Los fallos llevan tiempo en tu infraestructura

Durante décadas, la seguridad informática ha funcionado sobre una premisa incómoda que nadie quería decir en voz alta: es imposible encontrar todos los fallos. La superficie de ataque de cualquier sistema complejo es demasiado grande, los recursos humanos son limitados y las herramientas tradicionales tienen zonas ciegas que nadie sabe exactamente dónde están.

Esa premisa acaba de quebrarse.

Una versión preliminar de Claude Mythos, el modelo de inteligencia artificial especializado en ciberseguridad de Anthropic, identificó 271 vulnerabilidades en el código de Firefox 148 en cuestión de días. Entre los fallos detectados hay vulnerabilidades reconocidas con identificadores CVE oficiales, incluidas en la documentación de seguridad de Mozilla con crédito explícito a la IA.

Mozilla lleva años presumiendo de que Firefox es uno de los navegadores de código abierto más sólidos y auditados. La colaboración con Anthropic mostró que todavía había una cantidad considerable de fallos latentes. La inquietud viene de comprobar hasta qué punto la superficie de ataque seguía escondiendo puntos débiles que ni las pruebas manuales ni las técnicas clásicas de análisis habían detectado.

Firefox no es un caso de negligencia. Es uno de los proyectos de software más revisados de la historia. Si a ellos les pasó, la pregunta no es si a tu empresa le puede pasar. La pregunta es cuándo.

Los fallos no aparecen de golpe. Llevan años ahí.

Este es el detalle que más debería preocupar a cualquier director de IT o CEO que lea esta noticia. Mythos también encontró una vulnerabilidad de 27 años en OpenBSD y otra de 16 años en FFmpeg, ambas pasadas por alto por herramientas de seguridad automatizadas en cinco millones de ocasiones. ProtecciónDatos-LOPD.

27 años, una brecha abierta durante más tiempo del que lleva existiendo Google, durante el que han pasado por ese código miles de ingenieros, auditorías, revisiones y actualizaciones. Nadie la vio.

Bobby Holley, director técnico de Firefox, describe la sensación de vértigo al ver 271 vulnerabilidades de golpe, especialmente porque para un objetivo bien protegido, un solo error de este tipo habría sido una alerta roja en 2025. Eso es lo que hay dentro de cualquier infraestructura que no se monitoriza de forma continua. No es una posibilidad. Es una certeza estadística.

El cambio que lo convierte en urgente

Hasta ahora, encontrar un fallo crítico en un sistema complejo requería meses de trabajo de un investigador de élite. Eso limitaba quién podía atacarte: solo actores con muchos recursos, mucho tiempo y mucha capacidad técnica. Esa ventana se ha cerrado.

Firmas como Palo Alto Networks señalan que Mythos es capaz de concentrar en tres semanas el equivalente a un año de pruebas de penetración en determinados entornos. El modelo no se limita a marcar líneas de código sospechosas: puede comprender la lógica de un fallo, proponer parches y en algunos casos generar exploits funcionales que demuestran el impacto real de la vulnerabilidad.

Detectar y explotar. En días. A escala.

Anthropic sostiene que su enfoque busca adelantarse a ese escenario, utilizando la misma tecnología que podría representar una amenaza para reforzar las defensas antes de que sea demasiado tarde. Sin embargo, el lanzamiento de Claude Mythos también refleja un cambio en la dinámica de la ciberseguridad, donde la inteligencia artificial no solo es una herramienta de protección, sino también un posible vector de riesgo.

La misma tecnología que encontró 271 vulnerabilidades en Firefox puede estar siendo usada ahora mismo para buscar las tuyas.

Quién tiene acceso y quién no

Anthropic decidió retirar Claude Mythos del acceso público tras detectar que era capaz de identificar y explotar vulnerabilidades en sistemas de software críticos, limitando el acceso únicamente a más de 50 grandes organizaciones, entre ellas Amazon, Apple, Microsoft, Google y JPMorgan Chase. ProtecciónDatos-LOPD.

Las empresas más grandes del mundo ya tienen acceso a esta capacidad defensiva. El resto no.

Eso crea una brecha nueva en el panorama de la ciberseguridad. No entre los que tienen presupuesto para seguridad y los que no. Sino entre los que saben en tiempo real qué tienen expuesto y los que siguen operando con la esperanza de que nadie mire demasiado de cerca.

Los riesgos como el ransomware y las interrupciones en infraestructura crítica aumentan ante la facilidad con la que la IA detecta vulnerabilidades en proyectos esenciales. Los sectores más expuestos son los de siempre: energía, salud, banca, transporte, administración pública. ProtecciónDatos-LOPD

La única variable que puedes controlar

Tanto Mozilla como otros proveedores han reconocido en silencio durante mucho tiempo que reducir los exploits a cero era poco realista.

Nadie puede garantizarte que tu infraestructura esté libre de vulnerabilidades. Eso no existe. Lo que sí existe es la diferencia entre una organización que detecta una anomalía en tiempo real y puede actuar antes de que el daño sea irreversible, y una que lo descubre semanas después cuando el cifrado ya ha ocurrido.

Lo que sí parece alcanzable es reducir el tiempo medio en el que un fallo pasa de ser desconocido a estar parcheado, especialmente en software crítico como navegadores, sistemas operativos y servicios de infraestructura. Ese tiempo, el que va desde que un fallo existe hasta que alguien lo detecta, es exactamente donde se gana o se pierde.

Firefox lo encontró antes de que nadie lo explotara. Por eso esta es una noticia sobre una actualización de seguridad y no sobre un ciberataque.

La pregunta es en qué lado de esa historia quieres estar cuando le toque a tu infraestructura.

Fuentes: The New York Times, Infobae, Vidabytes, Trucoteca, Actualidad Gadget, Forgenex — Abril 2026.