Contactar Agendar llamada

Categoría: Seguridad y Riesgos

  • Claude Mythos Preview y Project Glasswing: Anthropic entra en ciberseguridad con IA

    Claude Mythos Preview y Project Glasswing: Anthropic entra en ciberseguridad con IA

    Anthropic ha dado un paso claro hacia el terreno de la ciberseguridad con el anuncio de Claude Mythos Preview, un modelo de propósito general con capacidades «notablemente sólidas» en tareas de seguridad informática, acompañado de Project Glasswing, iniciativa destinada a proteger el software crítico del mundo. El mensaje es nítido: la IA ya no solo redacta correos, también identifica vulnerabilidades con rigor suficiente para cambiar la economía del pentesting.

    Qué es Claude Mythos Preview

    Según describe la propia Anthropic, Mythos Preview es «un nuevo modelo de lenguaje de propósito general sorprendentemente capaz en tareas de seguridad informática». En evaluaciones realizadas durante un mes, el modelo demostró habilidad destacada identificando vulnerabilidades en código real, analizando configuraciones defectuosas y razonando sobre superficies de ataque complejas.

    Lo relevante no es que pueda hacerlo (otros modelos ya dan respuestas decentes en ciberseguridad): es el salto en consistencia y en profundidad de análisis. Mythos encuentra bugs en sesiones largas donde un pentester junior se cansaría, y documenta hallazgos con el rigor que se espera de un informe profesional. Anthropic lo describe como «un punto de inflexión» para el campo.

    Project Glasswing: defensa a escala de la infraestructura crítica

    Glasswing es la cara defensiva de la moneda. Anthropic propone usar Mythos para auditar software crítico mundial, partiendo del argumento de que si un modelo de IA es capaz de encontrar vulnerabilidades, deberíamos dirigir esa capacidad a proteger infraestructura clave (sistemas operativos, bases de datos, librerías de seguridad ampliamente usadas, componentes financieros) antes de que lo hagan actores malintencionados.

    Aún no hay detalles técnicos públicos completos sobre Glasswing (partners, entornos donde se prueba, métricas de vulnerabilidades encontradas), pero la señal estratégica es fuerte: Anthropic se posiciona como proveedor serio para CISOs, equipos de respuesta a incidentes y gobiernos que gestionan activos críticos.

    Implicaciones para empresas

    Para departamentos de IT, ciberseguridad y compliance hay dos consecuencias inmediatas:

    1. El baseline sube. Si un atacante usa un modelo similar a Mythos para analizar tu código, necesitarás herramientas equivalentes para la defensa. Las empresas que no incorporen IA en sus auditorías quedarán estructuralmente por detrás.
    2. El pentesting democratiza. Lo que antes requería un equipo experto dedicado se convierte en algo que una organización mediana puede hacer con un profesional de seguridad y un buen copiloto de IA. El cuello de botella ya no es el talento escaso, es el criterio para interpretar hallazgos.

    Riesgos y responsabilidad

    Anthropic es consciente de la doble filo de este tipo de modelos. Claude Mythos Preview sale con salvaguardas específicas: limitaciones en generación de malware funcional, registro de uso para evaluar patrones de abuso y programa de responsible disclosure con partners. El debate sobre dónde están los límites éticos de un modelo capaz de encontrar zero-days va a ser uno de los temas centrales de 2026.

    Análisis Blixel: qué hacer si gestionas la seguridad de una pyme o mediana empresa

    Primero, no dejarse llevar por el hype. Mythos no es un reemplazo de un CISO o un equipo de seguridad: es una herramienta poderosa que multiplica la capacidad de quien sepa usarla. Para pymes sin equipo de seguridad dedicado, el paso más útil es contratar auditorías puntuales que incorporen IA como parte del método, no encargar «una auditoría con IA» sin criterio profesional.

    Segundo, revisar el stack interno. ¿Qué dependencias externas usa tu software? ¿Qué tan expuestas están las APIs de tus agentes internos? La mayoría de incidentes en pymes no son de zero-day: son de configuraciones olvidadas, credenciales expuestas o plugins de WordPress sin actualizar. La IA ayuda a detectarlo mucho antes.

    Tercero, pensar en el cumplimiento. El EU AI Act clasifica algunos sistemas de seguridad como de alto riesgo, con obligaciones de trazabilidad y auditoría. Integrar IA en ciberseguridad tiene que hacerse con documentación y registros revisables, no con prompts sueltos y credenciales compartidas.

