Claude Mythos: por qué Anthropic no publica su modelo más potente

El pasado 7 de abril, Anthropic hizo algo poco habitual en la historia reciente de la inteligencia artificial: anunció que no va a publicar su modelo más avanzado hasta nueva orden. Se llama Claude Mythos Preview, encuentra vulnerabilidades en software que llevaban hasta 27 años ocultas y es capaz de construir exploits complejos sin supervisión humana. Buena parte de la prensa lo ha contado con titulares que hablan de "terror" y "nueva era de amenazas cibernéticas".

Nosotros creemos que es una noticia importante, sí, pero no aterradora. Es, sobre todo, lógica. Y esconde dos lecciones muy útiles para cualquier empresa española que todavía esté pensando si integrar IA en sus procesos o esperar a ver qué pasa.

Un pez nadando en el océano

La IA no es un intruso en el mundo del software. Es un pez en su océano.

Pongámoslo en una imagen sencilla. La informática es el medio donde nace y vive la inteligencia artificial.

Los modelos como Claude no son turistas en este mundo: son peces en su océano. Han crecido leyendo miles de millones de líneas de código, documentación técnica, incidentes de seguridad y análisis forense. Razonan sobre software como un pez nada: de manera natural.

Los humanos llevamos décadas encontrando vulnerabilidades en sistemas informáticos con mucho esfuerzo y resultados notables. Somos creativos y ambiciosos, pero tenemos límites biológicos: no procesamos millones de tokens por segundo, no recordamos todos los CVE publicados, no podemos leer el código de OpenBSD de principio a fin en una sesión.

Cuando una inteligencia artificial que sí puede hacer todo eso se topa con código, el resultado es previsible: encontrará fallos. Muchos. Algunos que llevaban décadas sin descubrirse, no porque nadie los buscara, sino porque escapaban a lo que un humano puede abarcar en una vida profesional.

Que esto ocurra no es una anomalía ni un presagio apocalíptico. Es lo que pasa cuando un pez cruza el océano: no es hazaña, es su medio.

Qué es exactamente Claude Mythos

Más allá del nombre, lo que ha hecho Anthropic es medir las capacidades del modelo en tareas reales de ciberseguridad y publicar los resultados. Los datos son concretos y vale la pena verlos sin dramatismo:

• En el benchmark de ciberseguridad CyberGym, Mythos Preview alcanzó un 83,1%, frente al 66,6% de Claude Opus 4.6, el modelo público actual. Un salto de casi 17 puntos en pocos meses.
• En pruebas autónomas de desarrollo de exploits para Firefox, Mythos logró 181 exploits exitosos de 191 intentos. Opus 4.6, el modelo disponible para todos, apenas llegaba a 2 aciertos en varios cientos de intentos.
• El modelo encontró una vulnerabilidad en OpenBSD relacionada con el manejo de números de secuencia TCP que llevaba 27 años sin descubrirse, y otra en el códec H.264 de FFmpeg con 16 años de antigüedad.
• De forma autónoma construyó un exploit de ejecución remota de código para FreeBSD (CVE-2026-4747) que involucra una cadena ROP de 20 gadgets repartida en múltiples paquetes de red.

El equipo técnico de Anthropic explica que estas capacidades "emergieron como efectos secundarios de mejoras generales en el razonamiento del código". No entrenaron al modelo para hackear. Mejoraron su comprensión del código en general y la capacidad de encontrar fallos llegó sola.

Más del 99% de las vulnerabilidades descubiertas por Mythos siguen sin parchear hoy mismo. Anthropic usa commitments criptográficos SHA-3 para demostrar que las encontró sin revelar detalles, respetando el proceso estándar de disclosure responsable con los fabricantes (hasta 135 días).

Una empresa que actúa con sentido común

Project Glasswing: 12 empresas fundadoras, más de 40 organizaciones, un objetivo común — defender antes de atacar.

