🔐🤖 Una nueva IA de Anthropic encontró un fallo de seguridad con 27 años de antigüedad
La mayoría cree que la ciberseguridad es cosa de expertos técnicos. Pero lo que acaba de hacer Anthropic cambia quién puede —y debe— participar en esta conversación.
Durante 27 años, nadie lo vio.
Ni los equipos de seguridad de las empresas más grandes del mundo. Ni los miles de investigadores que han auditado el código. Ni las herramientas automáticas que llevan décadas buscando exactamente esto.
Una IA lo encontró en semanas.
Ahce unos días, Anthropic anunció el Proyecto Glasswing: una iniciativa de ciberseguridad en la que participan Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, la Linux Foundation, Microsoft, NVIDIA y Palo Alto Networks. El objetivo: usar un nuevo modelo de IA para proteger el software más crítico del mundo.
El resultado hasta ahora es tan impresionante como inquietante.
🧠 Qué es Claude Mythos Preview (y por qué no puedes usarlo)
El motor de todo esto es Claude Mythos Preview, el modelo más avanzado que Anthropic ha construido hasta la fecha. Y tiene una característica muy particular: no está disponible para el público general.
¿La razón? Es demasiado bueno encontrando y explotando vulnerabilidades de seguridad.
En pocas semanas de uso, Mythos Preview identificó miles de vulnerabilidades de día cero —fallos desconocidos que los atacantes podrían explotar— en todos los sistemas operativos principales y en todos los navegadores más usados. Algunos ejemplos concretos:
Un fallo con 27 años de antigüedad en OpenBSD
Una vulnerabilidad de 16 años en FFmpeg (el software que procesa vídeo en casi todo)
Un agujero de seguridad de 17 años en FreeBSD que permitía a cualquiera obtener control total de una máquina (catalogado como CVE-2026-4747)
Encadenamiento autónomo de múltiples vulnerabilidades en el kernel de Linux para obtener control total del sistema
Anthropic ha decidido no publicar los detalles de más del 99% de estas vulnerabilidades porque todavía no han sido parcheadas. Están en proceso de divulgación coordinada con los fabricantes afectados.
No es magia. Es que la IA ahora supera a la mayoría de los humanos en este tipo de análisis.
🔍 Por qué esto importa aunque no seas técnico
Puede que pienses: “Esto es para ingenieros de seguridad, no para mí.”
Error.
Lo que Anthropic acaba de demostrar tiene implicaciones directas para cualquier organización que use software —que es prácticamente todas—. El mensaje de fondo es este: los atacantes también tendrán acceso a modelos así, o ya lo tienen.
La pregunta no es si tu organización se va a ver afectada por la ciberseguridad potenciada por IA. Es cuándo, y si estarás en el lado de los que se preparan o en el de los que reaccionan.
🤝 El modelo de colaboración que propone Anthropic
Project Glasswing no es solo tecnología. Es una apuesta por un modelo de gobernanza.
Anthropic ha comprometido 100 millones de dólares en créditos de uso de Claude Mythos Preview para trabajo defensivo de seguridad entre los socios del proyecto y otras organizaciones. Además, destinará 4 millones de dólares en donaciones a organizaciones de seguridad de código abierto como la Linux Foundation.
La lógica es simple: si una IA puede encontrar miles de vulnerabilidades críticas, esa capacidad tiene que estar —al menos inicialmente— en manos de quienes van a usarla para proteger, no para atacar.
El problema, claro, es que ese control no dura para siempre. Los modelos capaces de hacer esto se irán democratizando. Por eso la ventana de preparación es ahora.
🚀 Cómo replicarlo hoy en tu organización
No tienes acceso a Claude Mythos Preview. Pero sí puedes empezar a trabajar con IA en ciberseguridad desde hoy mismo. Esto es lo que puedes hacer:
Haz un mapeo de tu software crítico. Pide a tu equipo de IT una lista de los sistemas y herramientas que usa tu organización. Luego usa este prompt:
“Soy [rol] en una empresa de [sector]. Usamos los siguientes sistemas: [lista]. ¿Cuáles tienen más probabilidades de tener vulnerabilidades conocidas no parcheadas? ¿Qué debería preguntar a nuestro equipo técnico?”
Evalúa tu postura actual de seguridad. Si no tienes un departamento de seguridad dedicado, empieza por entender dónde estás:
“Actúa como un consultor de ciberseguridad. Voy a describir cómo funciona nuestra organización en términos de software y accesos. Dime cuáles son las tres preguntas más importantes que debería hacer a mi equipo de IT para evaluar nuestra exposición a ataques.”
Identifica qué software de código abierto usas. La mayoría de empresas no lo sabe con exactitud. Muchos de los bugs encontrados por Mythos están en software open source ubicuo.
Suscríbete al CVE de tus sistemas clave. El CVE (Common Vulnerabilities and Exposures) es la base de datos pública de vulnerabilidades conocidas. Configura alertas para los sistemas que uses.
