Las Claves #Mythos

Miguel Ángel Valero

En los últimos años, la computación cuántica se había identificado como la principal amenaza para la seguridad digital. La posibilidad de romper los protocolos de cifrado utilizados por la mayoría de los sistemas de comunicación y almacenamiento planteaba un desafío que era preciso abordar. En ello se implicaron universidades, empresas e institutos de investigación. Sin embargo, el reto más inmediato no lo ha planteado la computación cuántica, sino la inteligencia artificial (IA). No era un escenario completamente inesperado. 

Aun así, la magnitud del desafío planteado por el anuncio de Anthropic del 7 de abril de 2026, sobre un nuevo modelo de IA denominado Mythos, ha sacudido el panorama de la seguridad digital. El modelo está orientado a tareas de seguridad digital. Según Anthropic, el modelo Mythos puede identificar de forma autónoma vulnerabilidades y también proponer, e incluso generar, mecanismos para explotarlas con una intervención humana mínima y una extraordinaria eficacia. Lo singular del anuncio fue la decisión de restringir el acceso, de forma que no se ofrece al público general, sino que queda limitado a un conjunto reducido de organizaciones dentro del proyecto Glasswing. Todas las organizaciones incluidas en el proyecto Glasswing en el momento del anuncio son estadounidenses, aunque posteriormente se ha incluido a algunas europeas. 

"El modelo, la decisión de no publicarlo de forma abierta y la creación del proyecto Glasswing dibujan un punto de inflexión en la evolución de los modelos de IA. De ahora en adelante es probable que los modelos más avanzados se desplieguen mediante esquemas de acceso restringido, con consecuencias tecnológicas, regulatorias y geopolíticas", advierte un informe de la Fundación Esys.

Identificación de vulnerabilidades de seguridad

El 7 de abril Anthropic anunció Mythos mediante la publicación de una valoración de resultados obtenidos al usar el modelo para identificar vulnerabilidades de seguridad en software crítico, así como en sistemas y aplicaciones de código abierto ampliamente utilizados. Por razones obvias, no se publicó un listado completo de vulnerabilidades. Aun así, lo que ha trascendido indica que el modelo localizó fallos en sistemas operativos, navegadores web y librerías y aplicaciones de código abierto muy extendidas. Algunas de esas vulnerabilidades llevaban años, incluso décadas, en el código; en un caso, hasta 27 años. El documento publicado por Anthropic incluía algunos ejemplos de vulnerabilidades detectadas en software de código abierto y señalaba que el modelo había identificado muchas otras de naturaleza comparable.

La valoración publicada por Anthropic no se centraba tanto en la enumeración de las vulnerabilidades como en describir cómo había utilizado agentes de IA para analizar librerías de código abierto e identificar fallos. Las capacidades de Mythos no se limitan a la identificación. El modelo también puede generar código para explotar las vulnerabilidades. Anthropic reconoció que este aspecto les sorprendió, porque el modelo no habría sido entrenado específicamente para ello y porque modelos anteriores destacaban más en la detección y corrección que en la explotación. La diferencia es sustancial, una herramienta que ayuda a corregir fallos también puede abaratar y acelerar su explotación con fines ofensivos.

Anthropic se ha comprometido a publicar un informe completo de hallazgos a finales de junio o principios de julio de 2026, que provocará también una publicación escalonada de vulnerabilidades críticas y parches asociados.

La decisión de Anthropic no ha estado exenta de controversia. Algunas voces la interpretan como una estrategia para ganar atención mediática y reforzar su posición en la carrera por los modelos más avanzados. Una exitosa campaña de marketing. Otras la leen, sobre todo, como una medida de gestión del riesgo. Probablemente hay algo de ambas cosas. Más allá del ruido mediático, existe un amplio acuerdo sobre el cambio de escenario; incluso los más escépticos suelen cuestionar la magnitud, no la dirección. 

La seguridad digital entra en una dinámica de “IA contra IA”, que acelera el ciclo de identificación de vulnerabilidades, explotación y mitigación. Al comprimirse ese ciclo, se rompe el equilibrio implícito entre descubrimiento y reacción. Si antes encontrar fallos era caro y lento, ahora puede ser masivo y automatizado. En este nuevo escenario, los modelos de IA se convierten también en una herramienta ofensiva y el asunto entra de lleno en el terreno de la seguridad nacional. Si estos modelos pueden facilitar ciberataques a gran escala, es preciso revisar procedimientos y protocolos de defensa, y reevaluar el riesgo en infraestructuras y entidades críticas. 

