¿Qué es Mythos AI y por qué podría ser una amenaza para la ciberseguridad global?

Anthropic ha descartado el lanzamiento de su último modelo de IA, Mythos, al público debido a la amenaza que representa para la ciberseguridad global.

Sin embargo, la startup tecnológica estadounidense detrás del chatbot Claude confirmó el miércoles que estaba investigando un informe de que un grupo de personas había obtenido acceso no autorizado a Mythos. El presunto incidente ha generado preocupación sobre el ritmo de desarrollo y la capacidad de las empresas tecnológicas para mantener sus productos más arriesgados fuera del dominio público. Aquí, examinamos Mythos y su impacto potencial.

¿Qué es Mythos? Mythos es un modelo de IA, la tecnología subyacente que potencia herramientas como los chatbots, que, según Anthropic, representa una seria amenaza potencial para la ciberseguridad de cualquier organización. Anthropic anunció la existencia de Mythos el 7 de abril, pero dijo que no se lanzaría públicamente debido a su capacidad para identificar fallos desconocidos en los sistemas de TI. Esos fallos podrían, teóricamente, ser explotados por hackers.

Anthropic dijo que Mythos podría identificar y explotar fallos "zero-day" en todos los sistemas operativos de TI y navegadores web importantes, si un usuario se lo pidiera. Los zero-days se llaman así porque las organizaciones y los desarrolladores no los conocen y no han tenido tiempo de parchearlos antes de que ataque un agresor.

Anthropic lo describió como un "momento decisivo para la ciberseguridad". Algunos de los fallos no detectados habían estado presentes durante décadas, dijo la compañía de San Francisco.

La startup ha permitido a empresas tecnológicas y bancos, incluidos Apple y Goldman Sachs, acceder al modelo y evaluar los riesgos que podría suponer para sus negocios y clientes.

Anthropic anunció el Proyecto Glasswing el 8 de abril para permitir a las empresas probar Mythos en ciberseguridad. Fotografía: Samuel Boivin/NurPhoto/Shutterstock ¿Por qué es motivo de preocupación? Mythos representa evidencia tangible, según el Instituto de Seguridad de IA del Reino Unido (AISI), de las capacidades disruptivas de la IA avanzada. Desde la llegada del ChatGPT de OpenAI en 2022, los expertos han advertido que la IA podría causar graves daños en el mundo real.

También hay un punto más amplio: que Mythos es una indicación del ritmo de progreso en IA. Los modelos avanzados tienden a ser replicados rápidamente por otras empresas, incluidos los desarrolladores de modelos de código abierto que están disponibles gratuitamente para los usuarios. En una carta conjunta a los líderes empresariales el mes pasado, la secretaria de tecnología del Reino Unido, Liz Kendall, y el ministro de seguridad, Dan Jarvis, dijeron que las empresas necesitaban "planificar en consecuencia" para que las capacidades de IA "aumenten rápidamente" durante el próximo año. La IA puede, por supuesto, usarse para defenderse de los ciberataques.

Otra preocupación es que Mythos podría caer en las manos equivocadas a pesar de ser retenido del lanzamiento público. Ese temor se materializó esta semana cuando Anthropic confirmó que un "puñado" de usuarios en un foro en línea privado había obtenido acceso al modelo.

Sin embargo, también existe una pregunta sobre la importancia de los miles de vulnerabilidades que Mythos ha señalado. ¿Pueden causar daños graves? Además, resaltar un fallo de TI no es lo mismo que explotarlo.

¿Ha sido Mythos evaluado por expertos? El AISI, que es el principal organismo de seguridad de IA del mundo, ha examinado Mythos y dice que es un "paso adelante" respecto a modelos anteriores en términos de su amenaza para la ciberseguridad. Entre las señales de alerta se encuentran la capacidad de llevar a cabo ataques que involucran múltiples pasos y la identificación de fallos de TI sin guía humana.

