El nuevo gran modelo de lenguaje de Anthropic, conocido bajo el nombre en clave Mythos, ha causado revuelo en la comunidad de seguridad. El modelo es descrito tanto por entusiastas como por críticos como potencialmente innovador — y según Wired, el temor al uso indebido ya está muy extendido. Pero quienes siguen de cerca el campo dicen que el verdadero desafío no se trata de un solo modelo.

Una llamada de atención para toda la industria

Según Wired, existe un amplio consenso entre los expertos en seguridad de que la llegada de Mythos debería servir principalmente como una llamada de atención para los desarrolladores de IA que, durante mucho tiempo, han priorizado la funcionalidad sobre la seguridad. El argumento no es nuevo, pero cobra una renovada importancia ante modelos cada vez más potentes.

El problema subyacente es estructural: el trabajo de seguridad tradicionalmente ha llegado tarde al ciclo de desarrollo, si es que ha llegado.

El riesgo real no es un modelo — es todo un ecosistema de herramientas de IA construidas sin la seguridad en su núcleo.
Mythos de Anthropic genera alarma: ¿Quién es realmente el más vulnerable? - Bilde 1

El mercado crece — pero también las amenazas

Las cifras dibujan un panorama ambiguo. Las soluciones de defensa impulsadas por IA están en fuerte crecimiento, pero los atacantes utilizan las mismas herramientas.

25 mil millones de $
Mercado de ciberseguridad de IA en 2024
93,75 mil millones de $
Valor de mercado esperado para 2030

Según los análisis de mercado, el sector crece a una tasa anual de más del 24 por ciento. Al mismo tiempo, CrowdStrike documenta en su Informe Global de Amenazas 2024 que la proporción de ataques sin malware — donde las soluciones antivirus tradicionales a menudo no son efectivas — aumentó del 71 por ciento en 2022 al 75 por ciento en 2023. El informe de phishing de SlashNext para 2024 muestra cifras aún más dramáticas: el volumen total de phishing aumentó un 202 por ciento, mientras que el phishing de credenciales — ataques dirigidos a información de inicio de sesión — aumentó un impresionante 703 por ciento en la segunda mitad del año pasado.

Mythos de Anthropic genera alarma: ¿Quién es realmente el más vulnerable? - Bilde 2

Defensa y ataque en la misma caja de herramientas

La doble naturaleza de los potentes modelos de IA es el núcleo del debate. Por un lado, la IA brinda a los defensores la capacidad de analizar enormes volúmenes de datos, detectar anomalías y responder a las amenazas mucho más rápido de lo que los humanos podrían hacerlo solos. El informe de IBM de 2024 muestra que las organizaciones que utilizan activamente la IA y la automatización en el trabajo de seguridad, en promedio, redujeron los costos de las filtraciones de datos en 2,2 millones de dólares en comparación con las organizaciones sin dicha tecnología — y lograron limitar el alcance de los daños 127 días más rápido.

La IA da un impulso a los defensores — pero los atacantes utilizan los mismos modelos para escalar ataques que antes requerían conocimientos expertos.

Por otro lado, la IA reduce el umbral para que los actores de amenazas con antecedentes técnicos limitados puedan llevar a cabo operaciones sofisticadas. El director de seguridad de CrowdStrike, Shawn Henry, ha señalado que la IA proporciona a los criminales «una nueva arma» que hace que el hacking avanzado sea accesible para muchos más, según fuentes de investigación en el campo.

IA generativa: Del experimento a la corriente principal

La IA generativa pasó en 2024 de proyectos piloto a una implementación real en muchas empresas. Dentro de las operaciones de seguridad, esto ha significado que los analistas pueden hacer preguntas en noruego o inglés común y obtener un análisis significativo a cambio — en lugar de buscar manualmente en los registros.

Sin embargo, Gartner colocó la IA generativa en su informe Hype Cycle de 2024 en la cima de la curva de «expectativas infladas», y el analista Arun Chandrasekaran advirtió que cierta desilusión es inevitable. Una encuesta de ISC2 de febrero de 2024 mostró que el 88 por ciento de los expertos en seguridad ya notan que la IA afecta su trabajo, mientras que el 56 por ciento cree que la tecnología hará que parte de sus tareas laborales sean redundantes.

Debilidad estructural en el núcleo

Lo que el debate sobre Mythos realmente revela, según Wired, es que los modelos de IA en sí mismos pueden ser objetivos vulnerables — no solo herramientas para ataques. Los procesos de toma de decisiones son a menudo opacos, y las debilidades en los modelos pueden ser explotadas de maneras que los desarrolladores no previeron.

La pregunta a la que se enfrenta ahora la industria es si Mythos y modelos de calibre similar servirán como el catalizador necesario para forzar un cambio real en la seguridad — o si la historia se repetirá, y la seguridad volverá a ser relegada al final de la lista de prioridades.