Las Claves #KPMG

Miguel Ángel Valero

En los últimos años, la computación cuántica se había identificado como la principal amenaza para la seguridad digital. La posibilidad de romper los protocolos de cifrado utilizados por la mayoría de los sistemas de comunicación y almacenamiento planteaba un desafío que era preciso abordar. En ello se implicaron universidades, empresas e institutos de investigación. Sin embargo, el reto más inmediato no lo ha planteado la computación cuántica, sino la inteligencia artificial (IA). No era un escenario completamente inesperado. 

Aun así, la magnitud del desafío planteado por el anuncio de Anthropic del 7 de abril de 2026, sobre un nuevo modelo de IA denominado Mythos, ha sacudido el panorama de la seguridad digital. El modelo está orientado a tareas de seguridad digital. Según Anthropic, el modelo Mythos puede identificar de forma autónoma vulnerabilidades y también proponer, e incluso generar, mecanismos para explotarlas con una intervención humana mínima y una extraordinaria eficacia. Lo singular del anuncio fue la decisión de restringir el acceso, de forma que no se ofrece al público general, sino que queda limitado a un conjunto reducido de organizaciones dentro del proyecto Glasswing. Todas las organizaciones incluidas en el proyecto Glasswing en el momento del anuncio son estadounidenses, aunque posteriormente se ha incluido a algunas europeas. 

"El modelo, la decisión de no publicarlo de forma abierta y la creación del proyecto Glasswing dibujan un punto de inflexión en la evolución de los modelos de IA. De ahora en adelante es probable que los modelos más avanzados se desplieguen mediante esquemas de acceso restringido, con consecuencias tecnológicas, regulatorias y geopolíticas", advierte un informe de la Fundación Esys.

Identificación de vulnerabilidades de seguridad

El 7 de abril Anthropic anunció Mythos mediante la publicación de una valoración de resultados obtenidos al usar el modelo para identificar vulnerabilidades de seguridad en software crítico, así como en sistemas y aplicaciones de código abierto ampliamente utilizados. Por razones obvias, no se publicó un listado completo de vulnerabilidades. Aun así, lo que ha trascendido indica que el modelo localizó fallos en sistemas operativos, navegadores web y librerías y aplicaciones de código abierto muy extendidas. Algunas de esas vulnerabilidades llevaban años, incluso décadas, en el código; en un caso, hasta 27 años. El documento publicado por Anthropic incluía algunos ejemplos de vulnerabilidades detectadas en software de código abierto y señalaba que el modelo había identificado muchas otras de naturaleza comparable.

La valoración publicada por Anthropic no se centraba tanto en la enumeración de las vulnerabilidades como en describir cómo había utilizado agentes de IA para analizar librerías de código abierto e identificar fallos. Las capacidades de Mythos no se limitan a la identificación. El modelo también puede generar código para explotar las vulnerabilidades. Anthropic reconoció que este aspecto les sorprendió, porque el modelo no habría sido entrenado específicamente para ello y porque modelos anteriores destacaban más en la detección y corrección que en la explotación. La diferencia es sustancial, una herramienta que ayuda a corregir fallos también puede abaratar y acelerar su explotación con fines ofensivos.

Anthropic se ha comprometido a publicar un informe completo de hallazgos a finales de junio o principios de julio de 2026, que provocará también una publicación escalonada de vulnerabilidades críticas y parches asociados.

La decisión de Anthropic no ha estado exenta de controversia. Algunas voces la interpretan como una estrategia para ganar atención mediática y reforzar su posición en la carrera por los modelos más avanzados. Una exitosa campaña de marketing. Otras la leen, sobre todo, como una medida de gestión del riesgo. Probablemente hay algo de ambas cosas. Más allá del ruido mediático, existe un amplio acuerdo sobre el cambio de escenario; incluso los más escépticos suelen cuestionar la magnitud, no la dirección. 

La seguridad digital entra en una dinámica de “IA contra IA”, que acelera el ciclo de identificación de vulnerabilidades, explotación y mitigación. Al comprimirse ese ciclo, se rompe el equilibrio implícito entre descubrimiento y reacción. Si antes encontrar fallos era caro y lento, ahora puede ser masivo y automatizado. En este nuevo escenario, los modelos de IA se convierten también en una herramienta ofensiva y el asunto entra de lleno en el terreno de la seguridad nacional. Si estos modelos pueden facilitar ciberataques a gran escala, es preciso revisar procedimientos y protocolos de defensa, y reevaluar el riesgo en infraestructuras y entidades críticas. 

