Durante años, el debate sobre la Inteligencia Artificial en la ciberseguridad se ha movido entre dos extremos: la promesa utópica de una defensa automatizada y el alarmismo de un 'apocalipsis hacker' que nunca terminaba de llegar. Sin embargo, este abril de 2026, el informe del Instituto de Seguridad de IA del Reino Unido (AISI) sobre el modelo Claude Mythos Preview ha puesto los puntos sobre las íes.
Ya no hablamos de teoría. Hablamos de una máquina capaz de ejecutar, de forma autónoma, un ataque de 32 pasos para tomar el control total de una red corporativa.
Del 'Script Kiddie' al Agente AutónomoLo que separa a Mythos de sus predecesores (como GPT-4 o Claude 3) no es solo que sepa escribir código malicioso. Es su capacidad de razonamiento y persistencia. En las pruebas del AISI, el modelo no se limitó a sugerir vulnerabilidades; las buscó en el kernel de Linux y en Firefox, creó los exploits y los ejecutó.
El dato que debería quitar el sueño a los CISOs no es el éxito del 73% en pruebas de nivel experto, sino la prueba de 'Toma de Control de Red'. En 3 de cada 10 intentos, la IA logró pasar del reconocimiento inicial al control total del sistema. Esto convierte a la IA en algo más que una herramienta: la convierte en un agente ofensivo que no descansa, no se equivoca por fatiga y escala su conocimiento a la velocidad de sus servidores.
Hype o Amenaza Real?El artículo de Ars Technica plantea la pregunta necesaria: ¿estamos exagerando? La respuesta es un matizado 'no'.
Es cierto que el AISI reconoce que estas pruebas se realizaron en entornos controlados y sin la resistencia de un equipo humano de respuesta rápida (Blue Team). Sin embargo, el hecho de que Anthropic haya decidido no lanzar Mythos al público general, limitándolo a socios críticos bajo el 'Proyecto Glasswing', es la señal de humo definitiva. Cuando los propios creadores tienen miedo de su criatura, el hype se convierte en diagnóstico.
Nueva 'Prueba de Trabajo'Estamos entrando en una era donde la ciberseguridad se parecerá más a una 'Prueba de Trabajo' (Proof of Work). Los defensores ya no podrán confiar solo en parches y cortafuegos; tendrán que invertir presupuestos masivos en 'tokens de endurecimiento'. Es decir, usar IAs tan potentes como Mythos para encontrar sus propios fallos antes de que un atacante lo haga.
La defensa ya no es una cuestión de ingenio humano contra ingenio humano, sino de 'capacidad de cómputo contra capacidad de cómputo'.
Conclusión: Una llamada a la acciónEl informe del Reino Unido es una victoria para la transparencia, pero una advertencia para la industria. Si una IA puede navegar de forma autónoma por una red compleja, el modelo de seguridad basado en 'confiar pero verificar' ha muerto.
La llegada de Claude Mythos nos obliga a aceptar una realidad incómoda: la ventaja táctica está virando hacia la ofensiva. La única pregunta que queda es si las organizaciones están dispuestas a automatizar su defensa a la misma velocidad que los atacantes automatizarán su destrucción. El tiempo de las advertencias se ha acabado; el tiempo de la IA ofensiva ya está aquí.