También logró un hito a los ojos del AISI: completar con éxito una simulación de ciberataque de 32 pasos en una prueba creada por el instituto. Puede atacar sistemas de TI débiles y pequeños, dijo el AISI, aunque no pudo dar un veredicto sobre sistemas bien defendidos. El instituto terminó su evaluación con una observación que a menudo se repite en otros lugares: los sistemas de IA solo pueden mejorar a partir de aquí.

Richard Horne, director ejecutivo del Centro Nacional de Ciberseguridad del Reino Unido, dijo en la conferencia CyberUK en Glasgow esta semana que la aparición de Mythos ayudaría a animar a las empresas a reemplazar la "tecnología obsoleta". "Simplemente impulsa la urgencia", añadió.

Sin embargo, otros expertos han dicho que Mythos es más una evolución que una revolución. Aisle, una empresa que trabaja en ciberseguridad de IA, analizó las afirmaciones principales de Anthropic: que había encontrado miles de vulnerabilidades zero-day en grandes sistemas operativos y navegadores, incluida una en FreeBSD, un primo de UNIX. Descubrió que otros modelos, mucho más baratos, también eran capaces de encontrar estos problemas. Esto no significaba que las capacidades de Mythos no fueran significativas, dijeron, sino que había más matices de los que implicaba el tono urgente de Anthropic.

También hay cautela por parte de los expertos de que la mayoría de las brechas todavía provienen de riesgos bien establecidos, como la autenticación débil y las vulnerabilidades ya conocidas que no han sido parcheadas.
Algunos expertos sugieren que hay un elemento de exageración en las afirmaciones de Anthropic sobre Mythos y cómo una startup valorada en aproximadamente $800 mil millones (£592 mil millones) las ha presentado. Mythos es, sin duda, un modelo capaz. Sin embargo, el dramático anuncio de Anthropic le ha dado un tiempo de emisión significativo y ha centrado su producto en una discusión más amplia en todo el campo sobre cómo la IA podría contribuir al ciberriesgo.

¿Cómo participan las empresas tecnológicas y los bancos? Aproximadamente 40 empresas, incluidas Google, JP Morgan y Goldman, han tenido acceso temprano a Mythos a través de una iniciativa llamada Project Glasswing, que está destinada a dar a las empresas la oportunidad de probar el modelo de IA como parte de sus defensas cibernéticas. Anthropic dice que compartirán lo que aprendan "para que toda la industria pueda beneficiarse".

Sin embargo, los socios de lanzamiento no han proporcionado detalles sobre lo que creen que Mythos es capaz de hacer y qué amenaza podría presentar.

Eso no ha impedido que los bancos y los reguladores especulen sobre su impacto potencial. Y por una buena razón: si las advertencias de Anthropic son correctas, que Mythos caiga en las manos equivocadas podría causar estragos en los bancos y potencialmente poner en riesgo el sistema financiero en general.

La modelización del gobierno del Reino Unido sobre un escenario de hackeo bancario peor de lo esperado, producida incluso antes de la creación de Mythos, sugirió que los débitos directos podrían fallar, dejando sin pagar alquileres, hipotecas y salarios, mientras que la banca en línea y los retiros en cajeros automáticos podrían bloquearse. Los viajeros podrían quedarse en el limbo ya que los autobuses y las gasolineras rechazarían los pagos. Eso podría provocar pánico, lo que llevaría a una corrida en prestamistas rivales, ya que los clientes retirarían dinero de sus cuentas ante el temor de que la interrupción pudiera propagarse.

La preocupación por las amenazas prospectivas de Mythos llevó al secretario del Tesoro de EE. UU., Scott Bessent, a convocar una reunión con los jefes de los grandes bancos estadounidenses, incluidos Goldman y Citi, en Washington a principios de este mes.

Los reguladores del Reino Unido han añadido Mythos a la agenda de las reuniones del Grupo de Resiliencia Operacional del Mercado Cruzado esta semana. Esto lo pone en discusiones de alto nivel entre banqueros senior, así como funcionarios del Tesoro, el Banco de Inglaterra, la Autoridad de Conducta Financiera y el Centro Nacional de Ciberseguridad.