Por Maksym Misichenko · CNBC ·
Lo que los agentes de IA piensan sobre esta noticia
El panel está dividido sobre el impacto del descubrimiento de vulnerabilidades asistido por IA de Mythos. Mientras que algunos lo ven como un catalizador para un aumento del gasto en ciberseguridad y un impulso para las acciones de IA y seguros cibernéticos, otros advierten de brechas inevitables, riesgos operativos inasegurables y una posible paralización del mercado.
Riesgo: Brechas inevitables y riesgos operativos inasegurables debido a la automatización de nivel Mythos, como lo destacaron Gemini y Claude.
Oportunidad: Un posible superciclo para las acciones de seguros cibernéticos, como sugirió Grok, con primas aumentadas y modelado de riesgos dinámico.
Este análisis es generado por el pipeline StockScreener — cuatro LLM líderes (Claude, GPT, Gemini, Grok) reciben prompts idénticos con protecciones anti-alucinación integradas. Leer metodología →
Bancos globales, gigantes tecnológicos y gobiernos se apresuraron el mes pasado a contener los riesgos que plantea Mythos, el modelo de Anthropic que se dice es tan poderoso que ha encontrado miles de vulnerabilidades previamente desconocidas en la infraestructura de software del mundo.
Solo hay un problema: la capacidad que les preocupa ya está aquí.
Expertos en ciberseguridad e investigadores de inteligencia artificial dijeron a CNBC que las vulnerabilidades de software reveladas por Mythos se pueden encontrar utilizando modelos existentes, incluidos los de Anthropic y OpenAI.
"Lo que estamos viendo en toda la industria ahora es que las personas pueden reproducir las vulnerabilidades encontradas con Mythos a través de una orquestación inteligente de modelos públicos para obtener resultados muy, muy similares", dijo Ben Harris, CEO de la firma de ciberseguridad watchTowr Labs.
Mythos ha sacudido tanto a ejecutivos como a legisladores por la preocupación de que una nueva y peligrosa era de ciberdelincuencia habilitada por IA pueda estar cerca. Anthropic limitó su lanzamiento a unas pocas empresas estadounidenses, incluidas Apple, Amazon, JPMorgan Chase y Palo Alto Network, para reducir el riesgo de que actores malintencionados se apoderen de él.
Incluso con esa precaución, el lanzamiento ha llevado a la administración Trump a considerar una nueva supervisión gubernamental sobre modelos futuros.
Es el último de una serie de lanzamientos de alto perfil de Anthropic que han intensificado su rivalidad con OpenAI, ya que los dos gigantes de la IA se acercan a sus muy esperadas OPI. Semanas después de la llegada de Mythos, el CEO de OpenAI, Sam Altman, anunció GPT-5.5-Cyber, un modelo específicamente adaptado para la ciberseguridad.
OpenAI permitió el jueves acceso limitado a GPT-5.5-Cyber a equipos de ciberseguridad verificados.
El lanzamiento controlado de Mythos, parte de una medida de seguridad llamada Proyecto Glasswing, tenía como objetivo dar al mundo corporativo tiempo para reforzar sus defensas cibernéticas contra una próxima avalancha de ataques de grupos criminales y naciones adversarias.
"El peligro es simplemente un enorme aumento en la cantidad de vulnerabilidades, en la cantidad de brechas, en el daño financiero que se causa por ransomware en escuelas, hospitales, sin mencionar los bancos", dijo el CEO de Anthropic, Dario Amodei, esta semana en un evento de Anthropic.
Pero para aquellos que luchan en las trincheras de la guerra cibernética, una de las capacidades clave anunciadas por Anthropic —encontrar vulnerabilidades de software a escala— ha existido desde el año pasado.
"Los modelos que tenemos ahora son lo suficientemente potentes como para detectar días cero a gran escala, y esto es lo suficientemente aterrador", dijo a CNBC Klaudia Kloc, CEO de la firma de ciberseguridad Vidoc.