Acelerada toma de conciencia del riesgo para la ciberseguridad

El anuncio ha derivado en una acelerada toma de conciencia del riesgo en el ámbito de la seguridad digital. La reacción del Banco Central Europeo (BCE) es un ejemplo ilustrativo: ha exigido a la banca planes de contingencia ante el nuevo modelo de IA de Anthropic. La inquietud en el sector financiero se ha reproducido, con matices, en otros sectores. Supervisores, reguladores y empresas temen que la nueva tecnología identifique vulnerabilidades en sus sistemas y que eso dé lugar a oleadas de ciberataques. La consecuencia que deja entrever el anuncio es doble. Por un lado, la IA empieza a tratarse como una capacidad crítica por su efecto multiplicador sobre lo defensivo y lo ofensivo. Por otro, se impone revisar el modelo y el paradigma de la seguridad digital.

Si la IA pasa a considerarse un activo crítico y el uso de los modelos avanzados por potenciales enemigos se convierten en un riesgo sistémico global, es preciso revisar la seguridad digital en varios aspectos. Además, un modelo de acceso restringido obliga a analizar el componente geopolítico y a valorar la necesidad de una gobernanza global en seguridad digital. 

Tres impactos ayudan a entender el alcance de Mythos: 

• Impacto geopolítico: impulso a la soberanía tecnológica.El anuncio de Mythos por parte de Anthropic ha tenido un impacto geopolítico inusualmente alto para el lanzamiento de un modelo de IA. Más allá de sus capacidades, la restricción del acceso a un número reducido de entidades ha provocado que Mythos haya sido percibido por gobiernos y reguladores como una tecnología crítica, con implicaciones directas para la seguridad nacional, la seguridad digital y el equilibrio de poder tecnológico. El control del acceso al modelo se ha convertido en un asunto estratégico comparable al control de otras tecnologías disruptivas muy sensibles, como los semiconductores avanzados o la computación cuántica. Tener el control de esta nueva tecnología otorga una ventaja geopolítica, lo que vuelve a dar protagonismo al debate sobre la autonomía estratégica y la soberanía tecnológica. y sobre la dependencia tecnológica global respecto a EEUU. Muchos países han interpretado el caso Mythos como una señal de alerta sobre la necesidad de desarrollar capacidades propias en IA avanzada y en seguridad digital. 
  • Este debate tiene especial impacto en Europa, por lo que el anuncio de Anthropic no ha hecho sino reforzar la controversia ya existente en el ámbito europeo. El desafío planteado por Mythos intensifica el debate europeo sobre la soberanía tecnológica y sobre la necesidad de reducir dependencias derivadas de la concentración tecnológica en un reducido número de compañías no europeas. 
  • Es probable que el Gobierno de EEUU intervenga de forma más directa en decisiones sobre el despliegue de tecnologías como Mythos. De ocurrir, sería un paso más en la interrelación entre empresas tecnológicas y gobiernos en la batalla global por el dominio de una tecnología crítica como la IA. Mythos representa una disrupción en el ámbito de la IA y la seguridad digital. La IA deja de ser percibida únicamente como una herramienta de productividad o innovación y pasa a considerarse un activo geopolítico, con implicaciones directas para la soberanía tecnológica y la resiliencia económica. 
• Impacto económico: ventaja competitiva y concentración de poder. El lanzamiento de Mythos ha reforzado la idea de que la IA avanzada será uno de los principales factores de competitividad y seguridad económica en los próximos años. A diferencia de otros modelos de IA centrados en productividad o automatización de tareas generales, Mythos ha situado la seguridad digital y la resiliencia digital en el centro del debate económico. Sus capacidades para detectar vulnerabilidades complejas y potenciales fallos críticos han llevado a empresas y gobiernos a considerar la IA como un activo estratégico esencial para proteger operaciones e infraestructuras. Esta situación refuerza la necesidad de que las empresas no busquen únicamente la eficiencia en sus decisiones sino también la seguridad, la continuidad de la actividad, incluso aunque ello suponga un sobrecoste, porque de nada servirá la eficiencia si la actividad desaparece por la explotación de una vulnerabilidad. Han sido varios los efectos inmediatos tras el anuncio. 