Acelerada toma de conciencia del riesgo para la ciberseguridad

El anuncio ha derivado en una acelerada toma de conciencia del riesgo en el ámbito de la seguridad digital. La reacción del Banco Central Europeo (BCE) es un ejemplo ilustrativo: ha exigido a la banca planes de contingencia ante el nuevo modelo de IA de Anthropic. La inquietud en el sector financiero se ha reproducido, con matices, en otros sectores. Supervisores, reguladores y empresas temen que la nueva tecnología identifique vulnerabilidades en sus sistemas y que eso dé lugar a oleadas de ciberataques. La consecuencia que deja entrever el anuncio es doble. Por un lado, la IA empieza a tratarse como una capacidad crítica por su efecto multiplicador sobre lo defensivo y lo ofensivo. Por otro, se impone revisar el modelo y el paradigma de la seguridad digital.

Si la IA pasa a considerarse un activo crítico y el uso de los modelos avanzados por potenciales enemigos se convierten en un riesgo sistémico global, es preciso revisar la seguridad digital en varios aspectos. Además, un modelo de acceso restringido obliga a analizar el componente geopolítico y a valorar la necesidad de una gobernanza global en seguridad digital. 

Tres impactos ayudan a entender el alcance de Mythos: 

• Impacto geopolítico: impulso a la soberanía tecnológica.El anuncio de Mythos por parte de Anthropic ha tenido un impacto geopolítico inusualmente alto para el lanzamiento de un modelo de IA. Más allá de sus capacidades, la restricción del acceso a un número reducido de entidades ha provocado que Mythos haya sido percibido por gobiernos y reguladores como una tecnología crítica, con implicaciones directas para la seguridad nacional, la seguridad digital y el equilibrio de poder tecnológico. El control del acceso al modelo se ha convertido en un asunto estratégico comparable al control de otras tecnologías disruptivas muy sensibles, como los semiconductores avanzados o la computación cuántica. Tener el control de esta nueva tecnología otorga una ventaja geopolítica, lo que vuelve a dar protagonismo al debate sobre la autonomía estratégica y la soberanía tecnológica. y sobre la dependencia tecnológica global respecto a EEUU. Muchos países han interpretado el caso Mythos como una señal de alerta sobre la necesidad de desarrollar capacidades propias en IA avanzada y en seguridad digital. 
  • Este debate tiene especial impacto en Europa, por lo que el anuncio de Anthropic no ha hecho sino reforzar la controversia ya existente en el ámbito europeo. El desafío planteado por Mythos intensifica el debate europeo sobre la soberanía tecnológica y sobre la necesidad de reducir dependencias derivadas de la concentración tecnológica en un reducido número de compañías no europeas. 
  • Es probable que el Gobierno de EEUU intervenga de forma más directa en decisiones sobre el despliegue de tecnologías como Mythos. De ocurrir, sería un paso más en la interrelación entre empresas tecnológicas y gobiernos en la batalla global por el dominio de una tecnología crítica como la IA. Mythos representa una disrupción en el ámbito de la IA y la seguridad digital. La IA deja de ser percibida únicamente como una herramienta de productividad o innovación y pasa a considerarse un activo geopolítico, con implicaciones directas para la soberanía tecnológica y la resiliencia económica. 
• Impacto económico: ventaja competitiva y concentración de poder. El lanzamiento de Mythos ha reforzado la idea de que la IA avanzada será uno de los principales factores de competitividad y seguridad económica en los próximos años. A diferencia de otros modelos de IA centrados en productividad o automatización de tareas generales, Mythos ha situado la seguridad digital y la resiliencia digital en el centro del debate económico. Sus capacidades para detectar vulnerabilidades complejas y potenciales fallos críticos han llevado a empresas y gobiernos a considerar la IA como un activo estratégico esencial para proteger operaciones e infraestructuras. Esta situación refuerza la necesidad de que las empresas no busquen únicamente la eficiencia en sus decisiones sino también la seguridad, la continuidad de la actividad, incluso aunque ello suponga un sobrecoste, porque de nada servirá la eficiencia si la actividad desaparece por la explotación de una vulnerabilidad. Han sido varios los efectos inmediatos tras el anuncio. 
  • En primer lugar, resulta evidente la ventaja competitiva para aquellas empresas que puedan contar con esta tecnología, lo que obligará a acelerar la inversión en seguridad digital por parte de todas las compañías. Sectores como banca, telecomunicaciones, energía, salud o transporte tendrán que incrementar el gasto en soluciones basadas en IA capaces de anticipar amenazas y responder a ataques automatizados cada vez más sofisticados. 
  • Además, Mythos ha puesto de manifiesto que el acceso a modelos avanzados y a grandes capacidades de computación puede convertirse en una ventaja competitiva decisiva, favoreciendo una mayor concentración económica alrededor de las grandes compañías tecnológicas que controlan estas capacidades. La competencia y la concentración de poder económico en el ámbito de la IA vuelven a ganar protagonismo tras el anuncio de Anthropic.
  • Además, Mythos podría acelerar cambios en el mercado laboral. Las organizaciones van a necesitar cada vez más perfiles especializados en IA, análisis de riesgos y seguridad digital, al tiempo que tendrán que incrementar las inversiones en resiliencia operativa y protección de infraestructuras. 
  • En el plano económico, Mythos supone un cambio de paradigma. La IA deja de percibirse únicamente como una herramienta de eficiencia y pasa a considerarse un componente central de la resiliencia y la soberanía económica en la economía global. 
• Impacto social: percepción pública de mayor riesgoEl anuncio de Mythos también ha tenido un importante impacto social al transformar la percepción pública de la IA y consolidar la idea de que la IA avanzada puede convertirse no solo en una herramienta de innovación, sino también en una fuente de riesgos. Hasta ahora, gran parte del debate social sobre IA se había centrado en productividad o automatización. Sin embargo, Mythos ha desplazado el debate hacia cuestiones relacionadas con la seguridad, la dependencia tecnológica y las posibles consecuencias sociales de sistemas de IA avanzados. Uno de los principales efectos ha sido el aumento de la preocupación sobre la seguridad digital y la vulnerabilidad de los servicios críticos. La posibilidad de que una IA pueda descubrir y explotar fallos complejos en sistemas financieros, energéticos, sanitarios o de telecomunicaciones ha generado inquietud sobre la capacidad real de nuestras sociedades para proteger sus servicios críticos. Esto ha contribuido a extender la percepción de que la dependencia tecnológica también implica nuevos riesgos 
  • El caso Mythos también ha alimentado el debate sobre transparencia y concentración de poder tecnológico. El hecho de que el modelo no haya sido liberado públicamente y quede restringido a gobiernos y grandes empresas ha reforzado la percepción de que las tecnologías más avanzadas pueden quedar controladas por un número muy reducido de actores. Socialmente, esto ha reactivado preocupaciones sobre desigualdad tecnológica, falta de supervisión y dependencia de grandes plataformas digitales. 
  • El anuncio también ha intensificado el debate ético sobre los límites del desarrollo de la IA. Si existen sistemas de IA que incluso sus propios desarrolladores consideran demasiado potentes o peligrosos para un acceso abierto, esto puede incrementar las demandas de regulación, supervisión pública y establecimiento de una gobernanza internacional para controlar las capacidades avanzadas de la IA. 
  • El impacto social también se extiende al ámbito laboral y educativo. Mythos ha acentuado la sensación de aceleración tecnológica y la necesidad de adaptación continua a nuevas capacidades digitales. Empresas, universidades y administraciones deben incrementar la formación en IA, seguridad digital y resiliencia digital para acomodar la preocupación sobre cómo estas tecnologías modificarán empleos y competencias profesionales. Mythos puede cambiar la percepción social sobre la inteligencia artificial con un tono más negativo. La IA deja de percibirse únicamente como una herramienta de eficiencia o creatividad y pasa a ser vista como una tecnología que plantea riesgos relevantes para la sociedad.