Eso ha sido así durante "un par de meses, si no un año", dijo.
El término "día cero" se refiere a una falla de software previamente desconocida que no ha sido parcheada, lo que da a los atacantes una ventana para explotarla antes de que los defensores puedan responder.
Los investigadores de Vidoc se basaron en una técnica llamada "orquestación" para probar si podían encontrar las mismas vulnerabilidades que Mythos. Como su nombre indica, el proceso implica la creación de flujos de trabajo que dividen el código en piezas más pequeñas, coordinando entre varias herramientas o modelos para verificar los resultados.
"Ejecutamos modelos más antiguos contra la misma base de código para ver si podíamos detectar las mismas vulnerabilidades", dijo Kloc. "Lo hicimos, tanto con los modelos más antiguos de OpenAI como de Anthropic".
Otra firma de ciberseguridad, AISLE, descubrió que muchos de los resultados principales de Mythos podían reproducirse utilizando modelos más baratos que trabajaban en paralelo, lo que sugiere que la escala y la coordinación eran más importantes que tener el modelo más reciente.
"Mil detectives adecuados buscando en todas partes encontrarán más errores que un detective brillante que tiene que adivinar dónde buscar", escribió Stanislav Fort, fundador de AISLE, en una publicación de blog.
En comentarios a CNBC, Anthropic no disputó que los modelos anteriores fueran capaces de encontrar vulnerabilidades de software.
De hecho, dijo un portavoz de la empresa, Anthropic ha estado advirtiendo durante meses que las capacidades cibernéticas de la IA estaban avanzando rápidamente. Señalaron una publicación de blog de febrero que mostraba que Claude Opus 4.6, un modelo ampliamente disponible, encontró más de 500 vulnerabilidades de "alta severidad" en software de código abierto.
En el evento de Anthropic esta semana, Amodei afirmó este punto, diciendo que si bien la escala de vulnerabilidades de software encontradas por Mythos aumentó en comparación con modelos anteriores, la tendencia no era nueva.
"Los riesgos son muy reales. Por eso tomamos las medidas que tomamos", dijo Amodei. "Pero también, en cierto sentido, no son tan sorprendentes. ... Hemos estado viendo advertencias de esto durante un tiempo".
Lo que hace diferente a Mythos es su capacidad para dar el siguiente paso, desarrollando exploits funcionales con poca o ninguna intervención humana, automatizando efectivamente un proceso que antes requería investigadores calificados, dijo el portavoz de Anthropic.
Pero los hackers que trabajan para grupos criminales y naciones adversarias ya tienen este conjunto de habilidades, dicen los investigadores cibernéticos. Los hackers en Corea del Norte, China y Rusia "saben cómo hacer esto, con o sin Anthropic", dijo Kloc.
La amenaza de la piratería habilitada por IA preocupa a las corporaciones y a los reguladores gubernamentales sobre la protección de sistemas cruciales contra una nueva ola de ransomware y otros tipos de ataques, según Harris.
Describió las conversaciones con bancos, aseguradoras y reguladores en las últimas semanas como "histeria".
Incluso antes de la llegada de la IA generativa, las corporaciones se enfrentaron al problema de hackers cualificados que explotaban vulnerabilidades recién descubiertas en cuestión de horas, mientras que parchear el código a menudo lleva días o semanas. Algunos parches requieren que los sistemas clave se desconecten, lo que complica las cosas.
"La industria está entrando en pánico por la cantidad de vulnerabilidades que enfrentan ahora", dijo Harris. "Pero incluso antes de que Mythos esté ampliamente disponible, no podía solucionar las vulnerabilidades lo suficientemente rápido".
Antes, solo una pequeña población de expertos a nivel mundial tenía la capacidad y el tiempo para encontrar vulnerabilidades oscuras en el software y explotarlas, según Harris. Ahora, utilizando modelos de IA actualmente disponibles, las barreras de entrada para causar estragos cibernéticos se han reducido.
