Una inteligencia artificial tan poderosa que el gobierno de Estados Unidos tuvo que sentarse a negociar con las empresas más grandes del mundo. Eso es, en pocas palabras, lo que está pasando.
Todo esto empezó el 7 de abril de 2026, cuando la empresa tecnológica Anthropic presentó su nuevo modelo de IA Claude Mythos. La novedad no era solo su impresionante rendimiento, por mucho superior a cualquier sistema previo en análisis de código y detección de vulnerabilidades, sino la decisión que le siguió inmediatamente, toda vez que Anthropic reveló el modelo pero se negó a ponerlo a disposición del público. La razón era sencilla y preocupante al mismo tiempo, ya que Mythos puede detectar de forma autónoma miles de vulnerabilidades de seguridad de día cero, es decir, fallas ocultas en sistemas operativos y software que nunca habían sido encontradas, y generar exploits complejos (programas maliciosos dirigidos a una falla específica) con mucho menos intervención humana que los métodos tradicionales.
Para entender la magnitud de lo que estás leyendo, basta saber que entre los fallos descubiertos por Mythos hay un bug de 27 años de antigüedad en OpenBSD, un sistema operativo conocido precisamente por su robustez en seguridad. Varias de las vulnerabilidades detectadas habían existido sin ser encontradas durante años, en todos los grandes sistemas operativos y navegadores de internet.
A la vista del acontecimiento, el presidente de la Reserva Federal y el secretario del Tesoro de Estados Unidos convocaron a los directores ejecutivos de los grandes bancos estadounidenses para discutir el tema. La preocupación se centró en la interrogante la cual plantea que si un modelo así cae en manos equivocadas, los sistemas financieros quedan expuestos de formas que los métodos convencionales de ciberseguridad simplemente no pueden anticipar.
Ante ese riesgo, Anthropic optó por crear el Proyecto Glasswing, un consorcio controlado que incluye a Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, la Linux Foundation, Microsoft, NVIDIA y Palo Alto Networks, con el objetivo de usar una versión restringida de Mythos para identificar y parchear vulnerabilidades críticas antes de que actores maliciosos desarrollen capacidades equivalentes.
El movimiento de Anthropic trastocó los cálculos de la Casa Blanca, forzándola a considerar un nuevo papel del gobierno en la evaluación de los riesgos de esta tecnología.
El resultado fue el decreto ejecutivo firmado el 2 de junio de 2026, titulado “Promoting Advanced Artificial Intelligence Innovation and Security”. La orden establece un marco para que el gobierno federal evalúe los riesgos de seguridad nacional de los sistemas de IA más avanzados durante hasta un mes antes de su lanzamiento público.
El decreto también instruye a las agencias federales a desarrollar métricas para evaluar las capacidades cibernéticas de los modelos de IA, crear un repositorio de ciberseguridad para revisar y compartir información sobre vulnerabilidades, y reforzar las defensas de seguridad del gobierno.
La orden recortó el periodo de revisión a 30 días, un compromiso que refleja la tensión entre las preocupaciones de seguridad y la presión por no frenar la ventaja competitiva de las empresas estadounidenses frente a China.
El problema tiene una dimensión que en México no ha recibido la atención que merece. Mientras Canadá y Europa han levantado alertas formales y buscado acercamientos con Anthropic y las autoridades estadounidenses, el gobierno mexicano no ha dado señales públicas de haber tomado contacto con ninguna de estas partes para solicitar un análisis de sus sistemas financiero, electoral, tributario o de seguridad e inteligencia (donde se resguardan datos sensibles como la CURP biométrica) ante las nuevas capacidades de detección de vulnerabilidades que ofrece Mythos, aunque sea bajo la estricta rectoría del gobierno de Estados Unidos.
Más preocupante aún es que los especialistas han tachado de fuera de toda lógica la iniciativa presentada recientemente en el Congreso mexicano para regular el desarrollo, comercialización y uso de sistemas de IA en el país. En un momento en que el debate internacional gira en torno a los riesgos concretos de modelos como Mythos sobre infraestructura crítica, la propuesta nacional fue desestimada por los expertos al no estar a la altura de los enormes avances y peligros, en materia de ciberseguridad y seguridad nacional que hoy están sobre la mesa.
Es bien sabido que los hackers patrocinados por el crimen organizado están ejecutando ataques de forma industrial y masiva en busca de vulnerabilidades de los sistemas de gobiernos, incluyendo los de los sistemas tributarios, de programas públicos y de sistemas electorales, así como de empresas u organizaciones, utilizando agentes de IA con iniciativa para explotar vulnerabilidades, lo que los hace humanamente imposibles de contener, por lo que algunas empresas especializadas en ciberseguridad están utilizando modelos basados en tecnología de agentes de IA para mitigar estas vulnerabilidades.
El peligro radica, en que tanto Mythos como un modelo fundacional de IA abierto puedan ser utilizados para realizar ataques coordinados, ya sea por un hacker o un grupo de hackers. Además de que los hackers son organizaciones con estructura, con el uso de la IA pueden construir programas de malware en segundos para violar los sistemas y causar severos daños secuestrando información o los dispositivos, para fines de extorsión o complot, según los propósitos y el tipo de organización del que se trate.
La pregunta que queda en el aire es si una IA puede encontrar en segundos vulnerabilidades que llevan décadas sin ser detectadas en los sistemas más protegidos del mundo, ¿qué tan seguros están los sistemas del gobierno mexicano? Hasta ahora, nadie en el gobierno parece haber respondido esa pregunta en voz alta. Es más, ni se la han hecho aún.
