Como ya es de conocimiento en la industria, el 27 de abril Anthropic reveló que su modelo Claude Mythos —considerado demasiado peligroso para liberarse públicamente— identificó miles de vulnerabilidades críticas zero-day en todos los sistemas operativos principales. Días después, se confirmó que el modelo ya había llegado a manos no autorizadas.

Para quienes llevamos años en ciberseguridad, la noticia no fue una sorpresa técnica. Fue la confirmación de algo que sabíamos que iba a ocurrir: la inteligencia artificial rompió el único equilibrio que mantenía al defensor en el juego.

La matemática que siempre fue injusta

Durante décadas, todos en la industria repetimos el mismo axioma: el defensor debe tener éxito el 100% de las veces, mientras que el atacante solo necesita acertar una. Son probabilidades terribles para el que defiende.

Sin embargo, algo mantuvo esa pelea relativamente equilibrada: la velocidad humana de los ataques. Encontrar una vulnerabilidad, desarrollar un exploit y ejecutar un ataque tomaba tiempo. Días. Semanas. A veces meses. Ese tiempo era el margen que tenían los defensores para parchear, detectar y responder.

Por qué la velocidad lo cambia todo

Mythos no inventó un nuevo tipo de ataque. Lo que hizo fue eliminar el único amortiguador que tenían los defensores: el tiempo. Cuando un modelo de IA puede encontrar vulnerabilidades y generar exploits en minutos, los procesos de defense actuales se vuelven inútiles.

• 🕐
  Parchear toma semanas. Los exploits, minutes.

  Los ciclos de parcheo empresarial promedian días o semanas. Con IA ofensiva, el tiempo entre descubrimiento y explotación se mide en minutos. El margen desapareció.

• ⚙️
  Los procesos de compra no están diseñados para emergencias permanentes.

  Las organizaciones tienen ciclos de evaluación y adquisición de meses. Los atacantes no esperan que se apruebe el presupuesto.

• 🔗
  La cadena de infraestructura es el flanco ignorado.

  Routers, firewalls, equipos de red: el hardware que conecta todo tiene sus propias vulnerabilidades, y renovarlo a escala global se mide en años, no en meses.

La prevención no alcanza. La resiliencia es la nueva misión.

La industria de la ciberseguridad construyó su negocio sobre la prevención: muros más altos, filtros más inteligentes, alertas más rápidas. Durante años, ese modelo fue razonable. Hoy, es insuficiente.

La IA no cambió la anatomía de un ataque successful. Un atacante entra, se mueve lateralmente desde un punto inicial hacia activos más valiosos, y usa la propia infraestructura de la organización para hacerlo. Lo que cambió es que ese proceso —que antes tomaba días— hoy puede ocurrir en horas.

La nueva misión es la resiliencia: diseñar los sistemas para que, cuando el atacante entre —y va a entrar— no pueda moverse libremente. Limitar el radio de explosión. Contener el daño antes de que llegue a los activos críticos.

Qué significa esto en la práctica

No estamos hablando de reemplazar todo lo que existe. Estamos hablando de agregar una capa que hasta ahora era opcional y que hoy es obligatoria: visibilidad y segmentación de la red interna.

Si un atacante entra —con una vulnerabilidad zero-day, con credenciales robadas, con un proveedor comprometido— la pregunta ya no es solo “¿cómo lo detectamos?” sino “¿hasta dónde puede llegar antes de que lo contengamos?”

La microsegmentación de red, combinada con visibilidad en tiempo real del comportamiento del tráfico interno, permite reducir drásticamente ese radio de explosión. No elimina el riesgo. Lo hace manejable.

Mythos fue el primer aviso claro. No será el último modelo de IA con capacidades ofensivas, y tampoco será el último en filtrarse. La ventana para prepararse existe, pero no es indefinida.

En SES trabajamos con Illumio para ayudar a las organizaciones a construir esa capa de resiliencia: mapear el entorno, identificar movimiento lateral, y contener amenazas antes de que alcancen lo que más importa.