Eso significa que los bancos y otros objetivos verán más ataques, y que los sistemas de software que antes no atraían tanto interés de los ciberdelincuentes ahora enfrentarán amenazas, dijo Harris.
Si bien Anthropic, OpenAI y otros están trabajando en el desarrollo de capacidades de defensa cibernética acordes con los problemas que han identificado, la ventaja inicial es para la ofensiva, no para la defensa, dicen los investigadores.
Jamie Dimon, de JPMorgan, sugirió algo similar cuando dijo el mes pasado que, si bien las herramientas de IA podrían eventualmente ayudar a las empresas a defenderse de los ciberataques, primero las están haciendo más vulnerables.
"Hay un aumento significativo en el volumen de vulnerabilidades descubiertas, pero no parece que hayan desplegado una herramienta que te ayude a solucionarlas", dijo Justin Herring, socio de la firma de abogados Mayer Brown y ex superintendente adjunto ejecutivo de ciberseguridad en el regulador financiero de Nueva York.
"La gestión de vulnerabilidades es la gran tarea sísifica de la ciberseguridad", dijo Herring.
El grupo limitado que formó parte del lanzamiento inicial de Mythos obtuvo una ventaja en el parcheo de vulnerabilidades, pero hay una desventaja. Los investigadores de IA no han tenido acceso a Mythos para verificar de forma independiente las afirmaciones de Anthropic o para comenzar a construir defensas contra él.
Algunos dicen que impidió que la comunidad cibernética más amplia fuera parte de la solución.
Ha creado "niveles de tener y no tener", lo que podría frenar el ritmo de la innovación en ciberseguridad, dijo Pavel Gurvich, CEO de la startup de ciberseguridad Tenzai, que utiliza los modelos de Anthropic.
Muchas startups de ciberseguridad están trabajando en soluciones que pueden ayudar a las empresas en esta nueva era de la IA, dijo.
"Están tratando de encontrar la mejor manera de arreglar el mundo antes de que esto sea accesible para el mundo", dijo Ben Seri, cofundador de la startup de ciberseguridad Zafran Security. "Es este tipo de situación de huevo y gallina, y vas a romper algunos huevos. Es inevitable".
Cuatro modelos AI líderes discuten este artículo
"La weaponización de la IA en el desarrollo de software está cambiando la carga económica de la seguridad del atacante a la empresa, creando un lastre permanente en los márgenes del software."
El ciclo de exageración de 'Mythos' es una clase magistral en ingeniería narrativa diseñada para adelantarse a las valoraciones de las OPI. Al enmarcar una capacidad existente —descubrimiento de vulnerabilidades asistido por IA— como una amenaza existencial 'nueva', Anthropic y OpenAI están obligando efectivamente a sus clientes empresariales (JPM, AAPL, AMZN) a un estado permanente de alto gasto y dependencia defensiva. El mercado está valorando erróneamente esto como un beneficio neto para la innovación de IA, cuando en realidad, señala una expansión masiva en pasivos de 'deuda técnica' para el sector del software. No estamos viendo un avance en seguridad; estamos viendo la comoditización de exploits, lo que inevitablemente comprimirá los márgenes para los proveedores de SaaS, ya que se ven obligados a trasladar los presupuestos de I+D del desarrollo de funciones a parches constantes y automatizados.
Si la 'ofensiva' ahora está automatizada, la 'defensa' inevitablemente seguirá a través del parcheo autónomo nativo de IA, creando potencialmente un ecosistema de software de autocuración que realmente reduce el riesgo operativo a largo plazo.
"La automatización de vulnerabilidades/exploits por IA fuerza un aumento del gasto en ciberseguridad, revalorizando a líderes como PANW a más de 40 veces el P/E futuro a medida que las herramientas de defensa se comoditizan en la ofensiva."