  • En primer lugar, resulta evidente la ventaja competitiva para aquellas empresas que puedan contar con esta tecnología, lo que obligará a acelerar la inversión en seguridad digital por parte de todas las compañías. Sectores como banca, telecomunicaciones, energía, salud o transporte tendrán que incrementar el gasto en soluciones basadas en IA capaces de anticipar amenazas y responder a ataques automatizados cada vez más sofisticados. 
  • Además, Mythos ha puesto de manifiesto que el acceso a modelos avanzados y a grandes capacidades de computación puede convertirse en una ventaja competitiva decisiva, favoreciendo una mayor concentración económica alrededor de las grandes compañías tecnológicas que controlan estas capacidades. La competencia y la concentración de poder económico en el ámbito de la IA vuelven a ganar protagonismo tras el anuncio de Anthropic.
  • Además, Mythos podría acelerar cambios en el mercado laboral. Las organizaciones van a necesitar cada vez más perfiles especializados en IA, análisis de riesgos y seguridad digital, al tiempo que tendrán que incrementar las inversiones en resiliencia operativa y protección de infraestructuras. 
  • En el plano económico, Mythos supone un cambio de paradigma. La IA deja de percibirse únicamente como una herramienta de eficiencia y pasa a considerarse un componente central de la resiliencia y la soberanía económica en la economía global. 
• Impacto social: percepción pública de mayor riesgoEl anuncio de Mythos también ha tenido un importante impacto social al transformar la percepción pública de la IA y consolidar la idea de que la IA avanzada puede convertirse no solo en una herramienta de innovación, sino también en una fuente de riesgos. Hasta ahora, gran parte del debate social sobre IA se había centrado en productividad o automatización. Sin embargo, Mythos ha desplazado el debate hacia cuestiones relacionadas con la seguridad, la dependencia tecnológica y las posibles consecuencias sociales de sistemas de IA avanzados. Uno de los principales efectos ha sido el aumento de la preocupación sobre la seguridad digital y la vulnerabilidad de los servicios críticos. La posibilidad de que una IA pueda descubrir y explotar fallos complejos en sistemas financieros, energéticos, sanitarios o de telecomunicaciones ha generado inquietud sobre la capacidad real de nuestras sociedades para proteger sus servicios críticos. Esto ha contribuido a extender la percepción de que la dependencia tecnológica también implica nuevos riesgos 
  • El caso Mythos también ha alimentado el debate sobre transparencia y concentración de poder tecnológico. El hecho de que el modelo no haya sido liberado públicamente y quede restringido a gobiernos y grandes empresas ha reforzado la percepción de que las tecnologías más avanzadas pueden quedar controladas por un número muy reducido de actores. Socialmente, esto ha reactivado preocupaciones sobre desigualdad tecnológica, falta de supervisión y dependencia de grandes plataformas digitales. 
  • El anuncio también ha intensificado el debate ético sobre los límites del desarrollo de la IA. Si existen sistemas de IA que incluso sus propios desarrolladores consideran demasiado potentes o peligrosos para un acceso abierto, esto puede incrementar las demandas de regulación, supervisión pública y establecimiento de una gobernanza internacional para controlar las capacidades avanzadas de la IA. 
  • El impacto social también se extiende al ámbito laboral y educativo. Mythos ha acentuado la sensación de aceleración tecnológica y la necesidad de adaptación continua a nuevas capacidades digitales. Empresas, universidades y administraciones deben incrementar la formación en IA, seguridad digital y resiliencia digital para acomodar la preocupación sobre cómo estas tecnologías modificarán empleos y competencias profesionales. Mythos puede cambiar la percepción social sobre la inteligencia artificial con un tono más negativo. La IA deja de percibirse únicamente como una herramienta de eficiencia o creatividad y pasa a ser vista como una tecnología que plantea riesgos relevantes para la sociedad.

