En las últimas semanas, el nuevo modelo de inteligencia artificial Mythos ha generado un intenso debate dentro del sector tecnológico y de ciberseguridad.

Y no tanto por su capacidad para generar texto o automatizar tareas, sino por algo mucho más delicado: su capacidad para detectar vulnerabilidades de seguridad a gran escala.

La cuestión importante no es únicamente qué puede hacer Mythos.

La verdadera pregunta es qué ocurre cuando modelos de este nivel empiezan a descubrir fallos de seguridad más rápido de lo que somos capaces de corregirlos.

Un modelo demasiado potente para publicarlo libremente

Mythos es un nuevo modelo de inteligencia artificial desarrollado por Anthropic, una de las principales compañías del sector.

Según la propia empresa, el modelo alcanzó un nivel de capacidad que les llevó a tomar una decisión poco habitual: limitar su publicación debido a los riesgos potenciales asociados a su uso.

Y una de las razones principales fue precisamente su comportamiento en pruebas de ciberseguridad.

Cuando la IA empieza a encontrar vulnerabilidades masivamente

Durante las pruebas internas, Anthropic utilizó Mythos para buscar debilidades en sistemas ampliamente utilizados como Windows, Android o entornos Apple.

El resultado fue preocupante.

El modelo fue capaz de detectar un volumen muy elevado de vulnerabilidades y posibles exploits de seguridad en muy poco tiempo.

Según la información publicada por la propia compañía, el nivel de hallazgos fue suficientemente importante como para activar procesos urgentes de comunicación con fabricantes y proveedores tecnológicos.

La parte positiva es que, en este caso, los descubrimientos fueron compartidos con empresas capaces de corregir esos problemas mediante parches y actualizaciones.

Pero el verdadero riesgo es otro.

El problema no es Mythos

El problema es asumir que únicamente Mythos puede hacer esto.

Es razonable pensar que otras organizaciones, empresas o incluso actores estatales dispongan ya de modelos similares —o más avanzados— con capacidades equivalentes.

Y ahí aparece una cuestión incómoda desde el punto de vista de gestión de riesgos.

Porque mientras algunas compañías reciben avisos y pueden corregir vulnerabilidades, otras podrían estar utilizando este tipo de capacidades para explotar esos mismos fallos sin que nadie lo sepa.

La nueva asimetría tecnológica

Otro elemento relevante del caso es que Anthropic decidió compartir parte de los hallazgos únicamente con un grupo limitado de organizaciones.

Esto abre un debate importante.

¿Estamos entrando en un escenario donde solo determinadas empresas o actores tendrán acceso a modelos avanzados capaces de detectar amenazas antes que el resto?

¿Podría generarse una diferencia de seguridad real entre quienes tienen acceso a estas capacidades y quienes simplemente esperan actualizaciones cuando el problema ya existe?

Más allá de la inteligencia artificial generativa

El debate sobre inteligencia artificial suele centrarse en productividad, automatización o generación de contenido.

Sin embargo, casos como Mythos recuerdan que el verdadero impacto puede aparecer en ámbitos mucho más críticos: ciberseguridad, infraestructuras, vulnerabilidades o capacidad ofensiva.

La inteligencia artificial no solo automatiza tareas.

También amplifica capacidades.

Y eso incluye tanto las defensivas como las ofensivas.

Una cuestión de gestión de riesgos

Más allá del impacto mediático, el caso Mythos deja una conclusión bastante clara.

Las organizaciones dependen cada vez más de sistemas digitales complejos y, al mismo tiempo, la capacidad para detectar y explotar vulnerabilidades está creciendo de forma acelerada.

Por eso, prácticas básicas como mantener sistemas actualizados, revisar vulnerabilidades o aplicar parches rápidamente empiezan a ser más importantes que nunca.

Porque el problema ya no es únicamente que existan fallos de seguridad.

El problema es la velocidad con la que pueden descubrirse y utilizarse.