    Desde Blixel acompañamos a empresas en proyectos donde la IA refuerza la defensa (análisis de logs, detección de anomalías, clasificación de alertas) sin sustituir al equipo de seguridad. Si estás evaluando cómo integrar IA en tu postura de seguridad, hablemos.

    Implementa IA en tu empresa con Blixel

    Desde Blixel AI acompañamos a empresas en cada fase: diagnóstico, elección de modelo, implementación y formación del equipo. Si estas novedades de Anthropic cambian tu hoja de ruta de IA, podemos ayudarte a priorizar qué adoptar primero y cómo hacerlo sin romper lo que ya funciona.

    👉 Agenda una videollamada gratuita para revisar tu caso. 30 minutos, sin compromiso, con criterio técnico real.

    Fuentes: Anthropic (red.anthropic.com) — Claude Mythos Preview, Barracuda Blog sobre resiliencia cibernética con Claude Mythos, anuncios de Anthropic de abril 2026.

  • Mercor sufre ciberataque: Riesgos Supply Chain en IA Open Source

    Mercor sufre ciberataque: Riesgos Supply Chain en IA Open Source

    La startup de IA, Mercor, ha sido víctima de un significativo ciberataque, un incidente que pone de manifiesto las vulnerabilidades inherentes a la cadena de suministro de software abierto en el ecosistema de la inteligencia artificial. Este ataque se ha vinculado directamente con una brecha de seguridad en LiteLLM, un proyecto ‘open source’ muy popular que actúa como proxy unificado para gestionar las llamadas a grandes modelos de lenguaje (LLM) de diferentes proveedores.

    Mercor sufre ciberataque: Comprendiendo el Riesgo de LiteLLM

    Mercor sufre ciberataque debido a la explotación de una vulnerabilidad en LiteLLM, lo que permitió a los atacantes acceder a sistemas críticos y, potencialmente, a datos sensibles. LiteLLM, al facilitar la interacción con APIs de gigantes como OpenAI, Anthropic y Azure, se convierte en un punto de fallo atractivo para ciberdelincuentes. La conveniencia de poder cambiar de modelo sin reescribir código es innegable, pero este caso subraya que con gran poder viene una gran responsabilidad de seguridad.

    El modus operandi de este ataque recuerda a incidentes de ‘supply chain’ bien conocidos, como SolarWinds o XZ Utils. Lo más probable es que se inyectara código malicioso en las dependencias de LiteLLM o directamente en su repositorio. Esto no solo comprometió la integridad de la herramienta, sino que también otorgó a los atacantes la capacidad de interceptar claves API, exfiltrar datos e incluso ejecutar comandos remotos en las infraestructuras conectadas. Para Mercor, que utiliza LiteLLM en sus flujos de trabajo de reclutamiento automatizado, esto significó la exposición de tokens de LLM por valores considerables y el riesgo de fuga de datos de candidatos.

    Implicaciones para tu Negocio: Más allá de Mercor

    Este incidente con Mercor no es un caso aislado, es un campanazo de alerta. La distribución de software, especialmente en repositorios como PyPI para Python, carece a menudo de verificaciones rigurosas de firmas y se basa en una confianza ciega en las dependencias ‘upstream’. Esto significa que una vulnerabilidad en un componente, por pequeño que sea, puede tener un efecto cascada devastador. Las empresas que confían en herramientas ‘open source’ para sus operaciones de IA deben tomar nota urgentemente de este tipo de eventos, incluyendo el hecho de que Mercor sufre ciberataque. Es crucial no solo implementar LLMs, sino también asegurar toda la cadena de suministro de software subyacente.

    Las recomendaciones técnicas aquí son claras y accionables. Primero, ‘pinear’ versiones exactas de las dependencias para evitar actualizaciones automáticas con código malicioso. Segundo, utilizar herramientas de firma criptográfica como Sigstore. Tercero, escanear continuamente las dependencias con servicios como Dependabot o Socket.dev. Y cuarto, considerar despliegues de herramientas como LiteLLM en modo ‘air-gapped’ o detrás de proxies de autenticación robustos. La adopción de marcos como SLSA (Supply-chain Levels for Software Artifacts) para proyectos de IA ya no es una opción, sino una necesidad.

    Análisis Blixel: Tu Estrategia de Ciberseguridad en IA

    Desde Blixel, vemos este caso de Mercor sufre ciberataque como un ejemplo claro de que la prisa por implementar IA no puede eclipsar la seguridad. Muchos proyectos ‘open source’, aunque poderosos, están subfinanciados en términos de seguridad. Esto los convierte en objetivos fáciles para atacantes que buscan escalar sus accesos a APIs de LLM. La confianza en herramientas críticas para la producción de IA se erosiona rápidamente sin una auditoría de seguridad constante.