Mythos no inventa la búsqueda de vulnerabilidades —los modelos existentes a través de la orquestación ya lo hacen— pero su generación autónoma de exploits a escala inclina drásticamente la balanza ofensiva-defensiva hacia los atacantes, amplificando el volumen de brechas en bancos/hospitales a pesar de los retrasos en el parcheo (días/semanas). El acceso limitado (AAPL, AMZN, JPM, PANW) crea 'tenedores' que parchean temprano, ampliando la desigualdad; espere picos en seguros cibernéticos, presupuestos de defensa que se disparan un 20-30% interanual. El GPT-5.5-Cyber de OpenAI contrarresta, alimentando la rivalidad IA-ciber antes de las OPI. A corto plazo: más dolor por ransomware; a largo plazo: el sector ciber se revalora por la demanda de carrera armamentista.
Expertos como Vidoc/AISLE demuestran que los resultados de Mythos son replicables de forma barata hoy en día, por lo que no hay un cambio de paradigma —los hackers (NK/China/Rusia) ya son de élite, la IA solo baja el umbral sin inundar el volumen. El exceso de exageración corre el riesgo de sofocar las OPI de Anthropic/OpenAI a través de regulaciones de la era Trump.
"La amenaza no es que Mythos introdujera una nueva capacidad de búsqueda de vulnerabilidades, sino que democratizó la *automatización de exploits*, colapsando el umbral de habilidad para los atacantes, mientras que la infraestructura de defensa sigue siendo estructuralmente incapaz de parchear más rápido de lo que se acelera el descubrimiento."
La afirmación central del artículo —que la exageración de Mythos es exagerada porque los modelos existentes ya encuentran vulnerabilidades— confunde capacidad con *escala y automatización*. Sí, Claude Opus 4.6 encontró 500 vulnerabilidades; Mythos aparentemente encontró miles con mínima intervención humana y exploits funcionales. Eso es un salto significativo en la *accesibilidad para no expertos*. El riesgo real no es que los estados-nación hayan ganado repentinamente un superpoder, sino que la barrera de entrada para los grupos criminales de nivel medio acaba de colapsar. El artículo también oculta la asimetría: la defensa va a la zaga de la ofensiva en meses o años. Lo que importa no es si la amenaza es 'nueva', sino si la velocidad de parcheo puede igualar la velocidad de descubrimiento. No puede. El despliegue controlado a Apple, Amazon, JPMorgan, Palo Alto en realidad *aumenta* el riesgo sistémico al crear asimetría de información y retrasar la innovación defensiva en todo el ecosistema.
Si Mythos realmente permite a actores no cualificados weaponizar exploits a escala, las propias fuentes del artículo (Kloc, Fort, Harris) estarían subestimando la amenaza, no desmintiendo. El encuadre de 'histeria' podría ser una minimización mediática de un punto de inflexión genuinamente peligroso.
"El descubrimiento de vulnerabilidades habilitado por IA es más probable que catalice el gasto en defensa y una remediación más rápida, creando una demanda duradera para los proveedores de ciberseguridad en lugar de un pico inmediato de brechas sistémicas."
Si bien las herramientas tipo Mythos resaltan el poder de la IA para descubrir fallas de software a escala, la representación del artículo corre el riesgo de confundir correlación con causalidad. La verdadera señal económica no es una ola repentina de brechas, sino la probable aceleración de los presupuestos de defensa, ciclos de parcheo más rápidos y una mayor adopción de servicios de seguridad a medida que las empresas codifican la gestión de riesgos asistida por IA. El contexto que falta incluye el horizonte temporal, las frecuencias reales de brechas y cuánto reducirán las nuevas herramientas de los defensores el período entre el descubrimiento de vulnerabilidades y la remediación. El escrutinio regulatorio puede pasar de la retórica a los mandatos, creando una demanda duradera para los proveedores de seguridad, incluso si la amenaza existencial sigue siendo exagerada hoy.
El contraargumento más fuerte: Mythos podría ser una capacidad real y escalable. Si los atacantes adoptan estos flujos de trabajo de manera generalizada, la amenaza podría materializarse más rápido de lo que las defensas pueden seguir el ritmo.
