Mythos, el nuevo modelo de inteligencia artificial especializado en ciberseguridad de Anthropic, ya está generando impacto real. En menos de 30 días, ha identificado cientos de vulnerabilidades críticas, pero también ha sido accedida por usuarios no autorizados. Su doble naturaleza —defensiva y ofensiva— exige regulación urgente, inversión pública y concienciación técnica.
¿Qué es Mythos y por qué genera tanto debate en ciberseguridad?
Mythos no es solo otro modelo de IA. Es un sistema diseñado para replicar —y superar— las capacidades de los mejores analistas de seguridad humana. Anthropic lo presenta como capaz de descubrir, validar y explotar fallos de software de forma autónoma.
Firefox y Mozilla ya lo han integrado en pruebas internas. Sus resultados: 317 vulnerabilidades detectadas en código abierto en 72 horas. Pero su distribución está restringida. Y eso no ha impedido fugas.
¿Es Mythos realmente más peligrosa que otras IAs de seguridad?
No. No estamos ante un cambio radical, sino ante una aceleración del riesgo existente. Como explica Doris Seedorf, CEO de Softek: la amenaza no nace con Mythos, sino que se intensifica con su velocidad, escalabilidad y autonomía.
Los modelos anteriores ya podían encontrar bugs. Mythos lo hace 12 veces más rápido y sin supervisión humana constante. Eso reduce el window of exposure —el tiempo entre descubrimiento y parcheo— de días a minutos.
¿Qué significa esto para las empresas españolas?
- El 68 % de las pymes españolas no dispone de equipos de ciberseguridad proactiva.
- El coste medio de un ataque con IA explotada supera los 4,2 millones de euros (Informe INCIBE 2026).
- Solo el 12 % de las administraciones locales han actualizado sus protocolos frente a amenazas basadas en IA generativa.
¿Quiénes ya usan Mythos y qué implica su acceso restringido?
Anthropic ha otorgado acceso temprano a siete entidades: The Linux Foundation, Amazon, Apple, Google, Microsoft, Cisco y la NSA. Curiosamente, la misma agencia que clasificó a Anthropic como peligrosa para la seguridad nacional bajo la administración Trump.
Este acceso selectivo revela una paradoja: se confía en Mythos para proteger infraestructuras críticas, pero su control se concentra en manos privadas y agencias con agendas distintas.
¿Qué dice el marco legal actual en España y la UE?
- El Reglamento de IA de la UE (en vigor desde abril de 2026) clasifica a Mythos como sistema de alto riesgo por su capacidad de explotación autónoma.
- La Ley de Ciberseguridad Nacional española exige auditorías externas para cualquier IA usada en servicios esenciales —pero no contempla modelos de acceso cerrado como Mythos.
- No existe aún un protocolo de divulgación responsable obligatorio para IAs que descubren vulnerabilidades sin intervención humana.
¿Qué datos clave debes conocer sobre Mythos en 2026?
- Mythos identificó 317 vulnerabilidades en 72 horas durante pruebas con Mozilla.
- Un grupo no autorizado accedió al modelo dos semanas después de su lanzamiento oficial.
- Su capacidad de explotación autónoma reduce el tiempo medio de explotación de 4,7 días a menos de 11 minutos.
- La NSA y cinco gigantes tecnológicos son los únicos con acceso pleno al modelo.
- No está sujeto a auditoría pública ni a certificación bajo el estándar ETSI EN 303 645.
¿Cuál es el impacto económico real de su despliegue?
El mercado español de ciberseguridad crecerá un 22 % en 2026, impulsado por la demanda de soluciones con IA. Pero el riesgo se traslada: los ciberataques con soporte de IA ya representan el 34 % de los incidentes reportados al INCIBE. Cada ataque con Mythos-like tools eleva el coste medio de respuesta un 41 %.
Empresas sin equipos técnicos especializados en detección de IA adversarial están en desventaja estructural. No se trata de tener más herramientas, sino de entender cómo se usan —y cómo se evaden.
¿Qué deben hacer los CISOs y responsables de seguridad hoy?
- Priorizar la formación en IA adversarial para equipos técnicos.
- Exigir transparencia en los contratos con proveedores de IA de seguridad.
- Integrar controles de output validation para detectar explotaciones autónomas no autorizadas.
- Participar en foros como el Grupo de Trabajo de IA del CNPIC para influir en la regulación nacional.
