CISA usa Mythos, la IA de Anthropic, para auditar el código del gobierno de EE. UU.
CISA usa Mythos, la IA de Anthropic, para auditar código del gobierno; ya detectó muchas vulnerabilidades
TL;DR:
- CISA usa Mythos, de Anthropic, para escanear repositorios de código del gobierno de EE. UU. en busca de fallas de seguridad, según tres fuentes citadas por Reuters.
- El trabajo lo hace el equipo de Evaluación de Superficie de Ataque de la agencia; dos fuentes afirman que ya detectó un gran número de vulnerabilidades, sin dar cifras.
- Ocurre semanas después de que Fable 5 y Mythos 5 estuvieran apagados a nivel mundial durante 19 días por controles de exportación, levantados el 30 de junio.
La agencia de ciberdefensa de Estados Unidos, CISA, está usando Mythos, el modelo de inteligencia artificial de Anthropic, para auditar el software del gobierno federal. Lo revelaron a Reuters tres personas al tanto del asunto este 6 de julio de 2026. El trabajo lo ejecuta el equipo de Evaluación de Superficie de Ataque de CISA (Attack Surface Evaluation), que rastrea los repositorios de código del gobierno en busca de fallas que puedan abrir la puerta a espías extranjeros y a cibercriminales. Dos de esas fuentes aseguran que las auditorías ya destaparon un gran número de vulnerabilidades, aunque no dieron detalles.
Hay un límite claro en lo que se sabe. Reuters no pudo confirmar cuánto código revisó el equipo ni la gravedad de los errores encontrados, y Anthropic no respondió a las preguntas sobre la iniciativa.
En abril, CISA ni siquiera tenía acceso a Mythos
El dato pega más fuerte con contexto. En abril, Axios reportó que CISA no tenía acceso a Mythos mientras otras dependencias ya lo probaban: la NSA y el Centro de Estándares e Innovación en IA del Departamento de Comercio. Para entonces, Anthropic había entregado el modelo a más de 40 empresas y organizaciones. La NSA lo usa desde ese mes, pese a la etiqueta de "riesgo" que le colgó el Pentágono, y a finales de junio The New York Times contó que sus analistas lo probaron en entornos clasificados y salieron impresionados.
Lo nuevo de este reporte es que CISA, el organismo que coordina la ciberdefensa civil del país, ya dejó de mirar desde afuera.
Un cazador de vulnerabilidades más veloz que un equipo humano
Claude Mythos es un modelo de inteligencia artificial de Anthropic entrenado para encontrar y explotar vulnerabilidades de seguridad en código y sistemas, y hacerlo más rápido que un equipo humano de auditoría. Anthropic lo mantiene fuera del público justo por su potencia: lo distribuye a un grupo reducido de defensores a través de Project Glasswing, un programa que impulsa con el gobierno de EE. UU. Fable 5 es la versión abierta con salvaguardas; Mythos es el mismo modelo con esos frenos levantados en varias áreas.
Anthropic no esconde de qué es capaz. En el anuncio de junio, la empresa lo definió así:
"Tiene las mayores capacidades de ciberseguridad de cualquier modelo del mundo."
Los resultados que se conocen son concretos. La Fundación Mozilla dijo que, con una versión previa de Mythos, halló y parchó 271 vulnerabilidades en Firefox. La propia Anthropic asegura que en sus pruebas el modelo encontró fallas en todos los principales sistemas operativos y navegadores del mercado.
Ahí está el nudo del debate. La misma herramienta que ayuda a un defensor a tapar huecos sirve para que un atacante los encuentre y los use. Brett J. Goldstein escribió en The New York Times que un modelo así deja en desventaja a los equipos de seguridad más pequeños, sin músculo para competir contra esa velocidad.