Una completa transformación de la ciberseguridad

Para las empresas de seguridad digital, Mythos supone un cambio profundo. El modelo altera tanto el enfoque tecnológico como el posicionamiento estratégico del sector: la IA pasa a convertirse en el núcleo de capacidades defensivas y ofensivas. Esto implica que muchas compañías deberán evolucionar desde modelos basados principalmente en monitorización y respuesta manual hacia plataformas apoyadas en IA, capaces de detectar, analizar y neutralizar amenazas de forma automatizada y en tiempo real. Mythos ha demostrado que un modelo avanzado de IA puede identificar vulnerabilidades complejas y potenciales fallos con una velocidad muy superior a la de los procesos tradicionales. Esto reduce drásticamente el tiempo disponible entre el descubrimiento de una vulnerabilidad y su posible explotación, obligando a las empresas de seguridad digital a acelerar sus capacidades de detección y corrección. En consecuencia, el sector está entrando en una dinámica de “IA contra IA”, donde tanto atacantes como defensores utilizarán herramientas automatizadas cada vez más sofisticadas. 

El nuevo escenario también genera oportunidades de crecimiento, ya que empresas y gobiernos tendrán que incrementar sus presupuestos de seguridad digital o sus alianzas para garantizarse un acceso a la tecnología más avanzada posible. Al mismo tiempo, aumentará la presión competitiva. Las compañías que no logren incorporar IA avanzada a sus soluciones corren el riesgo de quedar rápidamente obsoletas y vulnerables frente a actores capaces de ofrecer protección automatizada y análisis predictivo a gran escala. 