Ante esas capacidades, Anthropic ha tomado una decisión que para nosotros es simplemente sensata: no publicar el modelo de forma general hasta que existan salvaguardas adecuadas, y en su lugar darle acceso restringido a un grupo concreto de organizaciones que pueden usarlo para defender sus sistemas. Ese grupo, bautizado como Project Glasswing, incluye a 12 empresas fundadoras:

Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, la Linux Foundation, Microsoft, NVIDIA, Palo Alto Networks y la propia Anthropic. Más de 40 organizaciones adicionales que mantienen software crítico también han recibido acceso.

Es la primera vez en mucho tiempo que hiperescaladores cloud, bancos sistémicos, fabricantes de hardware, custodios del kernel Linux y empresas de ciberseguridad se alinean en una misma iniciativa técnica. Normalmente compiten entre sí. El hecho de que todos hayan aceptado sin dudar sugiere que sus equipos de seguridad reconocen que el riesgo es real y que prefieren adelantarse a los atacantes que llegarán inevitablemente.

Anthropic compromete 100 millones de dólares en créditos de uso del modelo para los participantes, más 4 millones en donaciones a la Apache Software Foundation y a los proyectos de seguridad open source Alpha-Omega y OpenSSF. Los participantes, por su parte, se comprometen a publicar reportes cada 90 días sobre los hallazgos y mejoras que consigan.

Esto no es alarmismo. Es responsabilidad industrial. Una empresa con un producto peligroso y una coalición para usarlo en defensa antes de que sea imitado. Es precisamente lo que esperaríamos de cualquier fabricante responsable en cualquier otro sector — farmacéutica, aeronáutica, energía — cuando descubre algo con potencial de doble uso.

La parte que casi nadie está contando

Muchas empresas siguen haciendo manualmente lo que la IA ya puede hacer hoy. No es un problema tecnológico: es cultural.

Aquí es donde el artículo deja de hablar de Mythos y empieza a hablar de tu empresa.

Si Claude Mythos es tan bueno encontrando vulnerabilidades es porque sus capacidades de razonamiento sobre código han dado un salto grande. Pero ese salto no es exclusivo de Mythos. Es la misma tendencia que ha mejorado a Claude Sonnet 4.6 y Claude Opus 4.6, los modelos públicos que puedes usar hoy mismo desde cualquier suscripción empresarial. Es la misma tendencia que ha mejorado a GPT y a Gemini.

Y aquí está la paradoja que casi nadie está señalando: mientras los titulares se alarman por lo que un modelo restringido puede hacer en ciberseguridad, la mayoría de empresas españolas todavía no está aprovechando la fracción minúscula de esas capacidades que tienen disponibles hoy para tareas infinitamente más simples que encontrar un bug en OpenBSD.

Muchas empresas siguen:

• Redactando a mano documentación comercial que es un 80% estándar
• Leyendo informes de 100 páginas para sacar cinco conclusiones
• Consolidando datos de Excel a Excel manualmente
• Buscando cláusulas en contratos uno por uno
• Respondiendo correos repetitivos que un asistente bien configurado resolvería en segundos
• Preparando actas, propuestas, pliegos y presentaciones sin el apoyo de un sistema de IA que conozca su contexto

Si un modelo puede encontrar una vulnerabilidad de 27 años en OpenBSD, ¿qué excusa tiene una empresa para no pedirle que redacte un primer borrador de una oferta comercial, analice un pliego de condiciones o resuma una reunión de dos horas?

La respuesta, en nuestra experiencia, no es técnica. Es cultural. Es inercia. Es miedo. Es la dificultad de los equipos para imaginar que una herramienta diferente exija una forma diferente de trabajar. Es la distancia entre lo que la tecnología ya puede hacer y lo que de verdad estamos adoptando en el día a día.

Qué significa esto para una empresa española en 2026

La siguiente fase del Reglamento Europeo de IA (EU AI Act) entra en plena aplicación el 2 de agosto de 2026, dentro de menos de cuatro meses desde este artículo. Para sistemas clasificados como de alto riesgo se exigen auditorías automatizadas, requisitos específicos de ciberseguridad, gestión continua de riesgos y documentación técnica formal.