Una completa transformación de la ciberseguridad

Para las empresas de seguridad digital, Mythos supone un cambio profundo. El modelo altera tanto el enfoque tecnológico como el posicionamiento estratégico del sector: la IA pasa a convertirse en el núcleo de capacidades defensivas y ofensivas. Esto implica que muchas compañías deberán evolucionar desde modelos basados principalmente en monitorización y respuesta manual hacia plataformas apoyadas en IA, capaces de detectar, analizar y neutralizar amenazas de forma automatizada y en tiempo real. Mythos ha demostrado que un modelo avanzado de IA puede identificar vulnerabilidades complejas y potenciales fallos con una velocidad muy superior a la de los procesos tradicionales. Esto reduce drásticamente el tiempo disponible entre el descubrimiento de una vulnerabilidad y su posible explotación, obligando a las empresas de seguridad digital a acelerar sus capacidades de detección y corrección. En consecuencia, el sector está entrando en una dinámica de “IA contra IA”, donde tanto atacantes como defensores utilizarán herramientas automatizadas cada vez más sofisticadas. 

El nuevo escenario también genera oportunidades de crecimiento, ya que empresas y gobiernos tendrán que incrementar sus presupuestos de seguridad digital o sus alianzas para garantizarse un acceso a la tecnología más avanzada posible. Al mismo tiempo, aumentará la presión competitiva. Las compañías que no logren incorporar IA avanzada a sus soluciones corren el riesgo de quedar rápidamente obsoletas y vulnerables frente a actores capaces de ofrecer protección automatizada y análisis predictivo a gran escala. 

Mythos también favorece una mayor concentración del mercado. El acceso a modelos avanzados, grandes capacidades de computación y enormes volúmenes de datos requiere inversiones muy elevadas, lo que beneficia especialmente a grandes plataformas tecnológicas y a proveedores globales con fuerte capacidad financiera. Esto puede dificultar la posición competitiva de empresas de seguridad digital medianas o pequeñas, que dependerán cada vez más de alianzas estratégicas o de la integración con grandes ecosistemas tecnológicos.

La IA avanzada no necesariamente sustituirá a las grandes plataformas del sector, sino que podría reforzar a los actores con mayor escala, datos, capacidad de integración y acceso temprano a modelos punteros, y acelerar la consolidación alrededor de grandes plataformas. Alternativamente también reforzará a los “elegidos”, aquellos que gocen de relaciones privilegiadas con los propietarios de la tecnología, los que hayan conseguido alianzas adecuadas (sean empresas o países). 

El caso Mythos también está acelerando la convergencia entre seguridad digital, defensa nacional y entidades críticas. Las empresas del sector pasan a desempeñar un papel más estratégico en ámbitos como energía, telecomunicaciones, banca o transporte, lo que exige aumentar la colaboración con gobiernos y organismos reguladores. En este contexto, la seguridad digital deja de ser únicamente un servicio tecnológico para convertirse en un elemento central de resiliencia económica y seguridad nacional. Mythos acelera la transformación de la industria de la seguridad digital al impulsar la automatización basada en IA, favorecer la consolidación del mercado y elevar la importancia estratégica del sector dentro de la economía digital y la geopolítica tecnológica.

El debate sobre la regulación de la IA se acelera

El anuncio de Mythos ha acelerado el debate regulatorio sobre IA al poner de manifiesto que los modelos más avanzados pueden tener implicaciones directas para la seguridad económica y la resiliencia de las infraestructuras críticas. Hasta ahora, gran parte de la regulación de la IA, especialmente en Europa, se había centrado en aspectos como transparencia, protección de datos, sesgos algorítmicos o la protección de los derechos fundamentales de los ciudadanos. Sin embargo, Mythos ha ampliado el debate en una nueva dirección, la gestión de capacidades tecnológicas que pueden tener usos duales, tanto defensivos como ofensivos, y tanto civiles como militares. La capacidad atribuida al modelo para identificar vulnerabilidades complejas y potenciales fallos ha generado preocupación en gobiernos y reguladores sobre la posibilidad de automatizar ciberataques a gran escala. 

Como consecuencia, las instituciones podrían comenzar a considerar que determinados modelos avanzados de IA podrían requerir mecanismos de supervisión similares a los existentes en sectores estratégicos o tecnologías sensibles. Esto incluye abrir debates sobre regulación y control de estos modelos con capacidades avanzadas de IA (licencias de uso, obligaciones de auditoría, evaluación previa de riesgos, limitaciones de acceso o incluso controles de exportación). 