    Para tu PYME, esto significa que antes de integrar cualquier herramienta ‘open source’ de IA, debes realizar una diligencia debida exhaustiva. Pregúntate: ¿Qué nivel de seguridad ofrece el proyecto? ¿Hay auditorías de terceros? ¿Cómo gestionan las vulnerabilidades conocidas? Invertir en seguridad de la cadena de suministro no es un gasto, es una inversión crítica para proteger tus datos, tus clientes y la reputación de tu negocio. Si Mercor sufre ciberataque, ¿está tu negocio preparado para algo similar? Asegúrate de que tienes planes de respuesta a incidentes y que rotas tus claves API regularmente.

    Fuente: TechCrunch

  • GPTZERO detecta citas alucinadas en papers NeurIPS

    GPTZERO detecta citas alucinadas en papers NeurIPS

    En un giro irónico para el mundo de la inteligencia artificial, gptzero detecta citas alucinadas en papers NeurIPS, exponiendo vulnerabilidades en la investigación académica. La startup GPTZero analizó 4.841 papers aceptados en la conferencia NeurIPS 2025, confirmando 100 citas fabricadas o alteradas por IA en 51 de ellos. Esto ocurre en un evento con una tasa de aceptación del 24,52%, donde expertos en IA aparentemente no verifican detalles generados por LLMs, resaltando contradicciones en un campo que promueve la precisión.

    El análisis de GPTZero y sus hallazgos clave

    GPTZero, una herramienta diseñada para detectar contenido generado por IA, escaneó miles de papers y encontró que gptzero detecta citas alucinadas en papers NeurIPS con precisión alarmante. Estas alucinaciones incluyen títulos inexistentes, autores falsos y URLs rotas. Aunque el porcentaje es mínimo—menos del 1% de las citas totales—el impacto es significativo, ya que estos papers superaron un riguroso proceso de revisión por pares. Según datos de la startup, el ‘tsunami de submissions’ satura los sistemas, permitiendo que errores impulsados por IA pasen desapercibidos. Esto no solo erosiona la integridad académica, sino que también cuestiona el valor de las citas como métrica de influencia en la comunidad científica.

    Implicaciones para la regulación y la ética en IA

    Desde mi perspectiva como escéptico de la sobrerregulación, este incidente demuestra que gptzero detecta citas alucinadas en papers NeurIPS mejor que muchos procesos humanos, pero también resalta la necesidad de innovación sin trabas estatales. NeurIPS aclara que el núcleo de las investigaciones no se invalida, pero la presencia de estas fabricaciones pone en jaque la confianza en la producción académica. En un contexto donde las LLMs generan contenido a gran escala, ¿deberíamos imponer más reglas o fomentar herramientas como GPTZero para auto-regular el sector? Los datos muestran que, con 51 papers afectados de 4.841, el problema es sistémico pero manejable con tecnología adecuada, sin necesidad de intervenciones gubernamentales que frenen el avance.

    Consecuencias no intencionadas en el ecosistema académico

    El uso indiscriminado de IA en la redacción de papers genera ironías evidentes: expertos en machine learning fallan en verificar outputs de sus propias creaciones. gptzero detecta citas alucinadas en papers NeurIPS, revelando un patrón que podría extenderse a otras conferencias. Económicamente, esto afecta la credibilidad de métricas como el h-index, basadas en citas, y podría desincentivar inversiones en investigación si la percepción de fraude aumenta. Precedentes legales, como regulaciones en la UE sobre IA, sugieren un enfoque cauteloso, pero datos duros indican que herramientas de detección libremente disponibles son más efectivas que burocracia.

    Análisis Blixel:

    Como Marcos Vidal, con años desmontando narrativas corporativas y estatales, veo en esto una hipocresía flagrante: la IA, alabada por su eficiencia, genera alucinaciones que expertos no detectan, mientras herramientas como GPTZero las exponen con facilidad. No es momento para más regulación que asfixie la innovación; al contrario, defendamos el libre mercado de ideas donde startups como esta prosperen. Los datos son claros: con solo 100 citas erróneas en miles, el riesgo es mínimo, pero la lección es verificar siempre, no censurar. Esto erosiona la fe en la academia, pero también valida el potencial de IA para auto-corregirse, sin intervenciones que disfrazan control como protección.

    Fuente: TechCrunch