Mythos también favorece una mayor concentración del mercado. El acceso a modelos avanzados, grandes capacidades de computación y enormes volúmenes de datos requiere inversiones muy elevadas, lo que beneficia especialmente a grandes plataformas tecnológicas y a proveedores globales con fuerte capacidad financiera. Esto puede dificultar la posición competitiva de empresas de seguridad digital medianas o pequeñas, que dependerán cada vez más de alianzas estratégicas o de la integración con grandes ecosistemas tecnológicos.

La IA avanzada no necesariamente sustituirá a las grandes plataformas del sector, sino que podría reforzar a los actores con mayor escala, datos, capacidad de integración y acceso temprano a modelos punteros, y acelerar la consolidación alrededor de grandes plataformas. Alternativamente también reforzará a los “elegidos”, aquellos que gocen de relaciones privilegiadas con los propietarios de la tecnología, los que hayan conseguido alianzas adecuadas (sean empresas o países). 

El caso Mythos también está acelerando la convergencia entre seguridad digital, defensa nacional y entidades críticas. Las empresas del sector pasan a desempeñar un papel más estratégico en ámbitos como energía, telecomunicaciones, banca o transporte, lo que exige aumentar la colaboración con gobiernos y organismos reguladores. En este contexto, la seguridad digital deja de ser únicamente un servicio tecnológico para convertirse en un elemento central de resiliencia económica y seguridad nacional. Mythos acelera la transformación de la industria de la seguridad digital al impulsar la automatización basada en IA, favorecer la consolidación del mercado y elevar la importancia estratégica del sector dentro de la economía digital y la geopolítica tecnológica.

El debate sobre la regulación de la IA se acelera

El anuncio de Mythos ha acelerado el debate regulatorio sobre IA al poner de manifiesto que los modelos más avanzados pueden tener implicaciones directas para la seguridad económica y la resiliencia de las infraestructuras críticas. Hasta ahora, gran parte de la regulación de la IA, especialmente en Europa, se había centrado en aspectos como transparencia, protección de datos, sesgos algorítmicos o la protección de los derechos fundamentales de los ciudadanos. Sin embargo, Mythos ha ampliado el debate en una nueva dirección, la gestión de capacidades tecnológicas que pueden tener usos duales, tanto defensivos como ofensivos, y tanto civiles como militares. La capacidad atribuida al modelo para identificar vulnerabilidades complejas y potenciales fallos ha generado preocupación en gobiernos y reguladores sobre la posibilidad de automatizar ciberataques a gran escala. 

Como consecuencia, las instituciones podrían comenzar a considerar que determinados modelos avanzados de IA podrían requerir mecanismos de supervisión similares a los existentes en sectores estratégicos o tecnologías sensibles. Esto incluye abrir debates sobre regulación y control de estos modelos con capacidades avanzadas de IA (licencias de uso, obligaciones de auditoría, evaluación previa de riesgos, limitaciones de acceso o incluso controles de exportación). 

En 2024 el Pacto Digital Global que elaboró Naciones Unidas en el marco de la Cumbre del Futuro propuso un marco de cooperación internacional en el ámbito digital. El Pacto subrayaba que los retos, riesgos y beneficios de las tecnologías digitales requieren nuevas reglas y mecanismos de cooperación internacional. En particular, indicaba que los retos digitales, por su propia naturaleza, deben abordarse de forma conjunta con una visión global que integre los puntos de vista de los diferentes actores implicados. En esa visión, la IA y la seguridad digital eran las tecnologías que mejor mostraban la necesidad de dar un paso hacia una gobernanza global. IA y seguridad digital son ámbitos que requieren un acuerdo internacional sobre cómo se van a utilizar y cómo se asegura un uso ético y responsable. 

El caso Mythos ha venido a reforzar esta visión y a fortalecer la necesidad de avanzar en esa gobernanza. Aunque las estructuras creadas en Naciones Unidas en el marco del Pacto Digital Global se encuentran aún en un estado incipiente, es previsible que el debate continúe y se refuerce alimentando aún más la distancia entre los líderes políticos que defienden el multilateralismo frente a los que lo evitan. 

Los avances en el ámbito internacional siempre son lentos, pero tras la irrupción de Mythos es previsible que organismos internacionales y gobiernos valoren iniciar la exploración de posibles marcos de cooperación para supervisar modelos avanzados de IA, compartir información sobre riesgos y establecer normas comunes para tecnologías con potencial impacto sistémico. Será lento, pero Mythos ha abierto el debate. 

