En junio de 2024, un ciberataque a una empresa de servicios de patología causó caos en los hospitales de Londres. Se cancelaron más de 10,000 citas. La escasez de sangre siguió y los retrasos en pruebas de sangre ocasionaron la muerte de un paciente.
Ataques cibernéticos letales como este son afortunadamente raros. Pero un nuevo lanzamiento de inteligencia artificial podría cambiar eso, sumergiéndonos en un nuevo mundo aterrador de caos y perturbación en los sistemas digitales en los que confiamos.
Esta semana, Anthropic, una empresa líder en IA en San Francisco, anunció “Claude Mythos Preview”, un modelo de IA que la startup afirma que es demasiado peligroso para ser lanzado públicamente, gracias a su excepcional ciberseguridad y capacidades de ciberataque. Mythos, asegura la compañía, ha encontrado vulnerabilidades en cada navegador y sistema operativo importante. En otras palabras, este nuevo modelo de IA podría ayudar a los hackers a perturbar gran parte del software más importante del mundo.
“Esto es alarmante a nivel de Y2K”, dijo un experto en seguridad. Ya, Mythos ha encontrado un bug de 27 años en una pieza crítica de infraestructura de seguridad y múltiples vulnerabilidades en el kernel de Linux, esencial para sistemas informáticos en todo el mundo. Estos puntos débiles podrían amenazar casi todo en internet, desde los servicios de streaming con los que te relajas hasta los sistemas bancarios en los que confías.
Si esa tecnología estuviera ampliamente disponible y fuera tan capaz como asegura Anthropic, las implicaciones podrían ser catastróficas. Los ciberataques ya no son solo un problema digital. Casi todo en lo que confiamos en el mundo físico involucra software. En los últimos años, aeropuertos, hospitales y redes de transporte han sido paralizados por ciberataques. Hasta ahora, los ataques de esta magnitud requerían serias habilidades. Mythos pondría esa capacidad al alcance de los aficionados y potenciaría la capacidad de los profesionales para causar estragos.
Los expertos en ciberseguridad están dando la alarma. Anthony Grieco de Cisco, una empresa de redes y ciberseguridad, dijo que “las capacidades de IA han cruzado un umbral que cambia fundamentalmente la urgencia requerida para proteger la infraestructura crítica … y no hay vuelta atrás”. Lee Klarich, jefe de gestión de productos en Palo Alto Networks, dijo que el modelo “indica un cambio peligroso” y advirtió que “todos necesitan prepararse para los atacantes asistidos por IA”.
“Habrá más ataques, más rápidos y más sofisticados”, dijo Klarich.
Afortunadamente, no estamos totalmente condenados aún. En lugar de lanzar Mythos públicamente, Anthropic primero lo está ofreciendo a empresas que manejan gran parte de nuestra infraestructura crítica, incluyendo Apple, Microsoft y Google. La esperanza es que puedan usar Mythos para encontrar brechas en su seguridad y parcharlas antes de que actores maliciosos obtengan capacidades similares.
Esto significa que ahora estamos en una carrera contra el tiempo. Gracias a la falta de regulación a nivel nacional e internacional, no hay nada que obligue a otras empresas a seguir la estrategia de implementación de Anthropic. Probablemente solo sea cuestión de meses antes de que actores menos responsables, en EE. UU. u en otro lugar, lancen un modelo con capacidades similares. Cuando lo hagan, solo podemos esperar que el software en el que confiamos haya sido adecuadamente asegurado.
En tiempos más cooperativos, sería optimista pensar que EE. UU. podría coordinar un esfuerzo de toda la sociedad para prepararse para esta inminente “vulnpocalipsis”. Pero la administración Trump ha declarado la guerra contra Anthropic, prohibiendo a las agencias gubernamentales y al ejército utilizar su tecnología y llamándola públicamente una “compañía radical de izquierda, despierta” por no permitir que el ejército use sus herramientas para la vigilancia masiva de los estadounidenses. Esa hostilidad significa que es poco probable que el gobierno colabore con Anthropic para fortalecer sus propios sistemas, que son notoriamente precarios y algunos de los más importantes de asegurar.
Hay ciertas razones para ser optimistas. Es posible que Anthropic esté exagerando las capacidades de Mythos: después de todo, tiene un interés propio en promocionar sus productos. Pero las vulnerabilidades documentadas y la disposición de competidores a asociarse con Anthropic sugieren que la amenaza es real. Mientras tanto, algunas partes del gobierno están tomando nota: el martes, se informó que Scott Bessent, el secretario del tesoro de EE. UU., y Jerome Powell, el presidente de la Reserva Federal, convocaron a ejecutivos de Wall Street para prepararse para los riesgos planteados por Mythos y futuros modelos de IA enfocados en ciberseguridad.
Pero el panorama general es sombrío. Mythos no es solo un problema de ciberseguridad, también es inquietantemente bueno para ayudar a las personas a diseñar armas biológicas, y a veces engaña a los usuarios a sabiendas y encubre sus huellas. Es una demostración de los riesgos de la IA “superinteligente” que Anthropic y sus competidores quieren liberar en la sociedad, sin importar las consecuencias. Con Mythos, podemos tener tiempo para anticipar los riesgos. Pero si los gobiernos continúan permitiendo que estas compañías operen sin reglas, puede que no tengamos tanta suerte en el futuro.
