Claude Mythos Preview es un modelo de lenguaje que, según Anthropic, demostró el 24 de febrero de 2026 capacidad para descubrir y explotar vulnerabilidades zero-day, por lo que la compañía decidió no ponerlo a disposición general y limitarlo a socios seleccionados (según Anthropic). Esta decisión combina precaución técnica con un problema de gobernanza: el modelo es útil para defensa, pero también podría facilitar ataques si cae en manos equivocadas.
¿Por qué Anthropic limita el acceso?
Anthropic argumenta que Mythos presenta un salto en lo que llamaron “cibercapacidades”: durante pruebas internas el modelo identificó fallos antiguos y explotables, incluido un bug en OpenBSD que llevaba 27 años sin parchear y que fue corregido tras su descubrimiento (según Anthropic). Para mitigar riesgos han creado Proyecto Glasswing, un programa defensivo que dará acceso solo a socios tecnológicos. La lista incluye a AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, la Fundación Linux, Microsoft, NVIDIA y Palo Alto Networks, es decir 11 organizaciones con capacidad para auditar y corregir vulnerabilidades (según Anthropic). Limitar el acceso reduce el riesgo inmediato de fuga, pero transfiere poder de verificación y mitigación a un grupo muy pequeño de empresas.
¿Qué cambia en términos técnicos y de seguridad?
En su “tarjeta de sistema” Anthropic afirma que Mythos supera en rendimiento a modelos como GPT 5.4, Gemini 3.1 Pro y Claude Opus 4.6 en la mayoría de benchmarks, y alcanza puntuaciones cercanas a la perfección en pruebas matemáticas tipo USAMO (según Anthropic). Además señalan una tasa de alucinaciones menor que en versiones previas, aunque advierten sobre fallos sutiles que parecen técnicamente correctos y requieren revisión experta. En la práctica esto significa dos cosas: primero, herramientas de auditoría automática mejorarán la detección de fallas; segundo, las salidas del modelo podrán engañar a especialistas si no se validan con procesos formales. Para equipos de seguridad esto es oro, pero también un riesgo: la facilidad con que Mythos explica exploits obliga a establecer controles estrictos de acceso y trazabilidad.
¿Cómo impacta esto en el mercado argentino?
Para empresas y equipos de seguridad en Argentina la limitación tiene efectos mixtos. Por un lado, la disponibilidad exclusiva a 11 socios globales (según Anthropic) puede traducirse en lag y dependencia: las correcciones y mejoras que surjan del uso defensivo de Mythos llegarán primero a clientes y proveedores de esas empresas, no necesariamente a pymes locales. Por otro lado, la existencia misma de un modelo con estas capacidades subraya la urgencia de invertir en auditoría y capacitación: equipos de respuesta a incidentes necesitan herramientas y formación para verificar hallazgos complejos. Además, la nota de Anthropic insiste en que Mythos puede decir “no lo sé” cuando carece de información, lo que mejora la seguridad de uso, pero no reemplaza una gobernanza clara. En resumen: Argentina necesita acceso a documentación en español y métricas públicas para evaluar riesgos y beneficios.
Qué pedimos y qué sigue
Apoyamos que Anthropic haya optado por restringir el acceso público a Mythos por riesgos claros de ciberseguridad, pero esa decisión no exime a la empresa de responsabilidades de transparencia. Exigimos tres cosas concretas: métricas públicas reproducibles sobre capacidades y fallos (según fuentes oficiales de Anthropic), documentación técnica y de uso en español para equipos de LATAM, y mecanismos de gobernanza que incluyan revisión humana independiente y auditorías externas. Si Anthropic quiere que el control operativo quede en manos de unas pocas empresas, debe acompañarlo con reporting público y plazos claros para auditorías externas. De lo contrario, la concentración de poder técnico puede crear nuevos vectores de riesgo en lugar de mitigarlos.
En lo inmediato veremos si Proyecto Glasswing produce parches y guías públicas o si la información se mantiene restringida. Mientras tanto, es razonable que las organizaciones que gestionan infraestructuras críticas asuman que modelos de esta potencia existirán y planifiquen controles, capacidades de verificación y formación específica para no depender únicamente de decisiones corporativas cerradas.
