A medida que la inteligencia artificial (IA) extiende su alcance al campo de la ciberseguridad, se avecina una tormenta sin precedentes. Según un informe publicado en el sitio web de The New York Times, Anthropic anunció a principios de este mes el desarrollo de su último modelo de IA, Claude Mythos Preview (en adelante, «Mythos»). La compañía afirma que el nuevo modelo posee capacidades de identificación de vulnerabilidades sin precedentes, que pueden ayudar a las empresas a identificar y corregir vulnerabilidades, pero también podría ser utilizado por hackers como una poderosa herramienta de ataque. Los ejecutivos de la compañía incluso declararon sin rodeos que el nuevo modelo generará un impacto disruptivo en el sistema de ciberseguridad actual.
Debido a la preocupación por el posible uso indebido del nuevo modelo, Anthropic enfatizó que, por el momento, no lanzará Mythos públicamente, sino que lo proporcionará primero a decenas de empresas líderes en infraestructura crítica y tecnología.
Mythos puede ser tanto el «ojo de águila» de un guardián como el «arma» de un hacker. ¿Cómo será el campo de batalla cibernético cuando la inteligencia de la IA supere la velocidad con la que los humanos corrigen vulnerabilidades? Consultas de alto nivel con el gobierno de EE.UU., gigantes financieros en alerta máxima y líderes tecnológicos inmersos en acalorados debates… Fortalecer la «barrera» de seguridad del mundo digital es urgentemente necesario.
Mythos no es un modelo de seguridad especializado.
Mythos no es un modelo de seguridad especializado, sino un modelo de lenguaje de propósito general y a gran escala. Sus capacidades han experimentado un salto generacional, fruto de una profunda evolución en el razonamiento lógico y la toma de decisiones autónoma por parte de agentes inteligentes. Bajo control humano, este modelo puede descubrir y explotar de forma autónoma vulnerabilidades de día cero que afectan a los sistemas operativos y navegadores más comunes.
El New York Times informó que, en las últimas semanas, Mythos ha descubierto miles de vulnerabilidades de alto riesgo o críticas, muchas de las cuales han permanecido latentes en el código durante 10 o 20 años; la más antigua incluso se encontraba oculta en el sistema de código abierto OpenBSD desde hace 27 años. OpenBSD es reconocido por su alta seguridad y se utiliza ampliamente en infraestructuras críticas como los cortafuegos.
En su informe de evaluación, el equipo de Anthropic afirmó rotundamente: Esta vez, la amenaza ya no es meramente teórica; ha llegado la era de los modelos de lenguaje avanzados. Logan Graham, jefe del equipo rojo de primera línea responsable de probar el sistema de IA más avanzado de la compañía, afirmó que la eficiencia de Mythos para descubrir y explotar vulnerabilidades es aproximadamente diez veces mayor que la de los modelos anteriores, lo que marca el inicio de una «reorganización y transformación» en la industria de la ciberseguridad.
Anthropic enfatizó que las capacidades superiores de Mythos no son producto de un entrenamiento especializado, sino el resultado natural de un salto cualitativo en su código subyacente y sus capacidades de razonamiento. Predijo que capacidades similares podrían ser rápidamente adoptadas por diversos modelos. Si las futuras «oleadas de modelos» pueden descubrir vulnerabilidades a una velocidad muy superior a la de las defensas que las corrigen, el juego ofensivo y defensivo entre hackers y empresas inevitablemente se intensificará drásticamente.
Riesgos de seguridad: Alerta máxima.
Dean Bauer, coautor del «Plan de Acción de IA» de la Casa Blanca, declaró a The Hill que un número creciente de funcionarios estadounidenses se ha dado cuenta de que la IA no está evolucionando con la fluidez esperada, sino que está experimentando iteraciones explosivas. «El gobierno no está preparado para afrontar esto, y esta es una realidad que debemos aceptar.»
En una entrevista con Fox News, Kevin Hassett, director del Consejo Económico Nacional, admitió que la capacidad de la IA para descubrir de forma autónoma vulnerabilidades de software es todavía un fenómeno reciente y requiere una gran vigilancia.
El 14 de abril, The Hill informó que funcionarios de la Casa Blanca están implementando urgentemente medidas para abordar la posible crisis de ciberseguridad causada por el nuevo modelo, y que los riesgos potenciales de la IA son ahora una de las principales preocupaciones del gobierno estadounidense. El mismo día del lanzamiento de Mythos, el secretario del Tesoro de EE.UU., Scott Bessant, celebró una reunión a puerta cerrada con el presidente de la Reserva Federal, Jerome Powell, y ejecutivos de Wall Street para discutir los riesgos potenciales y las contramedidas que plantean Mythos y otros modelos de IA. Esta acción, sin duda, exacerbó las tensiones en torno al nuevo modelo. Se entiende que la Reserva Federal solo había iniciado anteriormente consultas de emergencia de alto nivel ante riesgos financieros sistémicos (como la crisis financiera de 2008 o la pandemia de 2020).
Según The Wall Street Journal, el Director Nacional de Ciberseguridad de EE.UU. ha liderado un grupo de trabajo especial para investigar las vulnerabilidades de seguridad en infraestructuras críticas y reforzar integralmente las defensas de los sistemas gubernamentales vulnerables a ataques de IA.
Wall Street también ha reaccionado con rapidez. El CEO de Goldman Sachs, David Solomon, destacó ante los inversores en una reciente conferencia sobre resultados que la ciberseguridad sigue siendo fundamental para el negocio de la compañía y que continuarán aumentando la inversión. Se sabe que Goldman Sachs ha obtenido acceso prioritario a Mythos y está trabajando con Anthropic y otros proveedores de seguridad para reforzar sus defensas.
Según el Financial Times, los reguladores financieros del Reino Unido están en consultas urgentes con los principales organismos reguladores de ciberseguridad del gobierno y los bancos más grandes del país para evaluar los riesgos potenciales que plantea el último modelo de IA de Anthropic. Ejecutivos del banco más grande de Canadá y de las principales agencias reguladoras también se reunieron recientemente para abordar este tema.
El Proyecto Glass Wing previene problemas antes de que surjan.
Además de la colaboración entre el gobierno y la industria para fortalecer la seguridad, las empresas de IA también están tomando medidas preventivas.
Para evitar el mal uso del nuevo modelo y mitigar los posibles riesgos de seguridad, Anthropic ha declarado explícitamente que, por el momento, no abrirá Mythos al público, sino que lanzará el Proyecto Glass Wing el 7 de abril.
El programa estará disponible para 40 empresas de infraestructura crítica y gigantes tecnológicos, como Amazon AWS, Apple, Broadcom, Cisco, Microsoft y Nvidia, para escanear y corregir vulnerabilidades en sus sistemas y proyectos clave de código abierto. Su objetivo principal es identificar y solucionar de forma proactiva las posibles brechas de seguridad antes de que los sistemas de IA potentes se generalicen, fortaleciendo así la ciberseguridad.
Anthropic reveló que el nombre «Glasswing» proviene de la mariposa Glasswing. Estas mariposas se esconden entre la exuberante vegetación con sus alas transparentes, al igual que las vulnerabilidades que acechan en el software crítico actual: profundamente ocultas en la compleja arquitectura técnica subyacente, pasando desapercibidas para el personal de seguridad.
Muchas empresas participantes destacaron que las capacidades de la IA están a punto de alcanzar un umbral crítico, lo que hace urgente la protección de la infraestructura crítica y exige un enfoque sistemático y rutinario.
