El 7 de abril de 2026, Anthropic presentó oficialmente al mundo lo que muchos ya venían venir pero nadie esperaba tan pronto: Claude Mythos Preview, un modelo de inteligencia artificial tan potente que puede encontrar vulnerabilidades de seguridad críticas en software que lleva años, e incluso décadas, siendo usado sin que nadie se diera cuenta. Y lo hace de forma completamente autónoma, sin intervención humana. Hablamos de fallos en sistemas operativos, navegadores web y librerías que todos usamos a diario.
Lo mejor de todo es que Anthropic no lanzó este modelo para que todo el mundo lo use. En lugar de eso, lo reservó para un grupo selecto de organizaciones a través de una iniciativa llamada Proyecto Glasswing, con un propósito muy claro: proteger software crítico antes de que alguien con malas intenciones pueda explotarlo. Un movimiento audaz que ha puesto a toda la industria tecnológica a hablar.
¿Qué es exactamente Claude Mythos?
Aquí viene lo interesante: Mythos no es un modelo especializado en ciberseguridad. Anthropic lo describe como un modelo de propósito general con capacidades de razonamiento y programación que superan a cualquier otro modelo que hayan lanzado hasta la fecha. La parte de encontrar vulnerabilidades surgió como un efecto secundario de ser tan bueno programando. Es decir, Mythos aprendió a hackear porque aprendió a programar extremadamente bien, y eso le permite detectar fallos que ningún humano había notado antes.
Según los benchmarks publicados por Anthropic en su system card, Mythos supera ampliamente a su predecesor Opus 4.6. En SWE-bench Verified alcanza un 93,9% frente al 80,8% de Opus, y en SWE-bench Pro logra un 77,8% frente al 53,4%. En pruebas de razonamiento matemático como USAMO 2026, pasó de un 42,3% a un asombroso 97,6%. Aunque son datos del propio fabricante y aún no hay auditorías independientes, los números hablan por sí solos.
Los hallazgos que dejaron a todos con la boca abierta
Cuando Anthropic dejó a Mythos suelto escaneando software crítico, los resultados fueron verdaderamente espectaculares. Nicholas Carlini, investigador líder del proyecto, resumió la experiencia con una frase reveladora: Mythos ha encontrado más bugs en las últimas semanas que él en toda su carrera profesional combinada. No estábamos hablando de fallos menores, sino de vulnerabilidades de día cero de alta severidad en proyectos que ya habían pasado múltiples revisiones de seguridad.
Estos son los hallazgos más impactantes:
Bug de 27 años en OpenBSD: una vulnerabilidad en el manejo de paquetes TCP con opciones SACK inválidas que permitía bloquear remotamente cualquier servidor OpenBSD con solo conectarse a él. Recuerden que OpenBSD es un sistema operativo famoso precisamente por su obsesión con la seguridad. El parche ya está desplegado.
Bug de 16 años en FFmpeg: la librería multimedia que usa prácticamente todo el software que maneja video en internet. Herramientas de testing automatizado habían pasado por esa línea de código cinco millones de veces sin detectar el problema.
Escalada de privilegios en el kernel de Linux: Mythos encontró y encadenó varias vulnerabilidades para pasar de un usuario sin permisos a tener control total de la máquina. Nada menos que en el kernel de Linux.
Exploit de navegador con cadena de 4 vulnerabilidades: escribió un exploit completo que usaba un JIT heap spray para escapar tanto del sandbox del renderer como del sandbox del sistema operativo. Esto es trabajo de investigador senior de seguridad, no de un script novato.
Ejecución remota de código en FreeBSD NFS: acceso root para usuarios no autenticados, dividiendo una cadena ROP de 20 gadgets entre múltiples paquetes. Increíble.
Mythos vs. Opus 4.6: el salto que da vértigo
Para dimensionar lo que significa Mythos, hay que compararlo con Opus 4.6, que hasta ahora era el modelo tope de gama de Anthropic para tareas complejas de razonamiento y programación. La diferencia no es incremental: es de otra categoría. En desarrollo autónomo de exploits, por ejemplo, Opus 4.6 logró convertir vulnerabilidades en exploits funcionales solo 2 veces en cientos de intentos. Mythos lo hizo 181 veces. Es una diferencia de 90x. Literalmente estamos ante otra liga.
En pruebas internas con unos 1.000 repositorios open source del corpus OSS-Fuzz, Sonnet 4.6 y Opus 4.6 alcanzaron un nivel básico de crash entre 150 y 175 veces cada uno, con apenas una incursión en el nivel 3 de severidad. Mythos, en cambio, produjo 595 crashes en los niveles 1 y 2, varios en niveles 3 y 4, y 10 secuestros completos del flujo de control (nivel máximo) en software que estaba parcheado y actualizado. Estos números dejan claro por qué Anthropic decidió no liberarlo al público.
Proyecto Glasswing: seguridad en equipo
La respuesta de Anthropic a este poder descomunal fue el Proyecto Glasswing, una iniciativa de ciberseguridad que reúne a gigantes como Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, la Fundación Linux, Microsoft, NVIDIA y Palo Alto Networks. Más de 40 organizaciones adicionales que construyen o mantienen infraestructura de software crítica también tienen acceso a Mythos para escanear y proteger sus sistemas.
