La carrera por dominar la ciberseguridad con inteligencia artificial ha entrado en una fase de tensión abierta entre las grandes tecnológicas. Anthropic anunció el modelo Claude Mythos Preview, una herramienta diseñada para detectar vulnerabilidades complejas que hasta ahora escapaban a los sistemas tradicionales.
El lanzamiento no fue público. La empresa optó por un acceso restringido, lo que ha generado inquietud en instituciones clave. El Banco Central Europeo ya prepara planes de contingencia ante la posibilidad de que este acceso limitado cree desequilibrios estratégicos en la protección financiera.
OpenAI responde con GPT-5.5 y acusa a Anthropic
La competencia no se quedó atrás. OpenAI lanzó GPT-5.5 y su variante especializada GPT-5.5-Cyber. Sam Altman, directivo de OpenAI, calificó la estrategia de su rival como una mera maniobra de marketing, descartando que suponga una ventaja técnica decisiva.
Para respaldar su postura, la compañía presentó la iniciativa Daybreak. Este programa integra el nuevo modelo de lenguaje con el agente Codex Security. Empresas como Akamai, Cisco, Cloudflare y Oracle ya tienen acceso certificado a estas herramientas.
La disputa teórica chocó pronto con la realidad técnica. Daniel Stenberg, desarrollador de la herramienta curl, sometió el código fuente de su proyecto a prueba. Analizó 176.000 líneas de código y 660.000 palabras utilizando Claude Mythos Preview.
Los resultados distaron de las expectativas. El modelo reportó cinco fallos de seguridad. Stenberg verificó cada uno y concluyó que solo uno era un fallo de baja severidad. Tres eran falsos positivos y el restante carecía de relevancia para la seguridad.
"puede que este modelo sea un poquito mejor, pero incluso si lo es, no es mejor en un grado que pueda suponer un gran impacto en el análisis de código" - Daniel Stenberg, desarrollador de curl
La IA acelera la explotación de fallos reales
Mientras los modelos generan ruido con falsas alarmas, los atacantes aprovechan la velocidad de la automatización. El Google Threat Intelligence Group confirmó recientemente la detención y neutralización de un código de ataque desarrollado íntegramente con inteligencia artificial.
Este cambio de paradigma afecta a los protocolos de respuesta tradicionales. Los plazos estándar de 90 días para parchear vulnerabilidades quedan obsoletos frente a la rapidez con la que la IA convierte un hallazgo teórico en un exploit operativo.
Himanshu Anand, experto en ciberseguridad, cuestiona la vigencia de estos periodos de gracia. Señala que cuando diez investigadores independientes encuentran el mismo fallo en seis semanas, la inteligencia artificial puede weaponizarlo en media hora.
"Cuando diez investigadores que no se conocen entre sí encuentran el mismo fallo en seis semanas, y la IA es capaz de convertir eso en un exploit operativo en 30 minutos, ¿A quién protege exactamente ese plazo de 90 días? A nadie" - Himanshu Anand, experto en ciberseguridad
La industria enfrenta ahora una contradicción fundamental. Las herramientas defensivas prometen detectar lo indetectable, pero aún luchan contra los falsos positivos. Los atacantes, sin embargo, ya usan la misma tecnología para ejecutar ofensivas concretas y rápidas.