Claude Mythos destapa fallos ocultos y acelera fraudes con voces y vídeos clonados, alerta Daniel Púa

Daniel Púa, jefe de seguridad en Magnific, advierte de que la IA ya encuentra vulnerabilidades ocultas desde hace años y refina estafas con voz e imagen falsas.

10 de julio de 2026 a las 18:23h
Claude Mythos destapa fallos ocultos y acelera fraudes con voces y vídeos clonados, alerta Daniel Púa
Claude Mythos destapa fallos ocultos y acelera fraudes con voces y vídeos clonados, alerta Daniel Púa

Añadir Mangas Verdes como fuente preferida de Google de forma gratuita.

Mantente informado con las últimas noticias de actualidad.

Activar ahora

Primero entraron por la empresa. Después irán a por cualquiera.

Ese es el diagnóstico de Daniel Púa, jefe de seguridad en Magnific, al observar cómo la inteligencia artificial está afinando fraudes que antes dejaban más costuras. El problema ya no consiste solo en correos mal escritos o mensajes torpes, sino en suplantaciones que imitan voz, imagen y contexto con una precisión que desarma hábitos muy cotidianos.

Mythos encontró fallos que llevaban años ocultos

Hace un par de meses, el lanzamiento de Claude Mythos permitió localizar decenas de vulnerabilidades que habían permanecido escondidas durante años.

Púa rebaja el entusiasmo con una comparación muy gráfica. Si Opus 4.8 era una navaja, sostiene, Mythos sería un machete, más peligroso pero no una ruptura total con lo anterior.

"Si decimos que Opus 4.8 podía ser una navaja, Mythos a lo mejor es un machete. Es un poco más peligroso, pero el daño te lo podían hacer igual con los anteriores modelos". - Daniel Púa, jefe de seguridad en Magnific

Donde sí aprecia un cambio más serio es en el software abierto, porque la máquina puede recorrer el código con una velocidad que altera por completo la búsqueda de errores. Casi todas las vulnerabilidades que ha descubierto Mythos aparecen en programas open source con acceso al código, que es justo el terreno donde un agente automatizado gana tiempo y no pierde el hilo.

Una persona puede tardar días o semanas en seguir un flujo completo y aun así dejar escapar el fallo. Un agente, en cambio, lo recorre en segundos o minutos. Esa diferencia explica por qué han aflorado vulnerabilidades que llevaban años sin detectarse.

Las estafas ya no necesitan una mala imitación

Mientras los modelos aprenden a encontrar fallos técnicos, también aprenden a parecerse cada vez mejor a alguien de confianza.

Púa cree que el usuario corriente debería preocuparse porque el phishing se está refinando con IA. La escena que describe ya no remite solo al mensaje dudoso, sino a llamadas con la voz de un familiar o videollamadas donde el rostro al otro lado tampoco sería real.

"Van a empezar a llegar llamadas con la voz de un familiar, videollamadas con el vídeo de un familiar y ahí es cuando se va a complicar la cosa". - Daniel Púa, jefe de seguridad en Magnific

El precedente ya existe y no es menor. Un empleado llegó a transferir 25 millones de dólares durante una videollamada en la que todos los interlocutores eran deepfakes.

En el terreno corporativo, Magnific ya sufre muchos intentos de estafa que suplantan a su consejero delegado por WhatsApp, con audios y otros formatos. Púa dibuja una progresión muy concreta, porque primero se explota a las empresas como objetivo más rentable y después llega la fase masiva, con cientos de miles de personas expuestas a un engaño más barato de lanzar y suficiente para que alguien caiga.

Google ya ha presentado una función pensada para bloquear llamadas con voces clonadas mediante deepfake, una señal de que el problema ha dejado de ser hipotético. En paralelo, las estafas con voces clonadas muestran hasta qué punto una simple llamada puede dejar de ser prueba suficiente.

La defensa más útil sigue estando fuera de la pantalla

Púa propone una rutina muy simple para rebajar el riesgo cuando llega una petición extraña.

"Todo el mundo debería tener una segunda vía de aprobación. Si viene un familiar y te pide algo extraño, confírmalo por otra vía. Por ejemplo si te ha llamado por teléfono, pues lo confirmas por WhatsApp". - Daniel Púa, jefe de seguridad en Magnific

También plantea una comprobación más doméstica y, precisamente por eso, más eficaz. Ante una solicitud rara, recomienda pedir una palabra secreta compartida, una clave mínima que no depende ni de la voz ni del vídeo.

El tablero, además, no se limita a un solo actor. El modelo chino GLM-5.2 ya se considera tan peligroso como el de Anthropic, una equivalencia que amplía el problema más allá de una herramienta concreta y lo sitúa en una carrera donde la capacidad de encontrar fallos y la de fabricar engaños avanzan al mismo tiempo, como ya ocurrió con la ciberofensiva de Mythos.

Sobre el autor
Redacción
Ver biografía