¿Es Mythos marketing? ¿Quizá el fin del mundo? ¿Cyberpunk 2077? Ni una cosa ni la otra. La realidad y el progreso no se detienen, pero tampoco es como Anthropic pretende vender.
El fenómeno Mythos
Mythos es el modelo aún por salir de una de las empresas líderes en inteligencia artificial: Anthropic. La salida comercial del modelo se ha pospuesto en favor del “Proyecto Glasswing”, una iniciativa en el que participan gigantes del tamaño de AWS, Apple, Google y Linux.
Si bien esto podría ser en parte una estrategia de marketing, el actual modelo insignia de Anthropic, Claude Opus, ya ha demostrado ser excelente en lo que respecta a analizar código y encontrar vulnerabilidades, así como en desarrollar exploits para ellas.
¿Es para tanto?
Mythos, según Anthropic, es mucho más potente que Opus. Mientras que la potencia en materia de ciberseguridad de Opus 4.7 respecto al 4.6 no es tan notable, la de Mythos respecto a Opus es presuntamente un aumento gigantesco.
Según Anthropic Red Team en su artículo«Assessing Claude Mythos Preview’s cybersecurity capabilities», Mythos ha encontrado vulnerabilidades en miles de productos muy críticos para la infraestructura mundial, entre ellos OpenBSD, FFMPEG y el kernel de Linux. En materia de explotación, lo que manualmente serían semanas de desarrollo antes de un exploit funcional, Mythos Preview tarda horas.
¿Marketing o no?
Según varios expertos, es irrelevante si lo que estamos leyendo sobre Mythos es una exageración o no. La realidad es que aunque el avance en IA sea menos exponencial, los modelos son cada vez más potentes. Si Mythos no es el modelo disruptivo que aparenta ser, es cuestión de una o dos generaciones que llegue la versión que cambie por completo la forma en que se atacan y defienden las máquinas.
Los CVE van a aparecer con más frecuencia que nunca. El actor malicioso aumentará sus capacidades en escala, velocidad y nivel de los ataques, siendo estos más elaborados en menos tiempo. Esto es especialmente peligroso para los proyectos open-source, cuyo código está totalmente expuesto, pero en general, afectará a todas las empresas y organizaciones por igual.
Las empresas tienen que actualizar políticas, aprobar presupuestos, aprobar cambios… Los criminales no tienen que atravesar ninguna de estas trabas burocráticas, y el propósito del Proyecto Glasswing es dar a las empresas un margen para endurecer su postura de seguridad antes de comercializar el modelo y habilitar a los hackers malintencionados de todo el mundo a encontrar vulnerabilidades al mismo ritmo que Anthropic Red Team
¿Es esto el fin del mundo?
Definitivamente no, pero es vital que las empresas, las fundaciones y los individuos se adapten a esta nueva era de la seguridad. Los atacantes van a estar a la vanguardia, y la única forma de protegerse es con una estrategia acorde.
El impacto va a ser fuerte. A largo plazo la IA habilita un escenario en el que el código, los sistemas y las redes son más seguros que nunca, sin embargo, las transiciones son lentas. Eso deja una ventana de años o décadas en la que los actores maliciosos tienen la ventaja gracias a estos modelos tan potentes.
El reto de la transición
Esa transición va a ser especialmente dura para las organizaciones que no estén a la altura, y no sean capaces de tomar medidas para proteger sus activos mientras las capacidad defensivas de la IA alcanzan a las ofensivas.
Para comenzar un plan de adaptación hay una serie de medidas generales que hay que tomar:
- Desde hoy hasta la fecha de salida de Mythos:
Revisar el estado actual de la infraestructura, las políticas y, sobre todo, los flujos de DevOps y los ciclos de parcheado. Pulir, automatizar y blindarlos es clave. - Los primeros años tras la salida:
Mapear en profundidad la infraestructura. Realizar frecuentemente escaneos con las IA de vanguardia en toda la red, dispositivos y sobre todo en el código. Reducir la superficie de ataque y el área de impacto gracias a la información de esos escaneos.
En el medio-largo plazo, la adopción progresiva de IA para labores de revisión, monitoreo e incluso prevención es obligatoria si se quiere estar a salvo de los ciberdelincuentes del futuro. Los flujos de DevOps y despliegue, y los servicios de defensa y monitoreo como los SOC, los WAF o los IPS necesitan integrar inteligencia artificial en el futuro para ser capaces de detectar y repeler los ataques.
Hasta que esas tecnologías lleguen y se estandaricen, la automatización y el conocimiento de la infraestructura son tan claves como exponer la mínima cantidad posible de puntos débiles.