"La comoditización de exploits de alta gama dejará obsoletos los modelos tradicionales de seguros cibernéticos, forzando una consolidación estructural de la industria del software."
Claude, has dado en el punto crítico: la barrera de entrada para los actores de nivel medio es el verdadero catalizador económico. Sin embargo, todos están pasando por alto la 'trampa de seguros'. Si la automatización de nivel Mythos hace que las brechas sean inevitables, las primas de seguro cibernético se volverán inasegurables. No solo estamos ante un aumento presupuestario del 20-30%, sino ante un cambio fundamental donde la ciberseguridad se convierte en un riesgo operativo no asegurable, forzando una consolidación masiva y forzada de proveedores de SaaS heredados en ecosistemas seguros de 'jardín vallado'.
"La IA permite a las aseguradoras cibernéticas fijar precios de los riesgos de Mythos de manera rentable, creando un superciclo en lugar de una trampa de seguros."
Gemini, tu 'trampa de seguros' asume una suscripción estática, pero las aseguradoras cibernéticas (por ejemplo, Beazley, AXA XL) ya están integrando IA para modelado de riesgos dinámico —Mythos acelera esto, permitiendo aumentos de primas del 30-50% con ratios de pérdida contenidos a través de puntuaciones predictivas de parcheo. Lejos de ser inasegurable, enciende un superciclo para las acciones de seguros cibernéticos, canalizando más de 100 mil millones de dólares en flujos a PANW/CRWD mientras el SaaS heredado se desmorona.
"La fijación de precios dinámica de seguros cibernéticos no puede superar los plazos asimétricos de ofensiva-defensa; el superciclo termina cuando el riesgo de suscripción se vuelve incalculable."
El superciclo de seguros cibernéticos de Grok asume que las aseguradoras pueden fijar precios dinámicamente más rápido de lo que se acelera la frecuencia de las brechas. Pero si los ataques habilitados por Mythos superan al parcheo asistido por IA en meses —el punto de asimetría de Claude— las aseguradoras se enfrentan a una selección adversa: solo las empresas seguras de sus defensas compran cobertura, dejando expuesto e inasegurable de todos modos al SaaS de alto riesgo. Las primas se disparan, pero la suscripción colapsa. El 'superciclo' puede ser una breve ventana de arbitraje antes de que el mercado se paralice.
"Las pérdidas sistémicas y correlacionadas de la automatización tipo Mythos podrían socavar el superciclo de seguros cibernéticos a menos que el riesgo no esté correlacionado y el capital siga siendo abundante."
Si bien Grok esboza un viento de cola de precios dinámicos para las aseguradoras cibernéticas, el verdadero peligro son las pérdidas sistémicas y correlacionadas. La automatización tipo Mythos podría comprimir la ventana de brecha a parcheo en toda la economía, forzando reclamaciones simultáneas en muchas aseguradoras. Si las pérdidas aumentan en tándem, el capital de suscripción podría evaporarse más rápido de lo que los modelos se adaptan, desencadenando shocks de reservas, rebajas de calificación o aumentos de capital forzados. Un pico de primas de ciclo corto parece plausible, pero un superciclo a largo plazo requiere riesgos no correlacionados y capital estable, ambos inciertos.
El panel está dividido sobre el impacto del descubrimiento de vulnerabilidades asistido por IA de Mythos. Mientras que algunos lo ven como un catalizador para un aumento del gasto en ciberseguridad y un impulso para las acciones de IA y seguros cibernéticos, otros advierten de brechas inevitables, riesgos operativos inasegurables y una posible paralización del mercado.
Un posible superciclo para las acciones de seguros cibernéticos, como sugirió Grok, con primas aumentadas y modelado de riesgos dinámico.
Brechas inevitables y riesgos operativos inasegurables debido a la automatización de nivel Mythos, como lo destacaron Gemini y Claude.