Por otra parte, el anuncio va a intensificar el debate sobre la responsabilidad de las empresas que desarrollan modelos de IA, sobre si las compañías privadas deben ser las únicas responsables de decidir cuándo una IA es demasiado potente para su liberación pública. Esta cuestión va a impulsar previsiblemente demandas de mayor supervisión pública y de nuevos mecanismos regulatorios lo que reforzaría la posición europea sobre la necesidad de regular de manera adecuada la actividad digital. Mythos va a intensificar el debate regulatorio sobre la IA y la seguridad digital. En un momento en que la Unión Europea está proponiendo ajustar y revisar la regulación sobre la IA y la seguridad digital en su paquete de Omnibus Digital, Mythos puede llevar a una orientación diferente sobre la regulación digital. El debate sobre cómo controlar el uso de tecnologías que pueden representar un riesgo sistémico ha quedado abierto.

Cambio de paradigma que obliga a tomar decisiones

Un análisis de KPMG subraya que Mythos anticipa  cómo evolucionarán otros modelos avanzados de IA al combinar razonamiento lógico, análisis de código, autonomía agéntica y capacidad de construir cadenas de explotación funcionales sin intervención humana directa: "Estamos ante un cambio de paradigma en cómo y a qué velocidad somos capaces de construir la ciberseguridad".

Los responsables de las empresas deben asumir que los ciberataques van a ser de mayor número, envergadura y alcance. También deben alinear las necesidades de negocio, tecnología y ciberseguridad, ante escenarios de levantamiento de riesgos, resiliencia tecnológica y automatización defensiva. Sobre todo, no tomar decisiones es ya un riesgo.

Otras actuaciones recomendadas son:

• revisar con recurrencia el nivel de exposición externa y dependencias de terceros; 
• evolucionar hacia arquitecturas zero trust y detección de patrones anómalos;
• preparación específica frente a escenarios de fraude avanzado, suplantación de identidades, entre otros.
• contar con mayor visibilidad de todo el perímetro permitirá decidir y ejecutar mejor y más rápido. 
• apostar por una mayor segmentación, políticas de mínimos privilegios y detección temprana
• invertir en prevención y en defensa, analizar y entender potenciales cadenas de ataque
• analizar puertos, parches, evaluar 0-days, y asumir el mayor volumen de parcheo.
• realizar ejercicios de simulación para identificar cuellos de botella reales: capacidad humana, toma de decisiones, ventanas de mantenimiento y aceptación de riesgo

"Los modelos clásicos de ciberseguridad no sirven, hay que defenderse con IA", concluye este análisis.

Miguel Ángel Valero

Deepseek ha lanzado su esperado nuevo modelo de IA V4 Flash y V4 Pro para competir con las últimas versiones de los gigantes tecnológicos estadounidenses. La compañía china mantiene su apuesta por un modelo abierto, aunque ha advertido de que el acceso comercial a la versión Pro estará más limitado debido a la falta de capacidad computacional. Esta restricción, según la empresa, se aliviará en la segunda mitad del año con la incorporación de nuevos servidores equipados con chips de Huawei, una señal que disipa los temores de que una mayor eficiencia de los modelos reduzca la necesidad de invertir en capacidad de cómputo, lo que ha provocado un nuevo rally en el segmento de semiconductores, especialmente entre los proveedores chinos.

Las primeras impresiones apuntan precisamente en esa dirección: la eficiencia sigue siendo el principal valor diferencial del modelo, pero, a diferencia del año pasado, los resultados no superan a los de los modelos estadounidenses más avanzados.

En plena ronda de financiación, la compañía china ha despertado el interés de Tencent, que estaría dispuesta a adquirir un 20% del capital, y mantiene conversaciones con Alibaba como posible nuevo socio, a pesar de que ambas firmas cuentan también con desarrollos propios.

En la carrera por dominar el efervescente mercado de la inteligencia artificial (IA), cada lanzamiento cuenta, pero en esta ocasión parece que el empuje chino ha quedado por debajo de las expectativas creadas el año pasado. 

Ahora, el mundo aguarda el lanzamiento completo de Mythos, de Anthropic, un acontecimiento que está generando una notable inquietud en el ámbito de la ciberseguridad.

¿Qué está pasando con Mythos?

Jesús Cristóbal, profesor de OBS Business School y director de Sand, destaca que el ecosistema de la inteligencia artificial ha recibido una de las noticias más relevantes, e inquietantes, de lo que va de año. La protagonista es Anthropic, la empresa detrás del conocido modelo de lenguaje Claude. En el ámbito de los LLM (Large Language Models), los modelos son versiones entrenadas con identidad propia. Aunque suelen presentarse como sistemas independientes, en la práctica muchos evolucionan a partir de iteraciones anteriores mediante reentrenamiento parcial y técnicas de alineamiento. A esto se suman capas superiores, como el fine-tuning o el uso de principios de alineación, que determinan su comportamiento final, reducen sesgos y amplían sus capacidades.