Prepara un plan de respuesta básico. No necesitas ser un experto en ciberseguridad. Necesitas saber qué hacer en las primeras dos horas si algo falla.
“Ayúdame a crear un plan de respuesta básico ante incidentes de seguridad para una empresa de [tamaño] en el sector [X]. El plan debe ser comprensible para personas no técnicas y cubrir las primeras 24 horas.”
Habla con tu equipo sobre cultura de seguridad. El vector de ataque más común sigue siendo humano: phishing, contraseñas reutilizadas, permisos excesivos.
Mantente informado. Lo que Anthropic ha demostrado es que el paisaje va a cambiar rápido. Newsletters como esta, y fuentes como The Hacker News o Krebs on Security, son el mínimo para no quedarse atrás.
No necesitas ser un hacker para entender esto. Necesitas hacer las preguntas correctas.
❓ Preguntas frecuentes
¿Puedo acceder a Claude Mythos Preview?
No. Anthropic ha decidido no hacerlo disponible al público general precisamente por sus capacidades de explotación de vulnerabilidades. Solo tienen acceso los socios del Proyecto Glasswing para trabajo defensivo.
¿Esto significa que mis sistemas actuales son inseguros?
Lo que significa es que los métodos para encontrar vulnerabilidades han mejorado radicalmente. Los sistemas que antes se consideraban “suficientemente revisados” ahora pueden revisarse a una velocidad y profundidad sin precedentes. Eso no implica que estés en peligro inmediato, pero sí que el listón de lo que significa “estar bien protegido” acaba de subir.
¿Sustituye esto a los equipos humanos de seguridad?
No. Cambia la forma en que trabajan esos equipos. La IA puede encontrar vulnerabilidades a una escala que los humanos no pueden igualar, pero la interpretación del contexto, las decisiones de negocio y la coordinación con fabricantes y reguladores siguen siendo trabajo humano.
¿Qué otras herramientas hacen algo similar?
Google Project Zero y Microsoft Security Response Center llevan años usando IA para análisis de vulnerabilidades. Empresas como Endor Labs, Snyk o Semgrep integran IA en sus herramientas de análisis de código. La diferencia con Mythos Preview es la escala y la autonomía: encontrar y encadenar vulnerabilidades de forma completamente autónoma es un salto cualitativo.
¿Esto es solo para empresas grandes?
No. Las vulnerabilidades encontradas están en software que usa todo el mundo: sistemas operativos, navegadores, librerías de vídeo. Las PyMEs también dependen de ese software.
💬 ¿Y tú qué piensas?
¿Tu organización tiene un plan de respuesta ante incidentes de seguridad? ¿O todavía es uno de esos temas que “se encarga el de IT”?
Cuéntanoslo en los comentarios. Nos interesa saber en qué punto están los equipos no técnicos cuando se trata de ciberseguridad.
📢 Para terminar
Si tu empresa trabaja con software crítico —y prácticamente todas lo hacen—, lo que ha demostrado el Proyecto Glasswing es que la IA va a redefinir la ciberseguridad. No en cinco años. Ahora.
En nuestro Bootcamp de IA Aplicada trabajamos exactamente esto: cómo usar IA de forma práctica en entornos profesionales reales, incluyendo cómo integrar herramientas de IA en procesos de seguridad y gestión del riesgo. Si quieres saber más, escríbenos directamente.
Y si este post te ha sido útil, compártelo con alguien que lo necesite. Especialmente con quien todavía crea que la ciberseguridad es “cosa de técnicos”.
¿Qué herramienta te gustaría que cubramos la próxima semana?
🔵 Claude para análisis de contratos y documentos legales
🟣 Perplexity para investigación de mercado en tiempo real
🟠 Gemini en Google Workspace para equipos







Lo que describe el Proyecto Glasswing cambia fundamentalmente la ecuación de la ciberseguridad empresarial, y creo que la implicación más importante no se menciona suficiente: si un modelo de IA puede identificar miles de vulnerabilidades de día cero en semanas, la velocidad a la que los atacantes también tendrán acceso a capacidades similares colapsa el margen de respuesta que antes tenían los equipos de seguridad.
Para organizaciones que no son grandes empresas tech, esto se traduce en algo concreto: el software de terceros que usas (gestores de contenido, ERPs, plataformas de e-commerce) probablemente tiene vulnerabilidades de este tipo que nadie ha encontrado aún —o que sí encontrarán antes que el proveedor.
La parte de "cómo replicarlo hoy" es la más útil del artículo. En nuestro caso estamos empezando a mapear el software crítico que usamos en automatizaciones y flujos de datos con IA precisamente por esto.
¿Ves un escenario en el que la IA defensiva y la IA ofensiva lleguen a un equilibrio, o la velocidad de los ataques siempre irá por delante de la defensa?