En 2024 el Pacto Digital Global que elaboró Naciones Unidas en el marco de la Cumbre del Futuro propuso un marco de cooperación internacional en el ámbito digital. El Pacto subrayaba que los retos, riesgos y beneficios de las tecnologías digitales requieren nuevas reglas y mecanismos de cooperación internacional. En particular, indicaba que los retos digitales, por su propia naturaleza, deben abordarse de forma conjunta con una visión global que integre los puntos de vista de los diferentes actores implicados. En esa visión, la IA y la seguridad digital eran las tecnologías que mejor mostraban la necesidad de dar un paso hacia una gobernanza global. IA y seguridad digital son ámbitos que requieren un acuerdo internacional sobre cómo se van a utilizar y cómo se asegura un uso ético y responsable. 

El caso Mythos ha venido a reforzar esta visión y a fortalecer la necesidad de avanzar en esa gobernanza. Aunque las estructuras creadas en Naciones Unidas en el marco del Pacto Digital Global se encuentran aún en un estado incipiente, es previsible que el debate continúe y se refuerce alimentando aún más la distancia entre los líderes políticos que defienden el multilateralismo frente a los que lo evitan. 

Los avances en el ámbito internacional siempre son lentos, pero tras la irrupción de Mythos es previsible que organismos internacionales y gobiernos valoren iniciar la exploración de posibles marcos de cooperación para supervisar modelos avanzados de IA, compartir información sobre riesgos y establecer normas comunes para tecnologías con potencial impacto sistémico. Será lento, pero Mythos ha abierto el debate. 

Por otra parte, el anuncio va a intensificar el debate sobre la responsabilidad de las empresas que desarrollan modelos de IA, sobre si las compañías privadas deben ser las únicas responsables de decidir cuándo una IA es demasiado potente para su liberación pública. Esta cuestión va a impulsar previsiblemente demandas de mayor supervisión pública y de nuevos mecanismos regulatorios lo que reforzaría la posición europea sobre la necesidad de regular de manera adecuada la actividad digital. Mythos va a intensificar el debate regulatorio sobre la IA y la seguridad digital. En un momento en que la Unión Europea está proponiendo ajustar y revisar la regulación sobre la IA y la seguridad digital en su paquete de Omnibus Digital, Mythos puede llevar a una orientación diferente sobre la regulación digital. El debate sobre cómo controlar el uso de tecnologías que pueden representar un riesgo sistémico ha quedado abierto.

Cambio de paradigma que obliga a tomar decisiones

Un análisis de KPMG subraya que Mythos anticipa  cómo evolucionarán otros modelos avanzados de IA al combinar razonamiento lógico, análisis de código, autonomía agéntica y capacidad de construir cadenas de explotación funcionales sin intervención humana directa: "Estamos ante un cambio de paradigma en cómo y a qué velocidad somos capaces de construir la ciberseguridad".

Los responsables de las empresas deben asumir que los ciberataques van a ser de mayor número, envergadura y alcance. También deben alinear las necesidades de negocio, tecnología y ciberseguridad, ante escenarios de levantamiento de riesgos, resiliencia tecnológica y automatización defensiva. Sobre todo, no tomar decisiones es ya un riesgo.

Otras actuaciones recomendadas son:

• revisar con recurrencia el nivel de exposición externa y dependencias de terceros; 
• evolucionar hacia arquitecturas zero trust y detección de patrones anómalos;
• preparación específica frente a escenarios de fraude avanzado, suplantación de identidades, entre otros.
• contar con mayor visibilidad de todo el perímetro permitirá decidir y ejecutar mejor y más rápido. 
• apostar por una mayor segmentación, políticas de mínimos privilegios y detección temprana
• invertir en prevención y en defensa, analizar y entender potenciales cadenas de ataque
• analizar puertos, parches, evaluar 0-days, y asumir el mayor volumen de parcheo.
• realizar ejercicios de simulación para identificar cuellos de botella reales: capacidad humana, toma de decisiones, ventanas de mantenimiento y aceptación de riesgo

"Los modelos clásicos de ciberseguridad no sirven, hay que defenderse con IA", concluye este análisis.