El pasado 7 de abril, Anthropic presentó Mythos. Anthropic es, hoy, el tercer proveedor del sector de grandes  modelos de lenguaje en cuota de mercado —después de OpenAI y Google—, pero avanza con paso decidido y pocos  de sus movimientos son anecdóticos.

Este, en concreto, no lo es en absoluto. Según Anthropic, Mythos no es una evolución más de su mejor modelo. Conceptualmente, es otra cosa. Lo  que lo hace interesante —y a la vez inquietante— es que, sin haber sido entrenado explícitamente para buscar  vulnerabilidades informáticas, las encuentra con una eficacia casi cien veces superior al mejor modelo  de Anthropic de hace solo un mes.

El modelo ha detectado errores que llevaban décadas escondidos, y ha encontrado vulnerabilidades en bibliotecas criptográficas: las que se encargan de proteger la privacidad de los datos. Puede  identificar, potencialmente, vulnerabilidades en los principales sistemas operativos y en todos los navegadores. A esto hay que  sumar que identificar una vulnerabilidad individual con Mythos puede costar, de media, unos 2.000 dólares.  

Todo ello ha hecho saltar todas las alarmas, ya que el riesgo es evidente: si el modelo se pusiera a disposición, podríamos  estar ante una democratización del hacking. En definitiva, ya no sería necesario ser un experto, y el coste no sería una  barrera para quien tenga malas intenciones. La buena noticia es —y aquí está el matiz que no podemos perder de  vista— que el mismo modelo que detecta los errores también tiene capacidad para clasificarlos por gravedad y  colaborar en la búsqueda de soluciones para enmendarlos. La pregunta, pues, no es si Mythos es peligroso o útil. Es las dos cosas a la vez.  

La respuesta de Anthropic: el proyecto Glasswing  

Y aquí viene la segunda parte de la historia, quizás más relevante que la propia tecnología. Anthropic decide no  poner Mythos a disposición del público. Su respuesta es el proyecto Glasswing —mariposa de alas de cristal. El  nombre no es casual: invisible como las vulnerabilidades que detecta, y a la vez un ejercicio de transparencia. El proyecto pone Mythos a disposición de forma anticipada, controlada y coordinada a doce socios principales —fundamentalmente grandes tecnológicas norteamericanas y empresas de seguridad— y a una cuarentena  de organizaciones adicionales que mantienen infraestructura crítica.

El objetivo es claro: dar una ventaja  temporal a estas empresas e instituciones para cerrar sus brechas de seguridad, antes de que el modelo se  pudiera hacer público. Hasta aquí, el debate podría parecer estrictamente tecnológico: cómo contener una herramienta demasiado poderosa. Pero  Glasswing introduce una pregunta mucho más política: ¿quién queda dentro del proyecto, y quién queda fuera?  

Estados Unidos hace tiempo que ha asumido que el liderazgo global en IA es una cuestión estratégica de primer  orden. Por eso Mythos ya no es solo una herramienta tecnológica: es un activo clave. A principios de mes, de hecho, la Casa  Blanca estudiaba instaurar un sistema de revisión pública de los modelos antes de lanzarlos, un giro notable en una  administración que hasta ahora se había opuesto a regular. Washington empieza a ver que será necesario establecer  mecanismos de gobernanza más sólidos para la IA. Cuando decisiones de esta magnitud quedan en manos  de empresas privadas, cualquier gobierno queda en una posición incómoda. 

China, por su parte, queda fuera del proyecto: Anthropic la considera un país adversario. En este caso, sin embargo,  la exclusión no equivale a quietud —más bien al contrario. El mismo Dario Amodei, consejero delegado de Anthropic,  admite que Pekín podría tener un modelo equivalente a Mythos en seis meses o un año. Y lo dice con conocimiento de  causa: China juega con un modelo propio —cooperación estrecha entre estado e industria— que le da agilidad para  moverse.  

No es casual que Jensen Huang, consejero delegado de Nvidia, planteara ya en abril que el caso Mythos  demostraba que Washington y Pekín deberían sentarse a hablar de los límites de uso de esta tecnología, ni que en  la cumbre bilateral celebrada la semana pasada entre ambas potencias se declarara explícitamente que  habían abordado la posibilidad de fijar límites —guardarraíles— conjuntos para la IA.  

Al mismo tiempo, Europa queda fuera de este club exclusivo. Tiene regulación, tiene mercado y tiene sectores críticos expuestos,  pero no tiene acceso a la herramienta, porque la ampliación de este acceso está condicionada por criterios de seguridad,  capacidad operativa y presión del gobierno norteamericano. Mientras Bruselas sigue reclamando hacer uso de ella, y mientras  Mistral —el único gran proveedor europeo de grandes modelos de lenguaje— prepara su propia herramienta de detección  de vulnerabilidades, el BCE recuerda a los bancos sistémicos que la falta de acceso a Mythos "no es excusa para  la inacción".  

Y mientras Europa espera, el contraste internacional empieza a hacerse visible: según informaciones no confirmadas  oficialmente por las partes después de una reunión bilateral entre el secretario del Tesoro norteamericano y la ministra de  Finanzas japonesa, tres grandes bancos japoneses podrían recibir acceso a Mythos antes de finales de mayo.  

Ya no hablamos solo de tecnología. Hablamos de poder. Y también de competitividad. Si una empresa norteamericana  puede detectar antes sus vulnerabilidades, priorizar mejor las inversiones en seguridad y reducir el riesgo  operacional, obtiene una ventaja que, más allá de lo técnico, es económica. En sectores regulados como la banca,  la energía o las telecomunicaciones, el acceso a estas herramientas puede acabar determinando quién gestiona mejor el riesgo y  quién lo sufre.  

La paradoja que no habíamos visto venir en Europa  

Europa aprobó su gobernanza en materia de inteligencia artificial en el año 2024. La AI Act es, probablemente, el intento más ambicioso del mundo para poner orden a la IA antes de que el despliegue masivo de los modelos acabe fijando las reglas de facto del mercado. Es una regulación exigente, orientada a proteger derechos, reducir riesgos y dar garantías a los usuarios de la Unión. El resultado es una Europa más garantista, pero hasta ahora menos ágil, en una carrera tecnológica que no espera a nadie.  

Y aquí es donde Europa topa con sus propios límites: el 7 de mayo Bruselas alcanzó un acuerdo interno preliminar para retrasar hasta diciembre de 2027 la aplicación de los artículos de alto riesgo de la AI Act. Oficialmente, el objetivo es dar más margen a empresas y Estados miembros para que se adapten a la nueva normativa.

Pero cuesta no leer también otra preocupación: que, cuando Europa tenga acceso a Mythos o a herramientas equivalentes de otros proveedores, nuestra propia regulación no acabe limitando su uso. Esta no la habíamos visto venir. Pensamos la regulación para protegernos de los riesgos de la IA. El problema, ahora, es casi el inverso: querríamos usarla, pero quienes la controlan no nos dan acceso a ella.