El pulso con la Casa Blanca dejó el modelo a oscuras 19 días
El fichaje de CISA llega mientras Anthropic sigue enredada con la administración de Donald Trump. La empresa, que presentó de forma confidencial su salida a bolsa en EE. UU., viene de un choque que empezó lejos. En febrero, después de que Anthropic se negara a retirar las salvaguardas que impiden usar su IA para armas autónomas o vigilancia masiva, el Pentágono la marcó como un "riesgo para la cadena de suministro", una etiqueta que suele reservarse para empresas extranjeras sospechosas de espionaje. En marzo, un juez frenó esa medida y Anthropic demandó al Departamento de Defensa.
La tensión volvió a estallar en junio, y esta vez apagó los modelos por completo:
- El 9 de junio de 2026, Anthropic lanzó Fable 5, la versión pública de su familia Mythos, con salvaguardas de ciberseguridad incorporadas.
- El 12 de junio, el Departamento de Comercio ordenó bloquear el acceso de cualquier persona extranjera a Fable 5 y Mythos 5, luego de que investigadores de Amazon reportaran una forma de burlar esas salvaguardas. Anthropic tuvo que apagar ambos modelos para todos sus clientes.
- El 26 de junio, el gobierno aprobó restaurar Mythos 5 para un grupo selecto de organizaciones estadounidenses.
- El 30 de junio, Comercio levantó por completo los controles de exportación.
- El 1 de julio, Fable 5 volvió a estar disponible a nivel global. El apagón duró 19 días.
Cada bando contó el episodio a su manera. Anthropic minimizó el hallazgo: sostuvo que la técnica solo sirvió para detectar fallas menores ya conocidas, que otros modelos públicos (incluido GPT-5.5 de OpenAI) encuentran lo mismo, y que reentrenó un clasificador de seguridad que ahora bloquea ese comportamiento en más del 99% de los casos. Investigadores del centro de estándares de IA del NIST probaron las salvaguardas viejas y nuevas y las calificaron de muy sólidas, según lo que la empresa informó a Cybersecurity Dive. Del otro lado, la Casa Blanca y Amazon trataron el mismo reporte como un riesgo real: el director ejecutivo de Amazon, Andy Jassy, fue quien alertó a las autoridades. Para levantar el veto, Anthropic se comprometió con el secretario de Comercio, Howard Lutnick, a detectar y atender de forma proactiva los riesgos de seguridad, a trabajar en estándares para próximos modelos y a informar de actividad maliciosa.
El apagón también alcanzó a los usuarios de habla hispana
El bloqueo de junio no fue quirúrgico. Como la orden entró en vigor de inmediato y Anthropic no podía verificar la nacionalidad de cada usuario en tiempo real, suspendió el acceso para todo el mundo, no solo para Estados Unidos. Eso significa que quien usaba Fable 5 desde México, España, Colombia o Argentina se quedó sin el modelo durante casi tres semanas. Volvió a estar disponible a nivel global el 1 de julio. El detalle importa para los lectores de habla hispana: el mismo sistema que hoy revisa el código del gobierno estadounidense estuvo, hasta hace días, fuera del alcance de cualquiera fuera de EE. UU.
Preguntas rápidas sobre Mythos y CISA
¿Qué es Claude Mythos?
Es el modelo de IA más avanzado de Anthropic en ciberseguridad, capaz de encontrar y explotar fallas de software. La empresa no lo abrió al público por riesgo de abuso y lo reserva para defensores vetados a través de Project Glasswing. Su versión pública, con salvaguardas, se llama Fable 5.
¿El apagón de Fable 5 y Mythos 5 afectó a usuarios fuera de Estados Unidos?
Sí. Cuando el gobierno ordenó bloquear a extranjeros el 12 de junio de 2026, Anthropic no podía verificar nacionalidades en tiempo real y suspendió el acceso para todos, en todo el mundo. Fable 5 regresó de forma global el 1 de julio, tras 19 días fuera de servicio.
El saldo es incómodo y revelador a la vez. La agencia encargada de blindar la infraestructura digital de Estados Unidos hoy confía parte de esa tarea a un modelo que, semanas atrás, el propio gobierno consideró demasiado sensible para dejar circular. Cuántas fallas encontró en el código federal, y qué tan serias son, sigue sin conocerse.