
20 April 2026 | Blog

La aparición de Mythos IA está sacudiendo el sector de la ciberseguridad al acelerar la detección y la explotación de vulnerabilidades a una escala sin precedentes. Para hacer frente, las empresas deben reforzar sus fundamentos en ciberseguridad e integrar la inteligencia artificial como palanca estratégica.
La gestión de riesgos debe volverse más proactiva, implicando gobernanza y una vigilancia constante. Descubre cómo adaptarte a esta nueva era para preservar la resiliencia de tu organización.
Los modelos de IA como Mythos pueden identificar rápidamente vulnerabilidades, evaluar las distintas rutas de ataque posibles y monopolizar el ancho de banda de los equipos de seguridad. Ante este nuevo reto, ¿las empresas deben hacer un esfuerzo mayor para fortalecer su resiliencia cibernética?
Durante el webinar “Mythos: entender el fenómeno y su impacto en la ciberseguridad de tu empresa”, los expertos de Orange Cyberdefense debatieron su impacto en las empresas y las medidas prioritarias que deben ponerse en marcha.
Lo que diferencia a Mythos no es tanto su capacidad para detectar vulnerabilidades: un investigador experimentado también puede hacerlo. La diferencia está principalmente en la escala y la velocidad de esa IA. Un experto con trayectoria necesita alrededor de veinte horas para recorrer una cadena de ataque completa. Mythos realiza el mismo trabajo mucho más rápido, sin interrupción, y puede probar un millar de variaciones simultáneamente. Y eso cambia las reglas del juego, explica Sebastiaan de Vries, responsable de Consulting & Advisory en Orange Cyberdefense Países Bajos.
Esta aceleración requiere un enfoque diferente para la gestión de riesgos. Aquí tienes cinco puntos importantes para que las organizaciones refuercen su ciberseguridad en la era de Mythos IA.
Desarrollado por la empresa Anthropic, Claude Mythos no se limita a la detección de vulnerabilidades individuales. En un entorno de prueba controlado, este modelo de IA se encargó de infiltrarse en una red y elevar progresivamente sus privilegios. Y Mythos lo logró tres veces de diez, lo que representa una tasa de éxito sorprendentemente alta y supone un avance significativo frente a modelos de inteligencia artificial anteriores.
El entorno de prueba carecía de un SOC activo, de una “blue team” (1) y de un sistema de monitorización capaz de detectar comportamientos inusuales. Además, una infraestructura empresarial bien securizada supone un reto totalmente distinto.
Aun así, resulta revelador. Mythos AI aborda las distintas etapas técnicas mucho más rápido, trazando el camino entre un punto débil y una vía de ataque explotable. Una IA como Mythos también reduce el nivel de experiencia necesario de los atacantes, incluso en entornos industriales / OT muy específicos.
Hasta ahora, solo los grandes bancos se preguntaban qué vulnerabilidades podían servir como ruta de ataque y representar un riesgo. Una cuestión que hoy afecta a un número mucho mayor de organizaciones.
Corregir rápidamente las vulnerabilidades no es tan sencillo para muchas empresas. Y los nuevos modelos de IA, como Claude Mythos Preview, intensifican esa presión.
Si Mythos AI u otros modelos similares descubren más vulnerabilidades, habrá que que alguien pruebe, planifique y despliegue todas esas correcciones.
Un plazo estándar de treinta días para aplicar patches puede resultar demasiado largo para vulnerabilidades que los hackers puedan explotar rápidamente. Al mismo tiempo, las empresas no pueden corregirlo todo de golpe: algunas actualizaciones requieren paradas del sistema, pruebas adicionales o coordinación con los servicios operativos.
La gestión de parches debe orientarse más hacia el riesgo.
La vulnerabilidad con mayor prioridad ya no es necesariamente la que tiene la puntuación CVSS (2) más alta. Es la que representa el mayor riesgo dentro de tu entorno IT. Una vulnerabilidad evaluada como menos crítica puede volverse, al final, mucho más urgente de tratar si realmente puede explotarse.
El catálogo KEV de la CISA (3) puede ayudar a las empresas y a los responsables de seguridad (RSSI) en este punto, desarrolla Sebastiaan de Vries.
