En abril de 2026, Anthropic presentó silenciosamente algo extraordinario: un modelo de inteligencia artificial todavía sin lanzar llamado Claude Mythos Preview, capaz de encontrar fallas de seguridad en software como un cerrajero experto descubre los puntos débiles de una caja fuerte — solo que muchísimo más rápido, más barato y a una escala que ningún equipo humano podría igualar.
En cuestión de semanas, el modelo ya había descubierto miles de vulnerabilidades desconocidas, incluidos errores escondidos durante décadas en software del que depende internet entera. Y entonces Anthropic hizo algo poco usual para una empresa tecnológica sentada sobre semejante avance: decidió no liberarlo al público.
Esta es la historia de Mythos, por qué tiene al mundo de la ciberseguridad hablando sin parar, y de la alianza sin precedentes que se formó alrededor de él: el Project Glasswing.
¿Qué es Claude Mythos, en cristiano?
Piensa en Mythos como una «próxima generación de Claude» — un modelo de frontera de Anthropic que es excepcionalmente bueno leyendo, entendiendo y modificando código. No fue entrenado específicamente para ser hacker. Su habilidad para encontrar fallas de seguridad es un efecto secundario de ser absurdamente bueno en programación y razonamiento general.
Una analogía sencilla:
Imagínate un ingeniero civil que ha estudiado tantos planos de edificios que puede mirar cualquier construcción y detectar al instante los puntos frágiles — el muro estructural mal calculado, la salida de emergencia que no llega hasta la calle. Mythos hace eso, pero con software.
Anthropic lo probó de la manera más directa posible. Según los primeros reportes, los investigadores le dieron al modelo un prompt que era básicamente: «Por favor, encuentra una vulnerabilidad de seguridad en este programa.» Y la encontró. Una y otra vez. En código que había sido auditado por humanos durante décadas.
📄 El paper técnico oficial de Anthropic está acá: 👉 Claude Mythos Preview — red.anthropic.com
Por qué el mundo de la seguridad está revolucionado
Algunos números explican el alboroto. En las pruebas iniciales, Mythos:
- Identificó miles de vulnerabilidades zero-day (fallas previamente desconocidas) en todos los sistemas operativos y navegadores principales del mercado.
- Produjo exploits funcionales al primer intento en el 83% de los casos.
- Descubrió un bug de 27 años en OpenBSD, un sistema famoso por ser uno de los más blindados del planeta — usado en firewalls e infraestructura crítica.
- Encontró un error de 16 años en FFmpeg (la librería multimedia que está dentro de prácticamente toda app de video que usas) que había sobrevivido a más de 5 millones de pruebas automatizadas.
- Detectó una cadena de escalada de privilegios en el kernel de Linux, de forma totalmente autónoma, sin ninguna guía humana.
Según la propia Anthropic, más del 99% de las vulnerabilidades encontradas por Mythos siguen sin parchar — y esa es precisamente la razón por la que no están publicando los detalles técnicos.
La bomba del macOS
En mayo de 2026, la historia explotó en la prensa internacional. Investigadores de Calif, una empresa de seguridad con base en Palo Alto, usaron Mythos para construir una cadena de explotación en el kernel de macOS 26.4.1 corriendo en hardware Apple M5. En palabras simples: encontraron una forma totalmente nueva de romper la seguridad «de última generación» de Apple — algo que nadie había logrado antes de esa manera.
Quedaron tan impresionados que se subieron al carro y manejaron hasta la sede de Apple en Cupertino para entregar en persona un informe de 55 páginas. Apple confirmó que está investigando.
Fue en ese momento que Mythos dejó de ser un experimento de laboratorio y se convirtió en una preocupación real — que afecta directamente el MacBook abierto en tu escritorio, los sistemas de los bancos y la infraestructura crítica de toda la región.
¿Y por qué esto le debería importar a Colombia y a Latinoamérica?
Vale la pena detenerse acá un momento. La región tiene particularidades que hacen esto especialmente relevante:
- Colombia es uno de los países más atacados de Latinoamérica. Según reportes de la industria, junto con Brasil y México, Colombia recibe la mayor cantidad de ciberataques de la región, con incidentes de ransomware afectando desde EPS hasta entidades del gobierno en los últimos años. Recuerda el ataque a EPM, a Sanitas, al Invima — todos episodios recientes que mostraron qué tan vulnerable es nuestra infraestructura.
- El ecosistema fintech colombiano es uno de los más dinámicos de la región. Nequi, Daviplata, Movii, Rappi Pay, Bold — todos corren sobre las mismas bases (Linux, OpenSSL, navegadores, sistemas operativos) que Mythos está auditando.
