La inteligencia artificial se ha integrado profundamente en nuestra vida diaria, transformándose en una herramienta esencial que abarca desde la generación de contenido hasta la corrección de código. En el ámbito de la ciberseguridad, esta tecnología se perfila como un aliado formidable para la detección de errores. Sin embargo, su enorme potencial también plantea serios interrogantes sobre su posible mal uso. Un ejemplo palpable de esta dualidad es Claude Mythos, uno de los proyectos más ambiciosos de Anthropic.
Anthropic se ha consolidado como un contendiente clave frente a gigantes como OpenAI, Google, Meta y Microsoft. Su asistente Claude incluso ha superado a ChatGPT y Gemini en popularidad en ciertas plataformas. Este avance se refuerza con iniciativas como Claude Mythos, presentado en abril de este año. Aunque descrito por sus creadores como un “nuevo modelo de lenguaje de uso general”, su enfoque principal es la ciberseguridad, con el objetivo de “ayudar a proteger el software más crítico del mundo”.
Claude Mythos: Una nueva era en la ciberseguridad
Claude Mythos representa el modelo de lenguaje más avanzado de Anthropic hasta la fecha. A pesar de su diseño generalista, se ha especializado notablemente en el análisis de vulnerabilidades y la ciberseguridad. Su desarrollo y las pruebas iniciales han revelado capacidades impresionantes. Por tratarse de una herramienta tan prometedora y orientada a un sector tan delicado, su acceso aún está restringido a un grupo selecto de usuarios, y su disponibilidad pública sigue siendo una incógnita.
Esta tecnología suscita tanto entusiasmo como preocupación. En un mundo hiperconectado, la confianza en sistemas tan potentes se vuelve primordial. La posibilidad de que Claude Mythos se convierta en una herramienta para atacar infraestructuras críticas, empresas o incluso objetivos geopolíticos ha encendido las alarmas, especialmente dada la naturaleza de Anthropic como compañía estadounidense.
Descubriendo vulnerabilidades ocultas por décadas
Las pruebas realizadas con Claude Mythos han sido reveladoras. El modelo demostró ser capaz de identificar y explotar vulnerabilidades de día cero en todos los sistemas operativos y navegadores web evaluados, muchas de ellas con entre diez y veinte años de antigüedad. Un caso particular fue la detección de un fallo de seguridad de 27 años en OpenBSD, el cual ya ha sido corregido. Esto sugiere que Claude Mythos posee la habilidad de encontrar debilidades que los expertos humanos no han detectado en años.
La lista de hallazgos es extensa. Claude Mythos descubrió un error de 16 años en el códec H.264 de FFmpeg, un software ampliamente utilizado en miles de aplicaciones de streaming y reproducción multimedia. También identificó vulnerabilidades en la monitorización de máquinas virtuales, esenciales en la computación en la nube, y logró acceder al kernel de Linux como superusuario. Incluso los navegadores web demostraron ser susceptibles a ataques mediante JavaScript.
Paralelamente al desarrollo de Claude Mythos, Anthropic impulsó el Proyecto Glasswing. Esta iniciativa colaborativa reúne a gigantes tecnológicos y financieros como Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, la Linux Foundation, Microsoft, NVIDIA y Palo Alto Networks. El objetivo de esta coalición es anticiparse y mitigar el mal uso de la IA como un arma que podría amenazar “economías, seguridad pública y seguridad nacional”.
El dilema de la IA: Oportunidad o amenaza global
La capacidad de Claude Mythos para desenterrar fallos en aplicaciones y sistemas operativos que podrían comprometer bancos, gobiernos o infraestructuras vitales presenta una doble cara. Desde una perspectiva optimista, puede ser una herramienta invaluable para mejorar la calidad del software actual y corregir las deficiencias de programas legados. Sin embargo, la otra cara de la moneda es preocupante: si este modelo puede encontrar vulnerabilidades tan serias, otros modelos similares podrían caer en manos de ciberdelincuentes o estados con intenciones hostiles, capaces de desestabilizar economías enteras.
La amenaza de ataques cibernéticos a gran escala no es nueva, con métodos que van desde redes zombis hasta la ingeniería social. Pero la IA, al ser capaz de descubrir entradas ocultas previamente desconocidas, podría simplificar y potenciar estos ataques. Los propósitos son variados: robo de datos, secuestro de dispositivos, o la interrupción de redes y sistemas críticos de gobiernos, hospitales y proveedores de servicios esenciales.
En Europa, las instituciones, incluido el Parlamento Europeo, trabajan activamente en estrategias de ciberseguridad y normativas para la inteligencia artificial, buscando autosuficiencia en infraestructuras digitales. Sin embargo, tecnologías como Claude Mythos son vistas con cierto recelo. La capacidad de un modelo de IA para detectar vulnerabilidades en sistemas operativos europeos podría dejar las infraestructuras del continente expuestas a ataques externos, ya sean motivados por intereses económicos o políticos.
La desconfianza se intensifica al considerar los lazos entre empresas de IA y entidades gubernamentales. Es sabido que OpenAI mantiene contratos con el gobierno de Estados Unidos, incluyendo agencias como la NASA y el Departamento de Defensa. Anthropic, a pesar de sus reservas iniciales, también ha firmado un acuerdo con el Pentágono, e Claude se ha integrado con herramientas de Palantir. En un contexto donde las relaciones transatlánticas pueden ser volátiles, existe la preocupación de que Claude Mythos pueda ser utilizado como una herramienta contra los intereses europeos, transformando una poderosa solución de seguridad en un potencial vector de conflicto.