Anthropic acaba de lanzar Claude Mythos Preview. No lo hicieron disponible públicamente. Esa decisión por sí sola debería decirle todo lo que necesita saber sobre lo que este modelo puede hacer.
Durante las pruebas internas, Mythos descubrió y explotó de forma autónoma vulnerabilidades de día cero en todos los principales sistemas operativos y navegadores web. Encontró un error de 27 años en OpenBSD. Una vulnerabilidad de 16 años en un códec de medios ampliamente utilizado. Ya ha identificado miles de fallos críticos que los defensores nunca habían visto.
Anthropic estaba tan preocupado por las implicaciones ofensivas que informó a la Reserva Federal, al Departamento del Tesoro y a la Agencia de Seguridad de Infraestructura y Ciberseguridad antes del lanzamiento. La Fed y el Tesoro convocaron una reunión de emergencia con los directores ejecutivos de los principales bancos específicamente para discutir la ciberamenaza que representa este modelo.
Asimile esto. Un solo modelo de IA desencadenó una reunión de emergencia en los niveles más altos del sistema financiero global.
La pregunta ya no es si la IA puede hackear a gran escala. Ahora sabemos que sí puede. La pregunta es si su superficie de ataque está lista.
Esto No Es Un Problema Futuro
Quiero ser directo sobre lo que Mythos representa para cada equipo de seguridad. Esto no es una advertencia sobre hacia dónde se dirige la IA. Esto es una descripción de dónde ya se encuentra la IA.
Anthropic describe a Mythos como un salto cualitativo respecto a todos los modelos que lo precedieron, incluidos sus propios modelos Opus. Se sitúa en un nivel de capacidad completamente nuevo. Y aunque Anthropic ha restringido el acceso a un consorcio de socios defensivos, esa limitación de acceso no durará para siempre. Los modelos con este nivel de capacidad no permanecen contenidos.
La propia investigación de CrowdStrike encontró un aumento del 89% en los ataques asistidos por IA año tras año. Y eso fue antes de Mythos. Los atacantes ya están utilizando la IA. La brecha entre la capacidad ofensiva de la IA y la preparación defensiva de la IA se está ampliando cada mes.
Descargue nuestro eBook: El estado de la seguridad de la IA y las API: Navegando la era agéntica
El caso McKinsey: Qué sucede cuando las API pasan desapercibidas
Ya hemos visto este patrón antes. Una de las empresas más sofisticadas del mundo. API no autenticadas expuestas. Un atacante encuentra una. Pivota a través del entorno. En cuestión de horas, un compromiso masivo de datos.
Ese ataque fue ejecutado por un humano. Ahora ponga Mythos en manos de ese atacante.
Un agente de IA que puede razonar de forma autónoma sobre código, encadenar exploits de varios pasos, ejecutar miles de sondeos paralelos y nunca detenerse, nunca dormir, nunca pasar por alto un endpoint, no se mueve a velocidad humana. Se mueve a velocidad de máquina. La ventana entre el descubrimiento de una vulnerabilidad y la explotación activa se reduce a casi cero.
No se puede parchear lo que no se ve. Y ahora mismo, la mayoría de las organizaciones no pueden ver su superficie de ataque API completa.
La superficie de ataque que nadie está vigilando
La cruda verdad es que la explosión de la IA agéntica ha creado una nueva y masiva superficie de ataque que la mayoría de los equipos de seguridad no han inventariado, y mucho menos protegido.
Cada agente de IA en su entorno se comunica a través de APIs. Cada servidor MCP. Cada integración interna. Cada conexión de terceros. Cada API en la sombra que un desarrollador implementó el trimestre pasado y que su equipo de seguridad desconoce su existencia.
Cada uno de ellos es un punto de entrada potencial para un modelo como Mythos. Y las antiguas herramientas de seguridad de API fueron diseñadas para un mundo donde los atacantes eran humanos. No fueron creadas para una IA que puede enumerar toda su capa agéntica en cuestión de minutos.
Precisamente por eso Salt construyó la Plataforma de Seguridad Agéntica. No porque esto se avecinara. Sino porque ya está aquí.
Conozca su perímetro. Soluciónelo antes de que lo encuentren.
La respuesta a una amenaza como Mythos no es el pánico. Es la disciplina. Y comienza con tres cosas.
Primero: visibilidad. Necesita un descubrimiento completo y en tiempo real de cada activo de API en su entorno. No solo sus APIs documentadas. Sus servidores MCP, sus conexiones internas y externas, sus integraciones de terceros, sus APIs en la sombra. Si se puede invocar, necesita saber que existe. El Agentic Security Graph de Salt le proporciona ese mapa de forma continua.
Segundo: postura. Una vez que puede ver su superficie de ataque completa, el AG-SPM de Salt le indica dónde está expuesto. Qué APIs no están autenticadas. Cuáles tienen permisos excesivos. Qué comportamientos parecen de reconocimiento. Obtiene una vista real de la postura, no una instantánea puntual.
Tercero: urgencia. Vulnerabilidades priorizadas. Rutas de remediación claras. Rápida obtención de resultados. No se requiere la implementación de agentes externos. El objetivo es encontrar y solucionar sus exposiciones antes de que Mythos, o lo que venga después de Mythos, las encuentre para otra persona.
Las organizaciones que actúen ahora serán las que eviten la próxima generación de titulares sobre filtraciones. Las que esperen serán el caso de estudio.
Este es el momento
El propio CEO de Anthropic escribió que, si lo hacemos bien, existe una oportunidad real para construir una internet fundamentalmente más segura. Yo lo creo. Pero hacerlo bien requiere que los defensores se muevan tan rápido como la amenaza.
El evento decisivo ha llegado. Mythos es real. La superficie de ataque a la que apuntará son sus APIs, su infraestructura agéntica, su capa MCP. Salt fue diseñado precisamente para este momento.
Empiece con la visibilidad. Empiece ahora.
Salt Security ofrece una evaluación de seguridad agéntica gratuita para que pueda mapear su superficie de ataque agéntica completa en minutos, no en meses.
Obtenga su evaluación gratuita en salt.security/agentic-assessment
