Go back

Article

10 abr 2026

Claude Mythos encontró cómo tomar control de servidores Linux vulnerables y encendió todas las alarmas en ciberseguridad

Project Glasswing: por qué Anthropic, Google, Microsoft, Apple y ocho corporaciones más crearon una alianza de emergencia para blindar la infraestructura de ciberseguridad crítica del planeta

Google, Microsoft y Apple a crear Project Glasswing, la mayor alianza de ciberseguridad de la industria privada.

Imaginate encontrar una vulnerabilidad en Linux, el sistema operativo que sostiene el 96 % de los servidores del mundo, casi la totalidad de la infraestructura cloud y miles de millones de dispositivos Android. Eso es exactamente lo que encontró Claude Mythos, y saltaron todas las alarmas de ciberseguridad del mundo. A los pocos días, Anthropic, Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, la Linux Foundation, Microsoft, NVIDIA y Palo Alto Networks crearon Project Glasswing, la alianza para blindar el software crítico. El equilibrio que rigió la industria durante veinte años, cuando encontrar vulnerabilidades era lento y costoso ya no existe.

Qué es Project Glasswing y por qué se creó

Project Glasswing es una iniciativa de ciberseguridad colaborativa impulsada por Anthropic que reúne a algunas de las organizaciones tecnológicas más relevantes del mundo. Su misión es proteger la infraestructura de software más crítica del planeta. Actuar defensivamente de forma coordinada se convirtió en una prioridad de seguridad nacional y económica para las democracias occidentales.

Claude Mythos Preview

Project Glasswing emerge directamente de los resultados obtenidos con Claude Mythos Preview, el modelo más avanzado desarrollado por Anthropic a la fecha de este anuncio. El objetivo de Mythos era ser muy bueno con el código, pero lo que descubrieron es que eso le proporcionó capacidades en seguridad informática cualitativamente mejores a las de generaciones anteriores.

Otro de los atributos diferenciales es que opera con un alto grado de autonomía: el modelo identificó vulnerabilidades en los principales sistemas operativos y navegadores web, incluyendo fallos que habían permanecido sin detectar durante décadas, entre ellos un error de 27 años en la implementación TCP SACK de OpenBSD y una vulnerabilidad de 16 años en el códec H.264 de FFmpeg que había eludido tanto a herramientas de fuzzing automatizadas como a auditores humanos.

Su capacidad de explotación también es avanzada: puede encadenar hasta cuatro vulnerabilidades distintas, generar heap sprays JIT complejos capaces de escapar de sandboxes de renderer y sistema operativo, y construir cadenas ROP en ataques de ejecución remota de código.

El caso concreto de Linux: Mythos analizó vulnerabilidades recientes del kernel de Linux e identificó escenarios explotables, demostrando casos de escalada de privilegios donde un usuario sin privilegios podía escalar a root mediante la ejecución de un binario.

Ciberseguridad e IA en Anthropic

El equipo de Frontier Red Team de Anthropic lleva años evaluando las implicancias de los modelos en ciberseguridad, bioseguridad y sistemas autónomos. Entre los trabajos documentados más relevantes se encuentran:

  • La evaluación de capacidades en benchmarks de ciberseguridad, donde los modelos recientes muestran mejoras significativas respecto a generaciones anteriores.

  • Investigación aplicada con el Pacific Northwest National Laboratory (PNNL), donde se exploran escenarios de seguridad en infraestructuras críticas.


En paralelo, el equipo de Interpretabilidad trabaja en comprender los mecanismos internos de los modelos como base para la seguridad de la IA, y el equipo de Alineación desarrolla metodologías para garantizar que los modelos futuros permanezcan útiles, honestos e inocuos. Este contexto de investigación posiciona a Mythos como el resultado predecible de una curva de capacidades que Anthropic ha venido midiendo con rigurosidad.

Beneficios, próximos pasos y cómo se transforma una industria

En términos de beneficios concretos, Glasswing permite el acceso a capacidades defensivas de primer nivel: organizaciones de código abierto y proveedores de infraestructura crítica que carecen de recursos de seguridad extensos ahora tienen acceso al mismo modelo frontera que los grandes actores.

Anthropic respaldó el proyecto con 100 millones de dólares en créditos de uso del modelo para Project Glasswing y sus participantes, cubriendo una parte sustancial del uso durante esta fase inicial.

Complementó esta iniciativa con financiamiento directo al ecosistema open source: 2,5 millones de dólares destinados a Alpha-Omega y OpenSSF a través de la Linux Foundation, y 1,5 millones a la Apache Software Foundation, con el objetivo de fortalecer la capacidad de respuesta de los mantenedores frente a este nuevo escenario.

En cuanto a próximos pasos: dentro de 90 días se publicarán los hallazgos consolidados para aplicación en toda la industria; se lanzará un Programa de Verificación Cibernética para profesionales de seguridad afectados; y se incorporarán métodos defensivos desarrolladas en este proceso a los próximos modelos Claude Opus antes de una disponibilidad más amplia de Mythos.

Riesgos éticos y el problema de la divulgación responsable

La publicación de Mythos abre una tensión no resuelta que el propio Anthropic reconoce: una gran proporción de las vulnerabilidades descubiertas por el modelo siguen sin tener solución al momento del anuncio. Esto plantea una pregunta incómoda sobre responsabilidad: ¿quién responde si entre el descubrimiento y la solución alguien explota uno de esos fallos?

El equilibrio de seguridad que rigió la industria durante veinte años descansaba en que encontrar vulnerabilidades era lento y costoso; Mythos elimina en gran parte esa fricción.

Ello también implica que ciertos mecanismos de defensa pueden verse presionados frente a atacantes con mejores capacidades de explotación. La industria enfrenta una transformación profunda que exige no solo nuevas herramientas sino nuevas normas sobre qué se divulga, cuándo y a quién.

Implicancias para la política pública y la geopolítica

Project Glasswing no es únicamente un proyecto tecnológico: también tiene implicancias estratégicas en términos de seguridad global. La posibilidad de que capacidades como Mythos sean utilizadas por actores maliciosos antes de que los defensores estén preparados introduce nuevos desafíos en la coordinación internacional.

El hecho de que múltiples grandes corporaciones tecnológicas se coordinen bajo una iniciativa de seguridad común es, en sí mismo, un evento relevante.

Quedan abiertas preguntas ¿Cómo se articulan las obligaciones de divulgación en jurisdicciones distintas cuando la vulnerabilidad afecta infraestructura global? Donde queda la soberanía tecnológica de los países.

Fuentes consultadas: anthropic.com/glasswing · red.anthropic.com/2026/mythos-preview · Building AI for cyber defenders · Disrupting AI espionage · red.anthropic.com/2026/zero-days


© Lievrex All right reserved


© Lievrex All right reserved