El artículo de ComputerHoy publicado el 20 de mayo de 2026 sobre Claude Mythos abre una discusión que va mucho más allá del titular llamativo. Sí, Anthropic presenta su modelo como una pieza capaz de encontrar vulnerabilidades que escaparon a revisiones humanas durante años. Pero el punto central no es una supuesta IA omnipotente que “hackea el mundo”, sino algo más incómodo y más realista: la tecnología reduce el costo, el tiempo y la pericia necesarios para descubrir fallos críticos en software ampliamente usado.

Eso cambia la ecuación de la ciberseguridad. Cuando una herramienta de IA puede revisar código, razonar sobre dependencias y encadenar debilidades con una eficacia antes reservada a expertos muy especializados, la defensa gana una ventaja potencial enorme. El mismo sistema puede ayudar a auditar binarios, buscar fallos locales, validar parches o probar superficies de ataque antes de que lo haga un adversario. Esa es, en esencia, la tesis de Project Glasswing, la iniciativa que Anthropic anunció el 7 de abril de 2026 para dar acceso temprano a Claude Mythos Preview a grandes empresas tecnológicas, firmas de ciberseguridad y organizaciones de infraestructura crítica.

La propia Anthropic lo plantea como una respuesta urgente a una realidad nueva. En su anuncio de Glasswing, la compañía afirma que Mythos Preview ya habría encontrado miles de vulnerabilidades de alta severidad, incluidas algunas en todos los grandes sistemas operativos y navegadores. También detalla que el programa reúne a socios como AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, Linux Foundation, Microsoft, NVIDIA y Palo Alto Networks, con una asignación de hasta 100 millones de dólares en créditos de uso y 4 millones en donaciones a organizaciones de seguridad de código abierto. El mensaje es claro: la ventana entre descubrir un fallo y explotarlo se está estrechando.

La red team de Anthropic refuerza esa lectura. En su informe técnico sobre Claude Mythos Preview, la empresa explica que incluso personas sin formación formal en seguridad han logrado pedirle al modelo que encuentre vulnerabilidades y despierten al día siguiente con un exploit funcional. El documento también describe casos concretos en FreeBSD, Linux y otros entornos donde el modelo habría identificado y explotado debilidades complejas de forma mayormente autónoma. En paralelo, la página de system cards de Anthropic ya lista “Mythos Preview” junto con el resto de sus modelos de abril de 2026, una señal de que la compañía está documentando el comportamiento del sistema con un nivel de detalle poco habitual para un modelo aún no liberado al público general.

Ahora bien, aquí conviene poner freno al hype. La lectura crítica también existe, y no es menor. Tom’s Hardware cuestionó el relato más espectacular de Anthropic y advirtió que parte de la cifra de “miles” de vulnerabilidades se apoya en una muestra mucho más pequeña de revisiones manuales. Además, señaló que algunos hallazgos corresponden a software antiguo, o no necesariamente explotable en condiciones reales. Ese matiz importa porque separa una demostración de laboratorio de una capacidad operativa masiva en el mundo real.

Y aun así, el riesgo sigue siendo serio. Reuters informó que bancos y reguladores ya están siguiendo el tema de cerca, precisamente porque el problema no está en la intención declarada de Anthropic, sino en el efecto de difusión: si una IA puede detectar más rápido que un humano fallos profundos en sistemas con décadas de parches acumulados, entonces también puede bajar la barrera para actores maliciosos. En otras palabras, la amenaza no es que la IA sustituya por completo al hacker, sino que multiplique su productividad y reduzca el nivel de acceso técnico necesario para hacer daño.

Mi lectura es esta: Claude Mythos no inaugura un apocalipsis de ciencia ficción; inaugura una carrera de velocidad. La ventaja ya no estará solo en descubrir vulnerabilidades, sino en descubrirlas, validarlas y corregirlas antes que el adversario. Project Glasswing es un intento razonable de empujar esa capacidad hacia la defensa, pero también es una admisión de fondo: la ciberseguridad entró en una etapa en la que el tiempo de reacción importa tanto como la calidad del código. Y eso obliga a empresas, gobiernos y equipos de seguridad a trabajar con un supuesto nuevo: si la IA acelera a todos, sobrevivirá quien parchee primero.