A finales de marzo de 2026 comenzaron a circular filtraciones de documentación técnica interna de Anthropic. Se trataba de decenas de páginas que describían capacidades avanzadas de modelos aún no anunciados con un foco: la ciberseguridad ofensiva. En ese momento todavía no estaba confirmado el nombre, pero ya aparecían referencias a un modelo que semanas después se haría público bajo el nombre de Mythos. A principios de abril, el nombre quedó confirmado. Y entre el 8 y el 20 de abril llegó el anuncio clave: Anthropic no liberaría Mythos al público general. 

¿Por qué frenar un modelo aparentemente tan avanzado? La explicación oficial es que Mythos detecta vulnerabilidades de software y automatiza su descubrimiento y explotación. Según la propia compañía, el modelo ha identificado cientos, posiblemente miles de vulnerabilidades en distintos tipos de software, desde sistemas operativos hasta aplicaciones de gestión empresarial. Muchas de estas vulnerabilidades son lo que en ciberseguridad se denomina zero day: fallos desconocidos por el fabricante para los que no existe parche ni mecanismo de defensa. Esto significa que pueden ser explotados sin que el proveedor del software tenga capacidad de reacción inmediata. 

El problema no es solo la existencia de estas vulnerabilidades —que siempre han existido—, sino que Mythos reduce drásticamente el coste de encontrarlas y explotarlas. Lo que antes requería equipos altamente especializados durante semanas o meses, ahora puede ejecutarse de forma automatizada y a gran escala. 

Ante este escenario, Anthropic activó un programa cerrado de colaboración con más de 40 organizaciones tecnológicas y de ciberseguridad como Apple, Amazon, Microsoft, Google o Nvidia, junto a actores clave del ámbito de la seguridad como CrowdStrike y Palo Alto Networks, además de organizaciones del ecosistema open source como Linux Foundation y Mozilla.

La decisión abre interrogantes. No existe una lista pública completa de participantes, ni está claro el alcance real de las vulnerabilidades detectadas. Tampoco pasa desapercibido que el acceso se haya limitado a un grupo reducido de organizaciones.

Mythos representa un cambio importante: por primera vez la capacidad de descubrir y explotar vulnerabilidades deja de depender exclusivamente de expertos humanos y pasa a ser automatizable. El riesgo ya no reside en que existan más fallos, sino en que el coste de encontrarlos es minúsculo.

Más allá de la seguridad hay un factor menos visible pero igualmente relevante: el coste de operar modelos de este tipo requiere una capacidad de computación masiva. Cada consulta implica un consumo significativo de recursos, lo que se traduce en costes directos elevados y, sobre todo, en un importante coste de oportunidad en infraestructuras. En este contexto, algunos analistas plantean una hipótesis incómoda: la restricción de acceso a modelos como Mythos podría no responder únicamente a motivos de seguridad, sino también a una realidad económica. Por primera vez, los modelos más avanzados podrían quedar limitados no solo por su peligrosidad potencial, sino por quién puede permitirse operarlos.

Lo que está en juego con Mythos no es solo un nuevo avance tecnológico, sino el inicio de una nueva etapa en la relación entre inteligencia artificial y seguridad digital. Una etapa en la que la pregunta ya no es qué pueden hacer estos modelos, sino quién debería tener acceso a ellos.

Miguel Ángel Valero

La inteligencia artificial (IA) ya no es una promesa. Es una realidad que se está extendiendo con rapidez en el tejido empresarial. En España, el porcentaje de empresas que la utilizan se ha duplicado en apenas tres años, pasando del 13% al 21%, especialmente en sectores como el tecnológico y los servicios.

"Si uno se queda en la superficie, la lectura parece tranquilizadora. Los sectores más expuestos a la IA no han destruido empleo; de hecho, han sido los que más han crecido desde 2019. Durante ese periodo, a mayor exposición, mayor creación de empleo. Pero esa relación se ha ido debilitando con la irrupción de la IA generativa hasta prácticamente desaparecer. La IA ya no impulsa el empleo como antes… pero tampoco lo destruye de forma evidente. Y ahí está el error de interpretación", advierte el analista Pablo Gil en The Trader.

El verdadero cambio no está en el volumen total, sino en su distribución. Cuando se analizan los datos por edades, el patrón es claro: los jóvenes, especialmente los menores de 25 años empiezan a quedarse fuera de las ocupaciones más expuestas a la IA. No porque pierdan empleo, sino porque cada vez acceden menos a él. Las empresas no despiden perfiles juniores. Dejan de contratarlos.