Si los atacantes pueden escanear, probar y explotar fallos con más rapidez, los analistas de SOC recibirán inevitablemente más alertas, patrones sospechosos e incidentes que evaluar.
Ahí es donde la IA juega un papel importante. Los equipos de seguridad pueden usarla para acelerar el triage, sintetizar informes de incidentes, identificar patrones recurrentes y priorizar alertas. Como consecuencia, las plataformas XDR, SIEM (4) y el SOC tendrán un papel aún más relevante en el tratamiento de grandes volúmenes.
Aun así, aunque un analista con apoyo de IA pueda gestionar más casos a diario, la experiencia humana sigue siendo esencial. La inteligencia artificial debe respaldar a los equipos de seguridad, no reemplazarlos. Su experiencia sigue siendo indispensable para tomar las decisiones correctas, en particular en procesos donde un error puede tener consecuencias graves, subraya Sebastiaan de Vries.
Los equipos de ciberseguridad que quieran recurrir a la IA se enfrentan a una elección: apoyarse en un modelo generalista o en un conjunto de agentes especializados, cada uno capaz de realizar una tarea concreta. En la práctica, tiende a preferirse esta segunda opción.
Hay que llevar a los equipos de seguridad a pensar como entrenadores Pokémon. En lugar de una IA todopoderosa capaz de hacerlo todo, deben apoyarse en un equipo cuidadosamente compuesto por agentes especializados, que destaquen en tareas específicas, aconseja Sebastiaan de Vries.
Las empresas que quieran usar IA para ejercicios de pentest (5) —como la clasificación automatizada de alertas o el análisis de vulnerabilidades— harían bien en determinar qué modelo o agente de IA se adapta mejor a cada caso de uso. La supervisión humana no cambia: la IA puede desviarse rápidamente si las instrucciones son erróneas o si no se tiene en cuenta el contexto.
Ante el surgimiento de plataformas de IA como Mythos, las empresas no necesariamente deben abandonar su enfoque operativo en ciberseguridad. Una red correctamente configurada y con un dispositivo de monitorización eficaz puede contrarrestar perfectamente un modelo potente de IA. Si durante las pruebas Mythos tuvo vía libre, fue precisamente porque no había ni SOC ni “Blue team” en el entorno.
Los fundamentos de un entorno IT seguro siguen siendo esenciales:
La segmentación de red y la autenticación multifactorial garantizan que, incluso con ayuda de IA, un atacante tenga que atravesar más etapas. Esto exige más esfuerzo y tiempo por parte del atacante para llegar a su objetivo. Y ese tiempo es especialmente valioso, recuerda Sebastiaan de Vries.
Estos principios básicos también exigen decisiones a nivel del consejo de administración. Estos retos no son solo responsabilidad del RSSI. La IA generativa tiene implicaciones en presupuesto, gestión de riesgos, tiempo necesario para remediar, herramientas, recursos humanos y gobernanza.
Los miembros del consejo deben entender qué significa para la continuidad de su organización la aceleración que agita actualmente el ámbito de la ciberseguridad. Una hoja de ruta plurianual es útil, pero ya no basta. Las empresas también deben determinar qué cambios se esperan durante los próximos 30, 45 y 90 días.
Es muy probable que aparezcan otros modelos similares a Claude Mythos. OpenAI, Google y otros laboratorios de IA están desarrollando su propia versión, con capacidades cada vez más amplias. Las empresas ahora deben convivir con esta aceleración permanente de la inteligencia artificial. Los consejos de nuestros expertos para hacerle frente son claros :
¿Quieres saber más sobre Claude Mythos Preview de Anthropic y el impacto de la IA generativa en la ciberseguridad? Mira la repetición de nuestro webinar, “Mythos: entender el fenómeno y su impacto en la ciberseguridad de tu empresa”. Expertos de Orange Cyberdefense te explican qué es Mythos AI, las distintas implicaciones para la gestión de parches, la detección y la respuesta a incidentes, y cómo pueden prepararse las empresas de manera concreta.
Ver el seminario web
20 April 2026 | Blog

30 December 2025 | Blog

26 March 2026 | Noticias