Durante años, en tecnología vimos repetirse una lógica bastante conocida: lanzar primero y corregir después. Pasó con internet, pasó con el software empresarial, pasó con las redes sociales y pasó con buena parte del ecosistema móvil. Pero con la inteligencia artificial estamos entrando en una etapa distinta.
Anthropic anunció en abril de 2026 un proyecto llamado Glasswing y, dentro de ese anuncio, presentó algo que me parece tan importante como inquietante: un modelo llamado Claude Mythos Preview que la empresa decidió no liberar al público general.
No porque no funcionara bien, sino justamente por lo contrario.
Según explicó la propia compañía, este modelo alcanzó un nivel de capacidad en programación y ciberseguridad que lo vuelve especialmente sensible. La tesis de Anthropic es fuerte: la inteligencia artificial ya está en un punto en el que puede encontrar y explotar vulnerabilidades de software a una escala y velocidad que supera a casi todos los humanos.
No estamos hablando de un chatbot simpático
Cuando muchas personas piensan en inteligencia artificial, todavía la asocian con redactar textos, resumir documentos, generar imágenes o automatizar tareas cotidianas. Todo eso existe y seguirá creciendo. Pero el caso Mythos corre la conversación hacia otro nivel.
En su anuncio oficial, Anthropic sostiene que Mythos Preview encontró miles de vulnerabilidades de alta severidad, incluso en sistemas operativos y navegadores principales. Entre los ejemplos que difundió, menciona una vulnerabilidad de 27 años en OpenBSD, otra de 16 años en FFmpeg y una cadena de fallos en el kernel de Linux que permitía escalar privilegios hasta tomar control completo de una máquina.
También afirma que, en una de sus métricas internas, Mythos Preview obtuvo un rendimiento claramente superior al de su siguiente mejor modelo en tareas de reproducción de vulnerabilidades.
Si estas capacidades se extienden y se abaratan, el impacto no se va a limitar al mundo de los laboratorios o de las grandes tecnológicas. Va a bajar rápido al mundo real.
Lo más importante no es el nombre Mythos, sino lo que representa
Más allá de si este modelo puntual termina siendo recordado por su nombre, lo que importa es el cambio de umbral.
La novedad no es solo que una empresa haya creado una IA poderosa. La novedad es que una empresa decidió frenar su apertura masiva y orientar su uso hacia una estrategia defensiva junto con actores de infraestructura crítica. En Project Glasswing aparecen nombres como Amazon Web Services, Apple, Cisco, CrowdStrike, Google, JPMorganChase, Microsoft, NVIDIA y Palo Alto Networks, entre otros.
Eso da una señal muy clara: ya no estamos discutiendo únicamente productividad, creatividad o automatización. También estamos discutiendo seguridad, infraestructura y resiliencia digital.
Por qué esto debería importarte aunque no trabajes en ciberseguridad
Acá es donde conviene bajar del titular grande a la realidad cotidiana.
Si tenés un negocio, trabajás por tu cuenta, administrás una pyme o manejás la comunicación y los sistemas de una organización, este tema no te queda lejos. De hecho, cada vez te toca más de cerca.
Cuando un modelo de IA puede ayudar a detectar vulnerabilidades, también puede acelerar la capacidad de atacarlas si cae en malas manos o si aparecen versiones equivalentes en entornos menos controlados. Y esa es la parte que más me importa remarcar.
La historia de la tecnología muestra que, tarde o temprano, muchas capacidades tienden a difundirse. Algunas llegan primero a las corporaciones. Después se democratizan. Y en ese proceso también llegan a actores maliciosos.
Por eso no hace falta ser alarmista para entender algo simple: la ciberseguridad dejó de ser un asunto exclusivo de bancos, gobiernos o multinacionales.
La IA también cambia el piso mínimo de seguridad para una pyme
Durante mucho tiempo, muchas pequeñas empresas vivieron con una idea peligrosa: pensar que por ser chicas no eran un objetivo interesante.
Esa lógica hoy vale cada vez menos.
Si la inteligencia artificial reduce el costo técnico de encontrar fallos, escribir ataques, automatizar engaños o explotar configuraciones débiles, entonces el umbral de riesgo cambia para todos. No solo para las grandes estructuras.
Eso significa que una pyme, un estudio profesional, una agencia, una tienda online o un equipo de trabajo chico ya no pueden postergar indefinidamente ciertas prácticas básicas.
La ciberseguridad ya no es un lujo corporativo
Yo lo resumiría así: la ciberseguridad hoy se parece mucho más al cerrojo de un local que a una inversión opcional de alta gama.
No hace falta convertir todo en paranoia. Pero sí hace falta madurar.
Si una noticia como la de Mythos sirve para algo, debería servir para entender que la infraestructura digital de cualquier proyecto importa. Tus cuentas, tus accesos, tus respaldos, tu dominio, tu mail corporativo, tu WordPress, tu hosting, tus documentos compartidos y los dispositivos desde los que trabajás forman parte de una misma superficie de riesgo.
Qué haría hoy en cualquier proyecto pequeño o mediano
Si hoy tuviera que priorizar acciones concretas para bajar exposición, arrancaría por esto:
- usar un gestor de contraseñas y dejar de reciclar claves;
- activar la verificación en dos pasos en todas las cuentas críticas;
- mantener copias de seguridad aisladas y comprobadas;
- actualizar WordPress, plugins, temas y servicios con criterio y frecuencia;
- definir quién tiene acceso a qué dentro del equipo;
- capacitar a las personas para detectar fraudes, suplantaciones y correos sospechosos;
- revisar los formularios, dominios, correos y accesos administrativos del negocio.
No son medidas espectaculares. Justamente por eso funcionan. La seguridad real rara vez empieza por lo épico. Empieza por la higiene digital.
La señal de fondo
Más allá del impacto mediático del caso, creo que lo verdaderamente importante es la señal de fondo. La inteligencia artificial ya no es solo una herramienta para producir más rápido. También es una tecnología que puede alterar el equilibrio entre defensa y ataque en el mundo digital.
Y cuando cambia ese equilibrio, cambian también las responsabilidades de todos los que usamos tecnología para trabajar.
No digo esto para generar miedo. Lo digo porque cuanto antes entendamos en qué etapa estamos, mejores decisiones vamos a tomar.
La conversación sobre IA no puede quedar reducida a prompts, modas o herramientas nuevas cada semana. También tiene que incluir infraestructura, seguridad, criterio y preparación.
Qué me deja el caso Mythos
Si Anthropic está diciendo que prefirió no abrir completamente un modelo por su potencial impacto en ciberseguridad, entonces conviene prestar atención. No para repetir slogans apocalípticos, sino para leer bien el momento histórico.
Estamos entrando en una etapa en la que la inteligencia artificial puede ser un asistente extraordinario, pero también un acelerador de riesgos si no se la encuadra con responsabilidad.
Para quienes trabajamos, comunicamos, vendemos o construimos proyectos digitales, el mensaje es bastante claro: no alcanza con incorporar IA para ganar productividad. También hay que fortalecer el entorno donde esa productividad ocurre.
Porque en esta nueva etapa, innovar sin seguridad ya no es modernizarse. Es exponerse.
Fuentes de referencia para este borrador: anuncio oficial de Anthropic sobre Project Glasswing y materiales públicos vinculados al caso Claude Mythos Preview.
