Logixs, una de las principales boutiques tecnológicas españolas especializadas en IA generativa, han analizado las implicaciones que el lanzamiento de Claude Mythos, el modelo de IA de Anthropic presentado el pasado 7 de abril, tiene no solo para la ciberseguridad empresarial, sino para la forma en que las organizaciones están adoptando la inteligencia artificial en su conjunto.
Claude Mythos ha demostrado ser capaz de descubrir de forma autónoma miles de vulnerabilidades en sistemas operativos y navegadores web, incluyendo fallos que llevaban hasta 27 años sin detectarse pese a décadas de revisión humana y millones de pruebas automatizadas. El modelo genera exploits funcionales para el 72% de las vulnerabilidades que encuentra, completando en horas lo que a un equipo humano le llevaría semanas. Ante su potencial ofensivo, Anthropic decidió no hacerlo público y lanzó Project Glasswing, una iniciativa de 100 millones de dólares que restringe el acceso a socios como AWS, Apple, Microsoft o Google para uso exclusivamente defensivo. Pese a ello, el 22 de abril se produjo un acceso no autorizado al modelo a través de credenciales comprometidas de un contratista externo, que era algo que ya se temía.
Algunos datos clave que dimensionan el impacto de este fenómeno en las empresas:
- El 99% de las grandes empresas globales con infraestructura en la nube ya utiliza agentes de IA para generar código, según el State of Cloud Security Report 2025 de Palo Alto Networks
- Aproximadamente el 45% del código generado por inteligencia artificial contiene vulnerabilidades de seguridad, según Veracode
- Mythos no es un caso aislado ya que modelos como GPT-5.4-Cyber de OpenAI o Big Sleep de Google están desarrollando capacidades comparables
- El Parlamento Europeo presentó el pasado 16 de abril una pregunta formal a la Comisión Europea sobre las estrategias necesarias para prevenir un posible "cibergedón", exigiendo conocer cómo piensa la Comisión adaptar su marco legislativo a modelos de IA con capacidades ofensivas como Mythos y cómo va a impulsar la investigación de vulnerabilidades dentro de la UE
Desde Logixs señalan que lo más relevante de Mythos no es su capacidad ofensiva, sino lo que revela sobre el momento que atraviesan las empresas. El auge del vibe coding o lo que es lo mismo, la práctica de desarrollar software con IA sin necesidad de conocimientos técnicos profundos está multiplicando exponencialmente la producción de código y, con ella, la superficie de ataque de las organizaciones, justo en un momento en el que modelos como Mythos demuestran que esas vulnerabilidades ya no pueden permanecer ocultas.
"Mythos es una señal de alerta para todo el ecosistema empresarial, no solo para los equipos de ciberseguridad. Lo que nos dice es que la velocidad a la que las empresas están generando software con IA no puede ir por delante de la seguridad, la trazabilidad y la supervisión humana. El problema no es la inteligencia artificial en sí, sino cómo se está implementando ya que muchas organizaciones están añadiendo IA sobre estructuras que no están preparadas, sin gobierno del dato, sin validación del código y sin un marco claro que garantice que lo que se construye es seguro. Mythos simplemente ha demostrado que esas carencias tienen consecuencias reales", afirman desde Logixs.