La irrupción de Claude Mythos Preview, el nuevo modelo de inteligencia artificial de Anthropic especializado en ciberseguridad, ha encendido las alarmas entre gobiernos, empresas tecnológicas y entidades financieras. Su capacidad para detectar vulnerabilidades de software con una rapidez y profundidad inéditas lo convierte en una herramienta potencialmente muy valiosa para reforzar defensas, pero también en una posible arma ofensiva si cayera en malas manos.
Mythos es capaz de analizar grandes bases de código y encontrar errores de seguridad que podrían ser explotados por ciberdelincuentes. Según Anthropic, el modelo ya ha identificado "miles de vulnerabilidades de alta gravedad", algunas de las cuales habían pasado "desapercibidas durante décadas" en revisiones humanas y pruebas automatizadas.
La compañía, de momento, ha optado por no hacer público el modelo. En lugar de eso, lo ha puesto a disposición de un grupo reducido de organizaciones dentro del Proyecto Glasswing, una iniciativa con empresas como Apple, Amazon Web Services, Google, Cisco, JPMorganChase, Nvidia, Microsoft o la Linux Foundation, entre otras. El objetivo es que estas compañías puedan probar el sistema y prepararse ante los riesgos que plantean las nuevas capacidades de la IA aplicada al hacking.
El caso ha generado inquietud especialmente en Europa, donde todavía no ha habido acceso al modelo. Los ministros de Economía y Finanzas de la eurozona han empezado a abordar los riesgos que herramientas como Mythos pueden suponer para la seguridad económica, sobre todo en el sector bancario. El presidente del Eurogrupo, Kyriakos Pierrakakis, defendió la necesidad de abrir canales con los Estados Unidos: "La soberanía tecnológica de Europa es el debate central, pero no creo que podamos permitirnos el lujo de no intentar establecer canales de comunicación con los Estados Unidos".
¡Si Mythos acaba en manos inadecuadas...!
También el Banco de España ha reclamado una cooperación internacional más fuerte y un acceso más amplio a los modelos de inteligencia artificial de vanguardia. El director general de Estabilidad Financiera, Regulación y Resolución del Banco de España, David Pérez Cid, ha defendido que, "en una situación en que el mundo está tan interconectado, sería razonable esperar que todo el mundo pudiera prepararse para mejorar sus mecanismos de defensa".
La preocupación no es solo económica, ya que fuentes gubernamentales y de los servicios de inteligencia españoles alertan que, si Mythos acabase en manos inadecuadas, las consecuencias podrían afectar a infraestructuras críticas como redes eléctricas, centrales nucleares, oleoductos, puertos, aeropuertos, hospitales, sistemas de datos sanitarios o centros de gestión de crisis.
Los expertos advierten que la IA puede reducir de manera drástica el coste, el tiempo y los conocimientos necesarios para descubrir y explotar vulnerabilidades. Esto puede ayudar a las empresas a anticiparse a los ataques, pero también puede facilitar el trabajo a los ciberdelincuentes. Rafael Palacios, director de la Oficina de inteligencia artificial de la Universidad Pontificia de Comillas, recuerda que Mythos puede detectar vulnerabilidades de día cero, es decir, errores desconocidos y sin parche disponible. "Si un ciberatacante descubre una de estas vulnerabilidades zero-day y consigue hacer un exploit, podría empezar a atacar los sistemas. Y como es una vulnerabilidad desconocida, no existe ningún parche para ella", alerta.