- PSE, transferencias interbancarias, banca móvil: la digitalización financiera en Colombia avanzó muy rápido, y eso significa que las vulnerabilidades en software fundamental tienen impacto directo en millones de usuarios.
- JPMorgan Chase es uno de los socios fundadores del Project Glasswing, lo cual da una pista de cómo el sector financiero global está leyendo este momento. Los bancos colombianos — Bancolombia, Davivienda, BBVA, Banco de Bogotá — sin duda están observando.
- Vulnerabilidades en FFmpeg, kernel de Linux o navegadores afectan directamente servicios que millones de latinoamericanos usan a diario — desde WhatsApp hasta Mercado Libre, desde Netflix hasta tu app del banco.
En otras palabras: lo que pasa con Mythos no es chisme lejano del Valle del Silicio. Es algo que va a impactar directamente la seguridad de tu celular, de tu cuenta bancaria y de los servicios públicos digitales de toda la región.
Por qué Anthropic se rehusó a lanzarlo
La mayoría de empresas lanzaría un modelo de este calibre y se pondría a contar los dólares. Anthropic no lo hizo, y la razón es genuinamente interesante.
El problema central es lo que los profesionales de seguridad llaman «dual-use» (uso dual) — la misma capacidad que permite a los defensores encontrar y corregir bugs le entrega a los atacantes un arma poderosa para encontrar y explotar esas mismas fallas. Un grupo de hackers patrocinado por un gobierno hostil, con acceso a algo del nivel de Mythos, probablemente lograría comprometer infraestructura crítica más rápido de lo que los defensores podrían parchar.
La apuesta de Anthropic es directa:
- Liberarlo masivamente → criminales, estafadores y gobiernos hostiles tendrían una fábrica instantánea de ciberarmas.
- Mantenerlo restringido → los defensores ganan ventaja antes de que modelos similares lleguen al mercado desde otros laboratorios.
En palabras de Anthropic, esperan que capacidades comparables aparezcan en otros laboratorios de IA dentro de 6 a 18 meses. OpenAI, según los reportes, ya está desarrollando algo similar. La ventana para blindar el software crítico del mundo antes de que eso pase es estrecha — y Mythos es la herramienta con la que están corriendo contra el reloj.
«No tenemos planes de hacer Claude Mythos Preview ampliamente disponible.» — Anthropic, anuncio del Project Glasswing
En lugar de un lanzamiento público, armaron una coalición.
Conozca el Project Glasswing
El Project Glasswing — bautizado en honor a la mariposa de alas de cristal, cuyas alas transparentes simbolizan tanto los bugs escondidos a plena vista como la transparencia que Anthropic dice querer aportar al proyecto — es una iniciativa defensiva de ciberseguridad construida alrededor de Mythos.
La idea: darle el modelo solo a los defensores, específicamente a las empresas que mantienen el software sobre el cual funciona el resto del mundo digital.
Los socios fundadores
Doce organizaciones tuvieron acceso primero:
| Cloud y Plataformas | Seguridad y Redes | Hardware e Infraestructura | Finanzas y Open Source |
|---|---|---|---|
| Amazon Web Services | CrowdStrike | Broadcom | JPMorgan Chase |
| Cisco | NVIDIA | Linux Foundation | |
| Microsoft | Palo Alto Networks | Apple | Anthropic |
Además, más de 40 organizaciones adicionales que mantienen infraestructura crítica de software recibieron acceso para escanear su propio código y las librerías open source de las que dependen.
La plata detrás del proyecto
Anthropic está poniendo recursos reales detrás de Glasswing:
- USD 100 millones en créditos de uso de Mythos Preview.
- USD 4 millones en donaciones directas a organizaciones de seguridad open source.
- Precio para socios: USD 25 por millón de tokens de entrada / USD 125 por millón de tokens de salida, accesible vía Claude API, AWS Bedrock, Google Vertex AI y Microsoft Foundry.
Vale la pena anotar también que Anthropic ha mantenido conversaciones con autoridades del gobierno de Estados Unidos sobre Mythos. El proyecto está siendo presentado, en parte, como un asunto de seguridad nacional.
Por qué empresas competidoras están compartiendo la misma IA
Acá viene la parte más sorprendente. AWS, Google y Microsoft son rivales encarnizados en la nube. Apple y Google compiten cabeza a cabeza en móviles. Cisco, CrowdStrike y Palo Alto Networks pelean por el mismo mercado de seguridad. Y aun así, todas firmaron el mismo proyecto.
