La irrupción de modelos de inteligencia artificial cada vez más avanzados está marcando un punto de inflexión en la ciberseguridad. Así lo advierten desde Logixs, boutique tecnológica española especializada en IA generativa, tras analizar el impacto de Claude Mythos, el nuevo modelo desarrollado por Anthropic, presentado el pasado 7 de abril.

Según el análisis, Mythos ha demostrado una capacidad sin precedentes para detectar vulnerabilidades de forma autónoma en sistemas operativos y navegadores web, identificando fallos que llevaban hasta 27 años sin ser descubiertos, pese a décadas de revisión humana y pruebas automatizadas. Además, el modelo es capaz de generar exploits funcionales en el 72% de los casos, reduciendo a horas procesos que tradicionalmente requerían semanas de trabajo especializado.

Ante el potencial ofensivo de esta tecnología, Anthropic optó por restringir su acceso mediante el lanzamiento de Project Glasswing, una iniciativa dotada con 100 millones de dólares y limitada a grandes compañías como AWS, Apple, Microsoft o Google para fines exclusivamente defensivos. Sin embargo, el pasado 22 de abril se produjo un acceso no autorizado al modelo a través de credenciales comprometidas de un contratista externo, confirmando los riesgos que ya anticipaba el sector.

Un cambio de escala en la ciberseguridad

El fenómeno no es aislado. Según el informe State of Cloud Security Report 2025 de Palo Alto Networks, el 99% de las grandes empresas con infraestructura en la nube ya utiliza agentes de IA para generar código. No obstante, esta aceleración conlleva riesgos significativos: cerca del 45% del código generado por IA contiene vulnerabilidades, según datos de Veracode.

Además, otros modelos como GPT-5.4-Cyber de OpenAI o Big Sleep de Google están desarrollando capacidades similares, lo que apunta a una tendencia generalizada en la evolución de la inteligencia artificial hacia capacidades ofensivas más avanzadas.

La preocupación ha llegado también al ámbito institucional. El pasado 16 de abril, el Parlamento Europeo planteó una pregunta formal a la Comisión Europea sobre cómo abordar el riesgo de un posible “cibergedón” y adaptar el marco legislativo ante este tipo de tecnologías.

Más allá de la tecnología: el reto empresarial

Desde Logixs subrayan que el verdadero impacto de Mythos no reside únicamente en su capacidad técnica, sino en lo que revela sobre el actual modelo de adopción de la IA en las empresas. El auge del vibe coding —el desarrollo de software asistido por IA sin conocimientos técnicos profundos— está multiplicando la producción de código y, con ella, la superficie de ataque de las organizaciones.

“Mythos es una señal de alerta para todo el ecosistema empresarial, no solo para los equipos de ciberseguridad. La velocidad a la que se está generando software con IA no puede ir por delante de la seguridad, la trazabilidad y la supervisión humana”, explican desde la compañía.

En este sentido, advierten de que muchas organizaciones están implementando soluciones de IA sobre infraestructuras que no están preparadas, sin gobierno del dato ni validación del código, lo que amplifica los riesgos. “El problema no es la inteligencia artificial en sí, sino cómo se está implementando. Mythos ha demostrado que estas carencias ya tienen consecuencias reales”, concluyen.

Este nuevo escenario obliga a las empresas a replantear sus estrategias, priorizando la seguridad, la gobernanza y la supervisión en un entorno donde la inteligencia artificial no solo crea, sino que también puede explotar vulnerabilidades a una velocidad sin precedentes.