Los trabajadores con experiencia se benefician: son más productivos y aportan más valor en un entorno donde la tecnología amplifica sus capacidades. Pero los jóvenes dependen de ese primer empleo para empezar. Si esas posiciones desaparecen o se reducen, el impacto no es inmediato en los datos, pero sí profundo a nivel estructural. Sin entrada, no hay aprendizaje. Y sin aprendizaje, no hay progresión.

Lo que empieza a confirmarse es que el impacto de la IA no es lineal. Surge del equilibrio entre automatización, reasignación de tareas y crecimiento de las empresas que adoptan la tecnología. El resultado puede parecer neutro, pero esconde cambios importantes. Y uno de los más relevantes es la pérdida de oportunidades en los primeros escalones del mercado laboral.

La inteligencia artificial no está destruyendo empleo de forma masiva, pero está alterando las reglas del juego de forma silenciosa y profunda. El problema ya no es cuántos empleos se crean o se destruyen, sino quién tiene acceso a ellos. Y si no se corrige, el riesgo no es solo económico. Es generacional. Porque un mercado laboral que deja fuera a los más jóvenes no solo reduce su presente… compromete su futuro.

Mythos: la IA que mete miedo

Durante años, los riesgos del sistema financiero eran los de siempre: crédito, liquidez, tipos de interés o crisis de confianza. Pero está emergiendo una amenaza distinta, que no encaja en ninguno de esos bloques tradicionales… y que además está escalando con rapidez.

Los grandes bancos de Wall Street (como JPMorgan, Goldman Sachs, Citigroup o Bank of America) han empezado a probar un modelo de IA desarrollado por Anthropic: Mythos. Lo relevante no es que mejore procesos o automatice tareas. Es que puede detectar vulnerabilidades… y también tiene la capacidad potencial de explotarlas. Entramos en una fase en la que la misma herramienta sirve tanto para defenderse como para atacar. Y eso cambia las reglas del juego.

La Administración de Donald Trump ya ha elevado el nivel de alerta. El Tesoro ha reunido a los grandes bancos para analizar su impacto, en un contexto en el que la carrera tecnológica ha dejado de ser solo una cuestión de eficiencia para convertirse en un problema de seguridad sistémica. Porque el riesgo no es solo lo que hagan los bancos con estas herramientas… sino quién más pueda utilizarlas. Aquí es donde se entiende la magnitud del cambio. Hasta ahora, los ciberataques requerían equipos humanos, tiempo y tenían limitaciones. Con modelos como Mythos, esa barrera desaparece. Se multiplica la velocidad, la escala y la capacidad de encontrar fallos, incluso vulnerabilidades desconocidas (los llamados “zero-days”) que pueden explotarse automáticamente.

El nivel de sofisticación del riesgo está dando un salto. Y no llega en un momento cualquiera. Coincide con un sistema financiero que ya arrastra otras tensiones menos visibles, como el crecimiento del crédito privado o la acumulación de deuda en sectores tecnológicos. No sustituye riesgos, los suma.

Esto explica también el cambio de enfoque de los reguladores. Ya se obligaba a los bancos a cubrir riesgos operativos, incluidos los ciberataques, pero este tipo de amenaza es distinta: es difusa, incierta y ahora, además, automatizada. La seguridad deja de ser estática. Pasa a ser una carrera permanente.

"Estamos ante un cambio de naturaleza similar al que vemos en otros frentes de la economía global. Igual que el control de rutas estratégicas ha puesto en duda principios que dábamos por garantizados, en el ámbito financiero empieza a cuestionarse otro pilar básico: la capacidad de proteger los sistemas", insiste Pablo Gil.

"La IA no solo transforma la productividad o el empleo. Está redefiniendo el concepto de riesgo… y lo hace a una velocidad muy superior a la capacidad de adaptación de las instituciones. Por eso, el problema no es si habrá un ataque. Es que el equilibrio entre defensa y vulnerabilidad ha cambiado de forma estructural. Y cuando eso ocurre, ya no hablamos de un riesgo puntual… sino de un nuevo entorno permanente".

La organización pulpo

En este contexto, Editorial Almuzara, en colaboración de Fundación Abante y Executive Excellence, organizaron un debate entre Santiago Satrústegui, presidente y CEO de Abante Asesores y de EFPA España, y Jonathan Brill, experto en transformación digital y coautor (junto a Stephen Wunker) de La IA y la organización pulpo. En la presentación de la obra editada por Almuzara, dos claros mensajes: el verdadero reto es cómo gestionar el cambio; la IA no está para sustituir al humano sino para mejorar las organizaciones, facilitar la toma de decisiones y, sobre todo, su aplicación efectiva. 