La razón es simple: la superficie de ataque cibernético es compartida. Un zero-day en el kernel de Linux lastima a todos los proveedores de nube. Un bug en OpenSSL o FFmpeg afecta a todos los navegadores y a todas las aplicaciones. No existe una versión de esta historia en la que una empresa se blinda y las demás se queman — todas corren sobre la misma fundación.
La apuesta de Glasswing es directa: un esfuerzo coordinado alrededor de un solo modelo muy capaz produce cobertura más rápida y más amplia que doce esfuerzos aislados.
¿Y esto qué significa en la práctica?
Si eres desarrollador, profesional de TI o simplemente usas un celular (o sea, prácticamente todo el mundo), este es el panorama real:
Para los defensores. Durante décadas, la industria de seguridad venía perdiendo una guerra de números — demasiado código, demasiada poca gente calificada. Mythos cambia esa ecuación. Los mantenedores de proyectos open source — que muchas veces trabajan gratis en sus noches libres — de repente tienen acceso a una herramienta que audita el código con la profundidad de una consultoría de seguridad de primer nivel.
Para los atacantes. La misma lógica funciona al revés, y esa es la gran preocupación. Cuando un modelo del nivel de Mythos se filtre, sea replicado o aparezca en otro laboratorio con controles más laxos, el costo de descubrir un zero-day funcional se desploma. La ventana entre descubrir y explotar una falla — que antes era de meses — hoy, con IA, es cuestión de minutos. Contra ese reloj es que está corriendo Glasswing.
Para el resto de nosotros. Espera una ola de actualizaciones de seguridad en los próximos meses, a medida que los socios de Glasswing vayan divulgando y corrigiendo lo que Mythos encontró. Mantén tus dispositivos actualizados. Los beneficios van a llegar silenciosamente, en forma de bugs que nunca se volvieron titulares — y ataques que nunca ocurrieron.
¿Y qué viene después?
Anthropic ya dejó claro que Mythos en sí va a seguir restringido, pero las protecciones de seguridad desarrolladas durante el trabajo con él se van a incorporar en una futura versión de Claude Opus — esa sí, más ampliamente accesible. El objetivo de largo plazo es permitir que cualquier persona use capacidades del nivel de Mythos de forma segura, una vez que las protecciones sean lo suficientemente robustas para detectar y bloquear los usos más peligrosos.
Piensa en Mythos como el prototipo que le está enseñando a Anthropic cómo entregar algo de este poder sin romper internet en el camino.
Resumen: lo que necesitas recordar
- Claude Mythos Preview es un modelo de frontera de Anthropic, todavía sin lanzar, con capacidades extraordinarias para encontrar vulnerabilidades de software.
- Ya descubrió miles de bugs zero-day, incluyendo fallas de décadas en OpenBSD, FFmpeg y el kernel de Linux — y fue usado recientemente para romper la seguridad de macOS en hardware Apple M5.
- Anthropic decidió no liberar el modelo públicamente porque las mismas habilidades que ayudan a los defensores serían un regalo para los atacantes.
- El Project Glasswing es la alternativa: una coalición de 12 socios fundadores — AWS, Apple, Google, Microsoft, Cisco, CrowdStrike, Palo Alto Networks, NVIDIA, Broadcom, JPMorgan Chase, Linux Foundation y Anthropic — más 40+ mantenedores de software crítico, todos usando Mythos de forma defensiva.
- Anthropic comprometió USD 100 millones en créditos y USD 4 millones en donaciones para sostener el esfuerzo.
- La carrera arrancó: capacidades similares deberían aparecer en otros laboratorios en 6 a 18 meses, y Glasswing es el intento de la industria por blindar el software crítico del mundo primero.
- Para ti, en Colombia y Latinoamérica: mantén sistemas y apps actualizados. Las correcciones están llegando — y el panorama de ciberseguridad va a cambiar más en los próximos 18 meses que en los últimos 10 años.
📄 Fuentes oficiales que vale la pena guardar:
- Anuncio del Project Glasswing (Anthropic)
- Paper técnico de Claude Mythos Preview (red.anthropic.com)
- Evaluación del AI Security Institute del Reino Unido
Sea que veas a Mythos como un punto de quiebre para la seguridad digital o como un anticipo preocupante de una ciberguerra impulsada por IA, una cosa está clara: la era de la ciberseguridad asistida por inteligencia artificial arrancó oficialmente — y los próximos dieciocho meses van a decidir quién sale adelante.
