– KPMG
MADRID, 2 Jun. (CIBERPRO) –
KPMG ha destacado el cambio radical en el ámbito de la ciberseguridad que trae consigo Claude Mythos, gracias a su habilidad para combinar razonamiento lógico, análisis de código, autonomía en su funcionamiento y su capacidad para desarrollar cadenas de explotación sin intervención humana directa.
Los socios de Ciberseguridad y Riesgo Tecnológico de KPMG en España, Marc Martínez y Javier Aznar, han compartido con la Asociación de Periodistas de Información Económica (APIE), en Madrid, los pormenores sobre cómo Claude Mythos, inicialmente concebido como un modelo generalista, marca un antes y un después en la seguridad empresarial desde el histórico abril de 2026, cuando ayudó a identificar más de 10.000 vulnerabilidades críticas.
Se ha evolucionado de una seguridad basada en firmas y reglas condicionales con el esquema «si ocurre X, entonces haz Y», a una seguridad cognitiva y autónoma que representa Mythos en su totalidad, a la que OpenAI también se une con su iniciativa ‘Daybreak‘, que está abriendo nuevas posibilidades en Europa con su modelo GPT-5.5-Cyber.
Gracias a su capacidad para analizar grandes volúmenes de código de manera autónoma, formular hipótesis sobre posibles fallos de seguridad, identificar vulnerabilidades complejas y crear cadenas de explotación funcionales, Mythos se ha convertido en una herramienta revolucionaria en el ámbito de la ciberseguridad.
No solo se limita a buscar anomalías o comprender el contexto del servicio que se va a evaluar, sino que actúa como un atacante, funcionando como un investigador experto que analiza el comportamiento y el entorno de cualquier código, programa o servicio en línea.
Esto ha alertado tanto a las empresas como a la propia Anthropic, que decidió implementar un esquema de acceso restringido bajo la iniciativa Project Glasswing, al que solo tienen acceso un número limitado de empresas (actualmente solo en EE.UU.), para prevenir la aceleración de las capacidades de explotación avanzada de vulnerabilidades.
El acceso a Project Glasswing no es público, y Anthropic lo ha distribuido entre socios como AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan, Linux Foundation, Microsoft, NVIDIA y Palo Alto Networks.
Se espera que a finales de junio o principios de julio de este año, Anthropic publique un informe completo con los hallazgos del programa que incluye aproximadamente a 40 organizaciones con acceso controlado que operan con ‘software’ o infraestructuras críticas, librerías criptográficas o servidores esenciales.
El propósito es evaluar el verdadero riesgo que representa Mythos y decidir sobre su liberación al público general antes de que pueda caer en manos incorrectas. Ya no se trata de una IA que asiste al usuario o a la empresa, sino de una IA autónoma que toma decisiones.
KPMG ha expuesto los nuevos desafíos que plantea Claude Mythos en el ámbito de la ciberseguridad, ya que pasa de ser una IA asistida a ser autónoma, reduciendo los tiempos de respuesta (la brecha entre divulgación, parcheo y explotación se acorta de semanas o meses a días u horas), y aumentando la escalabilidad de los ataques (la capacidad para automatizar y llevar a cabo miles de ataques de manera simultánea e industrial).
Su llegada implica nuevos riesgos para las empresas, ya que incrementa de manera constante las vulnerabilidades críticas, genera una obsolescencia de los modelos tradicionales de priorización, amplía el espectro de posibles objetivos de ataque (incluyendo a empresas medianas que antes no eran atractivas para ataques avanzados), provoca un aumento exponencial del fraude y la ingeniería social avanzada, y disminuye la eficacia de los controles reactivos y manuales.
La presión ahora recae sobre las organizaciones, que se enfrentarán a un panorama inédito en ciberseguridad, no solo por el volumen de nuevas vulnerabilidades que se anticipan en las próximas semanas y meses, sino por la incertidumbre que implica no contar con mecanismos suficientemente ágiles.
KPMG advierte que la organización que no actúe, estará asumiendo un riesgo por sí misma, y que este nuevo paradigma penaliza la lentitud, la falta de automatización y la ineficiencia acumulada. Una de las respuestas es apostar por una segmentación más efectiva dentro de la organización, políticas de mínimos privilegios y detección temprana.
El lema «defenderse del ataque de la IA con la propia IA» es el mantra de la ciberseguridad actual, en un escenario donde es fundamental construir barreras suficientes para mitigar al máximo los efectos de la aparición de vulnerabilidades en la organización.
Entre las medidas recomendadas se incluyen la aceleración de la capacidad de evaluación y parcheo, el fortalecimiento de las capas de defensa en profundidad, el análisis centrado en cadenas de ataque en lugar de vulnerabilidades aisladas, y el abordaje de la IA como un nuevo vector de riesgo operativo.
El sector bancario es uno de los más vulnerables ante esta nueva situación, ya que al ser un entorno completamente digital, combina una alta digitalización, una interconexión extrema (conectada a APIs de miles de tiendas en línea, pasarelas de pago y aplicaciones móviles) y una fuerte presión regulatoria.
KPMG sugiere reforzar la coherencia ‘end to end’ entre la gestión de vulnerabilidades, la Inteligencia de Amenazas y los procesos de cambio en IT, asegurando que los mecanismos actuales pueden adaptarse a un contexto de amenaza más dinámico y automatizado.
Lo mismo ocurre en el sector energético, donde, al combinar infraestructuras críticas, entornos OT, alta interdependencia operativa y ciclos de vida tecnológicos prolongados, la IA reduce significativamente el esfuerzo necesario para acelerar posibles escenarios de explotación y detectar debilidades.
El nuevo estándar consiste en acciones preventivas para disminuir la exposición antes de que ocurran incidentes, una conciencia constante sobre riesgos emergentes y acelerados por IA, y una fuerte integración entre ciberseguridad, tecnología, legal y riesgos operacionales.
La implementación de la IA se convierte en el eje central de las medidas a adoptar, no solo por el uso de agentes basados en grandes modelos de lenguaje (LLM) para revisar código o descubrir vulnerabilidades, sino por poner la IA al servicio de las empresas y sus equipos para mejorar la eficiencia de los equipos de seguridad y optimizar su desempeño.
