La inteligencia artificial se ha convertido en una tecnología tan versátil que se está colando en prácticamente cualquier rincón de nuestra vida. La IA generativa empezó imitando nuestra manera de escribir. Pero hoy es una herramienta que millones de personas utilizan para generar imágenes y videos, redactar informes, mensajes y correos electrónicos, escribir código o corregirlo, etcétera. Precisamente, la búsqueda de errores en el código de un programa o aplicación convierte la inteligencia artificial en una poderosa herramienta de ciberseguridad. Y como suele ocurrir en este ámbito tan delicado, un mal uso puede convertir la IA en una amenaza en potencia. Como Claude Mythos, uno de los proyectos más ambiciosos de Anthropic.
Anthropic es una de las principales rivales de OpenAI, Google, Meta o Microsoft. Un rival serio si tenemos en cuenta que su asistente de IA, Claude, ha logrado desbancar a ChatGPT y Gemini en las tiendas de aplicaciones. Y no solo eso. Su avance parece imparable con proyectos como Claude Mythos. Presentado el pasado mes de abril, sus creadores hablan de él como “un nuevo modelo de lenguaje de uso general”. Sin embargo, su campo de acción va a ser la ciberseguridad. O dicho de otra forma, “ayudar a proteger el software más crítico del mundo y preparar al sector para las prácticas que todos tendremos que adoptar a fin de adelantarnos a los ciberatacantes".
La idea es encomiable. Pero ante una tecnología capaz de hacer lo que promete Anthropic, no han tardado en surgir los temores. En un mundo hiperconectado, ¿hasta qué punto podemos fiarnos de Claude Mythos? ¿Y si se convirtiera en una herramienta para atacar empresas e infraestructuras críticas y financieras? Y siendo una empresa estadounidense, ¿podría Claude Mythos convertirse en una herramienta para que Estados Unidos ataque a sus rivales políticos y geoestratégicos?
Qué es Claude Mythos
Claude Mythos es un nuevo modelo de lenguaje. El más avanzado de Anthropic. Y aunque es un modelo de uso general, se está especializando en ciberseguridad y análisis de vulnerabilidades. Presentado el pasado mes de abril, este modelo de IA todavía no está disponible para el gran público. Al tratarse de una herramienta tan prometedora y que está enfocada a un ámbito tan delicado, de momento solo está en manos de unos pocos afortunados. Y está por ver qué tipo de usuarios podrán manejar una aplicación de esta índole.
Según explican los responsables de Claude Mythos, durante las pruebas realizadas, fue capaz de identificar y explotar vulnerabilidades de día cero en todos los sistemas operativos y navegadores web representados en dichas pruebas. Vulnerabilidades que tenían entre diez y veinte años de antigüedad. El ejemplo más flagrante, un bug de 27 años de OpenBSD, ya corregido. Así que, según las pruebas de Anthropic, su nuevo modelo de IA es capaz de encontrar vulnerabilidades allí donde los humanos no han llegado todavía. Y esto puede ser una oportunidad de mejora o una amenaza.
De qué es capaz Claude Mythos
Pero hay más. Claude Mythos detectó un bug de 16 años en el códec H.264 de FFmpeg, un software empleado en miles de aplicaciones de streaming y reproducción de video y audio. También detectó vulnerabilidades en la monitorización de máquinas virtuales, muy populares en la computación en la nube. Tampoco se salva el kernel de Linux, al que la IA pudo acceder como root o superusuario. O los navegadores web, que pueden ser atacados con JavaScript. La lista completa se puede consultar leyendo el artículo publicado por Anthropic.
En paralelo a este nuevo modelo de IA, Anthropic puso en marcha también el proyecto Glasswing, una iniciativa en la que participan Amazon Web Services, Anthropic, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, the Linux Foundation, Microsoft, NVIDIA y Palo Alto Networks. Es decir, varias de las empresas más importantes relacionadas con internet y la inteligencia artificial. El motivo de crear esta organización se debe a la necesidad de anticiparse al mal uso de la IA como arma contra “economías, seguridad pública y seguridad nacional”.
Dónde está la polémica
Claude Mythos es capaz de encontrar errores en aplicaciones y sistemas operativos que pueden utilizarse para acceder a dispositivos comprometidos de bancos, gobiernos, entidades públicas o empresas. Siendo optimistas, esto puede ayudar a mejorar la calidad del software que se programa hoy en día. Y el que usamos y que se programó años atrás. Pero, al mismo tiempo, si este nuevo modelo de IA es capaz de encontrar vulnerabilidades serias, nada impide que mañana aparezca otro modelo que haga lo propio. Y que esté en manos de ciberdelincuentes o de gobiernos interesados en hacer caer un banco, una empresa o toda la economía de un país rival.
No es nada nuevo. Los ataques a sistemas informáticos a mayor escala se suelen realizar empleando redes zombis que tienen secuestrados miles de dispositivos a los que se ha accedido aprovechando fallos de seguridad, errores o vulnerabilidades. O mediante técnicas de ingeniería social que engañan al usuario para instalar aplicaciones dañinas. Con la llegada de la inteligencia artificial, acceder a dispositivos vulnerables se vuelve más fácil si la IA es capaz de encontrar entradas ocultas que no han sido cerradas porque no se conocen todavía.
Un ataque cibernético puede tener muchos propósitos. Robar datos, secuestrar dispositivos para ataques a gran escala o, directamente, secuestrar o tirar redes o sistemas informáticos de gobiernos, hospitales o infraestructuras clave como bancos, proveedores de internet o de energía.
Por qué Europa recela de Claude Mythos
El Parlamento Europeo, y en general, todas las organizaciones que componen la Unión Europea, llevan años trabajando hacia un modelo que les permita ser autosuficientes a nivel de infraestructuras digitales y poner en marcha una estrategia común de ciberseguridad. Lo que se une también a las normas y leyes que existen y que se están gestando enfocadas en la inteligencia artificial.
En el contexto actual, tecnologías como Claude Mythos son vistas con recelo por Europa por varios motivos. Que un modelo de IA sea capaz de detectar vulnerabilidades en sistemas operativos o aplicaciones hace que las infraestructuras y redes europeas sean más vulnerables ante ataques externos. Ya sea por interés económico o político. De ahí que, al ser Anthropic una compañía estadounidense, exista la desconfianza hacia soluciones como Claude Mythos.
No es un secreto que OpenAI tiene contratos firmados con Estados Unidos y varias agencias federales, como la NASA o el Departamento de Defensa. Y pese al recelo inicial, Anthropic también firmó un acuerdo con el Pentágono. Sin ir más lejos, Claude se ha integrado con las herramientas de la controvertida Palantir y otros sistemas de IA que se utilizan en tareas de defensa e inteligencia. En un contexto en el que Estados Unidos va por libre y sus relaciones con Europa están en riesgo, nada impide que Claude Mythos se emplee como arma contra los intereses europeos.