KPMG advierte de un cambio de paradigma histórico en ciberseguridad con la IA autónoma de Claude Mythos Infobae

KPMG ha compartido el cambio de paradigma en materia de ciberseguridad que supone la irrupción de Claude Mythos con su capacidad de combinar razonamiento lógico, análisis de código, autonomía agéntica y su habilidad para construir cadenas de explotación funcionales sin intervención humana directa.

Los socios responsables de Ciberseguridad y Riesgo Tecnológico de KPMG en España, Marc Martínez y Javier Aznar, han compartido con la Asociación de Periodistas de Información Económica (APIE), en Madrid, los detalles sobre cómo Claude Mythos, que en un primer momento se diseñó como un modelo generalista, supone un antes y un después en la seguridad de las empresas tras el hito histórico de abril de 2026, cuando ayudó a descubrir más de 10.000 vulnerabilidades severas.

Se ha pasado de la seguridad basada en firmas y reglas condicionales con el esquema "si pasa X, haz Y", a la seguridad cognitiva y autónoma que representa Mythos en su totalidad, y a la que ya se está sumando OpenAI con la iniciativa "Daybreak", la cual está abriendo las puertas en Europa con su nuevo modelo GPT-5.5-Cyber.

Mythos, gracias a su capacidad de análisis de grandes bases de código de forma autónoma, la formulación de hipótesis sobre fallos de seguridad, la identificación de vulnerabilidades complejas y la construcción de cadenas de explotación funcionales, se ha convertido en una herramienta de ciberseguridad inaudita.

No es solo que busque anomalías o entienda el contexto del servicio que va a poner a prueba, sino que razona como un atacante y es simplemente un detective experto que analiza el comportamiento y el entorno de cualquier código, programa o servicio "online".

Lo que ha puesto en sobreaviso tanto a las compañías y empresas como a la propia Anthropic, que tomó la decisión de crear un esquema de acceso restringido bajo la iniciativa llamada Project Glasswing, y a la que solo pueden acceder un número concreto de compañías (de momento solo americanas), para evitar la aceleración de las capacidades de explotación avanzada de vulnerabilidades.

El acceso a Project Glasswing no es público, y Anthropic lo ha distribuido entre partners como AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan, Linux Foundation, Microsoft, NVIDIA y Palo Alto Networks.

A finales de junio o principios de julio de este año, Anthropic tiene planeada la publicación de un informe completo con los hallazgos del programa en el que se incluye aproximadamente a 40 organizaciones con acceso controlado que mantienen "software" o infraestructuras críticas, librerías criptográficas o servidores clave.

El objetivo es evaluar el peligro real de Mythos y tomar decisiones de cómo liberarlo al público general antes de que pueda caer en las manos equivocadas. Ya no es una IA que asiste al usuario o a la empresa, sino que es una IA autónoma que toma decisiones.

KPMG ha dado las claves de los nuevos retos que supone Claude Mythos en materia de ciberseguridad, ya que pasa de ser una IA asistida a ser una IA autónoma, minimiza los tiempos de respuesta (la ventana entre divulgación, parche y explotación se reduce de semanas o meses a días u horas), y potencia la escalabilidad de los ataques (la capacidad de automatizar y lanzar miles de ataques de forma simultánea e industrial).

Su irrupción se traduce en nuevos riesgos para las compañías y empresas, ya que incrementa de forma sostenida las vulnerabilidades críticas, crea una obsolescencia de los modelos clásicos de priorización, expande el rango de posibles objetivos atacables (que incluye a empresas medianas que antes no eran atractivas para ataques avanzados), genera un aumento exponencial del fraude e ingeniería social avanzada, y provoca la pérdida de eficacia de los controles reactivos y manuales.

La presión recae ahora sobre las organizaciones, que se van a enfrentar a un panorama único en materia de ciberseguridad, no solo por la cantidad de nuevas vulnerabilidades que se esperan en las próximas semanas y meses, sino por la inseguridad que supone no contar con mecanismos lo suficientemente ágiles.

KPMG señala que la organización que no tome acciones, esta misma decisión será un riesgo en sí misma, y que este nuevo paradigma castiga la lentitud, la falta de automatización y la inoperatividad acumulada. Una de las respuestas es la apuesta por una mayor segmentación en la organización, políticas de mínimos privilegios y la detección temprana.

La frase "defenderse del ataque de la IA con la propia IA" es el lema de la ciberseguridad actual, como el escenario en el que hay que edificar los parapetos suficientes para reducir al máximo los efectos que pueda llegar a tener la aparición de vulnerabilidades en la organización.

Entre ellos se encuentran la aceleración de la capacidad de evaluación y parcheo, el reforzamiento de las capas de defensa en profundidad, el análisis enfocado en cadenas de ataque y no en vulnerabilidades aisladas, y el tratamiento de la IA como un nuevo vector de riesgo operativo.

La banca es uno de sectores más expuestos frente a esta nueva disyuntiva, ya que al ser un entorno puramente digital, combina alta digitalización, interconexión extrema (conectada a APIs de miles de tiendas online, pasarelas de pago y apps móviles) y presión regulatoria.

KPMB recomienda reforzar la coherencia "end to end" entre gestión de vulnerabilidades, Inteligencia de Amenazas y procesos de cambio en IT, y asegura que los mecanismos actuales pueden absorber un contexto de amenaza más dinámico y automatizado.

Esto mismo sucede con el sector energético donde, al combinar infraestructuras críticas, entornos OT, elevada interdependencia operativa y ciclos de vida tecnológicos muy largos, la IA reduce de forma drástica el esfuerzo necesario para acelerar posibles escenarios de explotación para identificar debilidades.

El nuevo estándar se compone de acciones preventivas para reducir la exposición antes de que ocurran incidentes, conciencia continua de riesgos emergentes y acelerados por IA, y una fuerte integración entre ciberseguridad, tecnología, legal y riesgos operacionales.

La implementación de la IA es el eje de las medidas a tomar, no solo por el uso de agentes basados en grandes modelos de lenguaje (LLM) para revisar código o para descubrir vulnerabilidades, sino por ponerla al servicio de las compañías y sus equipos para mejorar la eficiencia de los equipos de seguridad y mejorar sus desempeños.