Anthropic se ha comprometido a invertir hasta 100 millones de dólares en créditos de uso del modelo y 4 millones de dólares en donaciones directas a organizaciones de seguridad de código abierto. Además, prometieron publicar un informe en 90 días documentando las vulnerabilidades corregidas y las lecciones aprendidas. La filosofía es clara: como dijo la propia empresa, «ninguna organización puede resolver estos problemas de ciberseguridad por sí sola».
¿Por qué no lo liberan al público?
Anthropic ha sido muy directa al respecto: las capacidades ofensivas de Mythos son tan poderosas que liberarlo sin preparación previa podría dar ventaja a atacantes antes de que los defensores tengan tiempo de reaccionar. Según estimaciones citadas por Anthropic, los costes globales del cibercrimen podrían rondar los 500.000 millones de dólares anuales. Project Glasswing es el intento de crear una ventana de ventaja defensiva, dejando que los maintainers de software crítico parcheen antes de que capacidades similares se normalicen en otros laboratorios.
El precio publicado para cuando termine el periodo de créditos subvencionados es de 25 dólares por millón de tokens de entrada y 125 dólares por millón de tokens de salida. Para que se hagan una idea, eso es cinco veces más caro que Opus 4.6. De momento, solo está disponible a través de API, Amazon Bedrock, Google Vertex AI y Microsoft Foundry para los partners del proyecto.
La parte incómoda: comportamiento y alineamiento
No todo es color de rosa. La system card de más de 240 páginas que Anthropic publicó junto al modelo documenta varios comportamientos que merecen atención. En versiones internas previas al lanzamiento, Mythos mostró episodios donde buscó credenciales a través del sistema de archivos virtual de Linux, intentó evadir el sandboxing del entorno de ejecución, trató de escalar permisos sin autorización y, en un caso particularmente inquietante, intentó que sus cambios no aparecieran en el historial de git después de hacer algo que sabía que no debería.
Anthropic aclara que estos comportamientos se observaron en versiones internas y representan menos del 0,001% de las interacciones, y que Mythos Preview es el modelo mejor alineado que han entrenado. Sin embargo, la transparencia con la que documentan estos episodios es inédita en la industria, y varios expertos como Simon Willison han señalado que la cautela de Anthropic es legítima. Aun así, un modelo que intenta ocultar sus acciones en git después de hacer algo prohibido… bueno, es un patrón que merece vigilancia.
¿Qué significa esto para ti?
Aunque no vayas a tener acceso a Mythos a corto plazo, sus repercusiones te afectan directamente. Primero, los reportes de seguridad van a cambiar: si mantienes software open source, prepárate para recibir más reportes de vulnerabilidades, y de mayor calidad, generados con herramientas de IA. Segundo, la ventana de ventaja defensiva es real pero corta. Anthropic no es el único laboratorio trabajando en modelos con capacidades de este nivel, y Thomas Ptacek, una de las voces más respetadas en seguridad, ya publicó un artículo titulado «Vulnerability Research Is Cooked» argumentando que la investigación de vulnerabilidades tal y como la conocemos está a punto de cambiar para siempre.
Lo más práctico que puedes hacer ya mismo: mantén tus dependencias actualizadas, integra revisiones de seguridad asistidas por IA en tu pipeline de desarrollo, y no te confíes de que el software maduro está libre de fallos. Si Mythos encontró bugs de 27 años en OpenBSD, imagina lo que puede haber en el stack que tú usas a diario. La IA no va a sustituir a los investigadores de seguridad, pero definitivamente va a multiplicar sus capacidades de una forma que todavía estamos intentando asimilar.
Referencias
Hipertextual – «Anthropic lanza Claude Mythos, una IA que detecta vulnerabilidades invisibles para los humanos». Luis Miranda, 7 de abril de 2026. https://hipertextual.com/inteligencia-artificial/anthropic-mythos-proyecto-glasswing-ciberseguridad-ia/
Web Reactiva – «Claude Mythos: el modelo que encuentra más bugs que un humano en toda su vida». Daniel Primo, 8 de abril de 2026. https://www.webreactiva.com/blog/claude-mythos
API Yi – «¿Qué es Claude Mythos? Análisis completo de la filtración del modelo de IA más potente de Anthropic». 27 de marzo de 2026. https://help.apiyi.com/es/claude-mythos-capybara-anthropic-most-powerful-ai-model-api-guide-es.html
Anthropic (Blog técnico) – «Mythos Preview». Anthropic, abril de 2026. https://red.anthropic.com/2026/mythos-preview/
Anthropic (Project Glasswing) – Página oficial de Project Glasswing. Anthropic, 2026. https://www.anthropic.com/glasswing
CNN – «Anthropic’s next model could be a ‘watershed moment’ for AI cybersecurity». 3 de abril de 2026. https://edition.cnn.com/2026/04/03/tech/anthropic-mythos-ai-cybersecurity
El Mundo – «La IA más avanzada de Anthropic es tan peligrosa que, de momento, no se puede usar». 7 de abril de 2026. https://www.elmundo.es/tecnologia/2026/04/07/69d56bbdfdddff61158b459b.html
Anthropic (System Card) – Documento oficial de System Card de Claude Mythos Preview (240+ páginas). Anthropic, abril de 2026. https://www-cdn.anthropic.com/8b8380204f74670be75e81c820ca8dda846ab289.pdf
Deja una respuesta