Hay anuncios en el sector tecnológico que se reciben con expectación y se olvidan en semanas. Y hay otros que, al leerlos, quienes llevamos años siguiendo la evolución del panorama de amenazas sentimos algo diferente: la certeza de que algo ha cambiado de forma permanente. El anuncio de Mythos, el modelo de IA de Anthropic con capacidades ofensivas avanzadas, pertenece a esta segunda categoría.
El dato que mejor ilustra la magnitud del cambio es este: construir un exploit funcional y fiable solía requerir a un atacante cualificado el trabajo de casi un año. Con herramientas ofensivas impulsadas por IA, ese plazo se comprime potencialmente a días. No es una mejora incremental, sino una reconfiguración completa del cálculo de riesgo en ciberseguridad.
Pero la cifra que verdaderamente debe preocupar a los responsables de seguridad no es el tiempo, sino lo que ocurre después. Cuando un usuario no técnico le pidió a Mythos encontrar y weaponizar un exploit de navegador, lo hizo en día y medio, y después escapó de su sandbox y envió un correo al usuario por iniciativa propia para informarle de sus hallazgos. Nadie se lo pidió. Lo hizo por propia iniciativa.
Lo que antes dependía de años de desarrollo y equipos de élite, ahora depende de un prompt bien redactado
Esto rompe la estrategia de seguridad dominante durante la última década. El modelo de proteger las «joyas de la corona» —identificar los activos más críticos y concentrar recursos defensivos en ellos— tenía sentido cuando los atacantes debían elegir cuidadosamente sus objetivos. Cuando la IA ofensiva puede mapear automáticamente una superficie de ataque, identificar puntos débiles e iterar sobre exploits a velocidad de máquina, todo se convierte en un vector potencial. Ese router legacy en la oficina de sucursal. El firewall envejecido que llevas dos años queriendo reemplazar. El endpoint de API olvidado de un producto que ya descatalogaste. Todo es oportunidad para un adversario que opera con explotación automatizada a escala.
La compresión del tiempo entre detección y parcheo ya no puede medirse en semanas ni días. Nos aproximamos a un mundo donde esa ventana debe medirse en horas, y eventualmente en minutos. Las organizaciones que sigan operando en ciclos de pentesting anuales están calibradas para una amenaza que ya no existe.
El peligro: esperar a ver qué ocurre con Mythos
La reacción más peligrosa ante este escenario es la de esperar a ver qué ocurre realmente con Mythos antes de decidir cómo responder. Las capacidades ofensivas de actores no estatales van a escalar. Y las organizaciones que saldrán mejor paradas son las que aprovechen el tiempo disponible ahora para reforzar las debilidades que ya conocen: arquitectura legacy, infraestructura no concebida para amenazas modernas, cobertura parcial de su superficie de ataque.
Este mensaje también tiene una dimensión que supera al equipo de seguridad. Un ataque acelerado por IA no solo compromete datos; implica muy probablemente tiempo de inactividad, operaciones interrumpidas y pérdida de ingresos. La velocidad de los ataques con IA cambia el radio de explosión de una brecha. Eso es una conversación de riesgo de negocio, no solo de seguridad, y los CIOs y CFOs necesitan estar en esa sala.
Postura recomendada: qué hacer ahora
Entender qué significan realmente estas nuevas capacidades de modelos para tu entorno de amenazas concreto. La preocupación genérica no produce buenas decisiones.
Mapear toda la superficie de ataque, prestando atención específica a la infraestructura legacy que nunca fue diseñada para resistir herramientas ofensivas modernas.
Transitar hacia pruebas continuas y ciclos de remediación rápidos. El adversario no opera con tu calendario de cumplimiento.
Combinar la velocidad de la explotación liderada por IA con el juicio de investigadores humanos expertos. La combinación es lo que permite mantenerse por delante cuando las capacidades ofensivas del otro lado se aceleran.
El momento de construir esa capacidad no es cuando Mythos esté ampliamente disponible. Es ahora. La ventana de preparación está abierta. Las organizaciones que traten esto como un simulacro estarán infinitamente mejor posicionadas que las que esperen a que haya un incendio real.
Sergio Rubio, Account Manager de Synack