Las mayores empresas del mundo se están uniendo ahora para prepararse. Project Glasswing no es un ejercicio académico: es el reconocimiento explícito de que la ciberseguridad en la era de la IA exige usar IA. Y las 12 empresas fundadoras tienen clarísimo algo que las empresas medianas españolas todavía están debatiendo internamente: no hay alternativa a integrar la IA de forma seria, con gobernanza, en la base operativa del negocio.

No es urgencia de pánico. Es urgencia serena. La ventaja competitiva de los próximos años no será para las empresas que esperen a que "la IA madure". Será para las que ya tengan sus procesos diseñados para aprovecharla cuando las nuevas olas de capacidades lleguen — y llegarán cada pocos meses, igual que Mythos ha llegado unos meses después de Opus 4.6.

Qué queda claro

Claude Mythos no es una amenaza, es una señal. Anthropic ha demostrado que una empresa puede descubrir capacidades poderosas y actuar con responsabilidad en lugar de desplegarlas por impacto mediático. Project Glasswing demuestra que la defensa requiere coordinación, y que la coordinación es posible cuando la amenaza es reconocida por los que saben.

Y detrás de toda la noticia hay un mensaje mucho más pragmático para el resto de nosotros: las capacidades que hoy permiten a un modelo encontrar bugs imposibles también permiten automatizar buena parte del trabajo repetitivo de una empresa media. No mañana. No el año que viene. Hoy. Con modelos públicos. Con herramientas accesibles.

La pregunta deja de ser "¿es segura la IA?" y pasa a ser "¿estoy aprovechando lo que ya está disponible o estoy esperando a que me adelanten?". En Tecnea llevamos años acompañando a empresas españolas a responder esa pregunta con proyectos reales de integración, con la voluntad serena de cambiar los procesos que lo necesiten y el criterio para saber cuáles no.

Preguntas frecuentes

¿Qué es exactamente Claude Mythos Preview? Es un modelo frontera desarrollado por Anthropic que ha demostrado capacidades sin precedentes para encontrar y explotar vulnerabilidades en software. Anthropic ha decidido no publicarlo de forma general por precaución y, en su lugar, está dando acceso restringido a un grupo de organizaciones que lo usarán para defender infraestructura crítica.

¿Es peligroso que exista Claude Mythos? Las capacidades que muestra son parte de la evolución natural de los modelos de IA: cuanto mejor razonan sobre código, mejor encuentran fallos en ese código. No es un arma construida a propósito, es un efecto secundario del progreso general. Anthropic ha optado por restringir su uso precisamente para evitar que caiga en manos que no lo usen responsablemente.

¿Qué es Project Glasswing y quién participa? Es una coalición liderada por Anthropic con 12 empresas fundadoras (AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, Linux Foundation, Microsoft, NVIDIA, Palo Alto Networks y Anthropic) y más de 40 organizaciones adicionales que mantienen software crítico. Su objetivo es identificar y corregir vulnerabilidades en la infraestructura digital mundial usando Claude Mythos como herramienta defensiva.

¿Cómo afecta esto a una empresa española en 2026? La aplicación plena del Reglamento Europeo de IA empieza el 2 de agosto de 2026, con requisitos específicos de auditoría y ciberseguridad para sistemas clasificados como alto riesgo. Más allá del cumplimiento normativo, el caso de Mythos muestra que las capacidades de los modelos públicos (Claude, GPT, Gemini) son ya suficientes para transformar muchas tareas empresariales repetitivas. La pregunta para cada empresa no es si debe integrar IA, sino con qué estrategia y qué urgencia.

Fuentes

1. Anthropic — Project Glasswing: Securing critical software for the AI era
2. Anthropic Red Team — Assessing Claude Mythos Preview's cybersecurity capabilities
3. Fortune — Anthropic says testing Mythos powerful new AI model after data leak reveals its existence
4. Simon Willison — Anthropic's Project Glasswing
5. CrowdStrike — CrowdStrike founding member of Anthropic Mythos frontier model
6. CNBC — Anthropic limits Mythos AI rollout over fears hackers could use model for cyberattacks
7. The Hacker News — Anthropic's Claude Mythos Finds Thousands of Zero-Day Flaws Across Major Systems