Mythos Preview: La IA más peligrosa hackeada en 24 horas

El 7 de abril, Anthropic anunció Mythos Preview con el nivel de seriedad institucional que normalmente acompaña a los tratados nucleares. Cuarenta organizaciones seleccionadas. Apple, Google, Amazon, Goldman Sachs, JP Morgan. El Secretario del Tesoro Scott Bessent convocó una reunión de banqueros senior en Washington específicamente para discutir el modelo. La justificación era directa: Mythos es demasiado peligroso para el público general. Project Glasswing sería el mecanismo de contención. El mismo día del anuncio, un grupo en un servidor privado de Discord ya estaba adentro.

No hackearon nada. Adivinaron la dirección y usaron la llave de alguien que sí tenía acceso.

La secuencia técnica es lo que hace difícil mirar hacia otro lado. Credenciales legítimas de un contratista de un proveedor externo de Anthropic, combinadas con la reconstrucción de las convenciones de nomenclatura de URL usando datos expuestos en la filtración de Mercor tres semanas antes. Reconocimiento básico de regularidades. El tipo de cosa que cualquier persona con curiosidad y tiempo libre puede hacer. La frase que circuló después en los círculos de seguridad no es hipérbole: es descripción técnica. La IA que encuentra vulnerabilidades en todos los sistemas operativos del planeta fue derrotada por el autocompletado de la barra de direcciones.

Lo que el grupo hizo con el acceso resulta, en cierto sentido, casi tranquilizador. Construyeron sitios web simples. Tareas sin consecuencias. La intención declarada es curiosidad, no destrucción. Reconozco esta dinámica en otros contextos, y la intención declarada es exactamente el tipo de garantía que no garantiza nada cuando la herramienta puede producir exploits operables de forma autónoma. Las mismas fuentes indican que el grupo también tiene acceso a modelos de Anthropic aún no lanzados. La pregunta no es qué hicieron. Es qué podrían hacer, y quién más, con menos escrúpulos, ya encontró la misma puerta.

La falla real no está donde Anthropic dice que está. El grupo no evadió la arquitectura de seguridad interna de la empresa. Explotó la brecha entre los controles de Anthropic sobre sus propios modelos y los de un proveedor externo con credenciales de acceso válidas. Es una distinción que importa técnicamente, pero que desde afuera produce exactamente el mismo resultado. Hay investigadores que llevan años diciéndolo con distintas palabras: cualquier estructura de alta capacidad expuesta a un entorno semi-distribuido —con socios, contratistas y ecosistemas de confianza— amplía su superficie de ataque más allá de lo que puede controlar de forma realista. No es un diagnóstico nuevo. Es la misma constante que derribó a SolarWinds, que comprometió a Uber, que expuso datos de millones de personas en brechas que hoy nadie recuerda. La cadena de confianza es tan fuerte como su eslabón más débil, y el eslabón más débil siempre es el que tiene menos que perder.

El contexto político convierte esto en algo más que una nota de seguridad informática. La brecha llegó un día después de que Trump dijera en CNBC que un acuerdo con el Pentágono era posible y que Anthropic está tomando forma. Al mismo tiempo, Anthropic demanda al Departamento de Defensa por haberla clasificado como riesgo de cadena de suministro, una disputa legal que gira exactamente sobre si la empresa puede controlar el acceso a lo que construye. Un acceso no autorizado, aunque sea a través de un proveedor externo, da munición perfecta a quienes ya argumentaban que Anthropic no puede gobernar sus propias herramientas. Y luego está la paradoja que completa el cuadro: el Pentágono designó a Anthropic como riesgo de cadena de suministro después de que la empresa se negó a remover salvaguardas de seguridad para uso militar, pero la NSA ya usaba Mythos para escaneo de vulnerabilidades a pesar de esa lista negra. El mismo gobierno que la prohíbe la usa. La Casa Blanca empuja para expandir el acceso a agencias civiles federales. El brazo derecho no sabe, o no quiere saber, lo que hace el izquierdo.

La pregunta que quedaba sin respuesta sobre el modelo de negocio de Anthropic encuentra ahora respuesta parcial. La empresa con múltiples filtraciones en poco tiempo se posicionó como custodio de la infraestructura crítica global. Nadie la audita con efectividad suficiente para que ni siquiera su modelo más restringido sobreviva intacto el día de su lanzamiento.

Los contratistas terminan siendo el punto frágil. Siempre. Cualquier organización de alta capacidad expuesta a entornos semi-distribuidos amplía su superficie de ataque más allá de lo controlable, y eso no es un hallazgo reciente. Los gremios medievales prometían estándares de calidad que sus propios miembros violaban sistemáticamente. Los bancos centrales prometían supervisión que no evitó la crisis de dos mil ocho. Cada estructura de control promete más protección de la que puede cumplir, y la brecha entre la promesa y la realidad siempre se descubre en el peor momento posible. La diferencia con episodios anteriores no es que el modelo haya fallado. Los modelos siempre fallan eventualmente. La diferencia es la escala de lo que custodia la estructura que falló. Un gremio medieval que no cumple sus estándares produce mala tela. Un banco central que falla produce una crisis que borra los ahorros de millones de personas. Una gobernanza de IA que no sobrevive su primer día custodia herramientas capaces de encontrar vulnerabilidades en cualquier sistema operativo del planeta.

Todavía no tengo claro —y creo que nadie lo tiene— qué forma tendría una gobernanza real de estas herramientas. No el teatro institucional de reuniones con banqueros en Washington y listas de cuarenta organizaciones seleccionadas. Gobernanza real, con dientes, con auditoría independiente, con consecuencias cuando falla. Porque la alternativa no es que el modelo más peligroso del mundo permanezca inaccesible para siempre. La alternativa es que el próximo grupo que lo encuentre no esté construyendo sitios web de prueba.

¿Qué aspecto adoptaría una gobernanza efectiva para estas capacidades?

1. Medium — Reportaje sobre el acceso no autorizado a Mythos Preview y la reconstrucción de la URL del endpoint.

2. Nomad Lawyer — Análisis del uso del acceso por el grupo de Discord y el alcance a modelos no lanzados.

3. Al Jazeera — Cobertura del fallo de gobernanza de proveedor externo como vector de acceso.

4. IEEE Spectrum — Declaración de analista de seguridad sobre la expansión de superficie de ataque en ecosistemas de confianza.

5. Aerospace America — Contexto sobre Project Glasswing, las organizaciones participantes y la reunión convocada por Scott Bessent.