Para Jonathan Brill, "la diferencia entre las empresas que tendrán éxito en el ámbito de la IA y las que no, realmente no tiene nada que ver con la tecnología, sino con cómo trabajamos juntos como equipos, cómo colaboramos como personas, para ser más creativos, más innovadores, para apoyarnos mutuamente y para trabajar con la inteligencia artificial con el fin de que nos ayude a coordinarnos, a crear, a inventar y a conquistar el futuro".

El tradicional modelo de las organizaciones se basa en la idea de una mente central que decide todo. Pero así no es cómo funcionan realmente. Un pulpo tiene una mente descentralizada, tiene un cerebro principal, pero la mayoría de su inteligencia está distribuida en los tentáculos. Cada tentáculo puede actuar de forma independiente. Ésta es la clave: la inteligencia, la creatividad y la toma de decisiones están distribuidas. Diferentes partes exploran cosas distintas, comparten información y toman decisiones de abajo hacia arriba. La innovación ocurre en la base, no en la cima, eso requiere coordinación entre equipos. "Las empresas que triunfen no serán las que mejor usen la tecnología, sino las que mejor gestionen a las personas", insiste este experto.

Para capturar la enorme oportunidad de la IA, el equipo de una organización debe pensar y actuar como un pulpo, ser veloz, flexible e inteligente. Para ello, hay que organizarlo para lograr el máximo impacto de la IA, pero también gestionar la dimensión emocional del cambio impulsado por la IA, que pone patas arriba conceptos tan tradicionales como crecimiento, coordinación y cultura.

Porque la IA redefine lo que las empresas son capaces de hacer, cómo crean valor y cómo compiten. No es una herramienta, sino un multiplicador de capacidades que impregna cada función de la organización. Las empresas que logren integrar la IA de manera efectiva no solo automatizarán tareas; reinventarán sus modelos de negocio, su manera de innovar y la forma en que sus personas toman decisiones. 

La IA es una fuente de conocimientos para acelerar el camino hacia la creación de valor. Las herramientas ya existen, lo que falta es imaginación organizativa: rediseñar roles, incentivos y salvaguardas para que personas y máquinas puedan pensar juntas a gran escala mientras se preservan la autonomía y la creatividad. Cuando se logre, la IA se convertirá en un catalizador que permitirá a las personas (y a las organizaciones) lograr juntos lo que nadie ni siquiera podría intentar por su cuenta. 

Si las organizaciones quieren sobrevivir, deben volverse fluidas como un pulpo, utilizando la IA para distribuir y acelerar la toma de decisiones rutinarias; descompartimentar las funciones y gestión; desarrollar y agudizar los sentidos respecto a los del entorno competitivo y el de las propias empresas. 

Esto se concreta en:

1. 1.-Comenzar con los "puntos de dolor", no con la tecnología: Muchas empresas lanzan decenas de pilotos de IA que nunca se traducen en resultados de negocio. A menudo, el problema es que el piloto no se diseñó para resolver un desafío estratégico, sino para probar un problema técnico concreto. Una empresa obtendrá mucho más valor de sus primeros experimentos con IA si se los plantea como oportunidades para resolver un problema real del negocio.
2. 2.-Hacer menos y esperar más. Las empresas líderes en IA se concentran en menos iniciativas, pero anticipan aproximadamente el doble de retorno sobre la inversión que las que las siguen. Incluir métricas cuantificables en los primeros pilotos puede ayudar a centrarse en aquellos que parezcan más prometedores y generen apoyo ejecutivo.
3. 3.-Fortalecer los fundamento de datos. Los datos que alimentan las aplicaciones de IA deben estar integrados, limpios, y ser accesibles. Si los datos de la empresa están fragmentados en distintos sistemas de mala calidad o difíciles de acceder, escalar la IA en el ámbito empresarial estará siempre fuera del  alcance.
4. 4.-Implementar «Machine Learning Ops» para la gestión del ciclo de vida: Las soluciones de IA puntuales pueden elaborarse artesanalmente; pero docenas, no. Aquí es donde entra en juego MLOps, un conjunto de prácticas y herramientas para gestionar el ciclo de vida del machine learning.
5. 5.-Mantener la seguridad y la fiabilidad. A gran escala, la IA pasa a formar parte de procesos críticos para el negocio, por lo que la infraestructura de ciberseguridad de la empresa debe ser sólida y segura. También hay que incorpora los sistemas de IA a los modelos de amenaza cibernética, ya que la IA introduce nuevos riesgos como el envenenamiento de datos (si alguien introduce de forma maliciosa datos erróneos para reentrenar un modelo) o los inputs de adversario (entradas especialmente diseñadas para engañar a un modelo). Y garantizar controles de acceso adecuados sobre los datos y los modelos: quién puede desplegar cambios, quién puede ver los datos sensibles de entrenamiento, etc.