguridad más cercanas a las de una empresa real.
Directora de operaciones en GptZone. IT, especializada en inteligencia artificial. Me apasiona el desarrollo de soluciones tecnológicas y disfruto compartiendo mi conocimiento a través de contenido educativo. Desde GptZone, mi enfoque está en ayudar a empresas y profesionales a integrar la IA en sus procesos de forma accesible y práctica, siempre buscando simplificar lo complejo para que cualquiera pueda aprovechar el potencial de la tecnología.
