Capítulo 1 · Artículo 1 de 3
Cómo cambia el terreno de juego y las nuevas amenazas
| Artículo 1 | Artículo 2 | Artículo 3 |
|---|---|---|
| Cómo cambia el terreno de juego | Cómo te atacan | Cómo te ayudamos |
¿Cuán rápido crece mi ciberriesgo con la IA?
Hasta hace poco, muchas fases de un ataque sofisticado requerían conocimientos técnicos avanzados, tiempo y coordinación. Hoy, la IA empieza a automatizar parte de ese trabajo: buscar fallos, encadenar pasos, adaptar mensajes y reducir drásticamente el tiempo necesario para atacar. No es una previsión. Ya está pasando.
En abril de 2026, Anthropic presentó Claude Mythos Preview dentro de Project Glasswing, una iniciativa para ayudar a proteger software crítico en la era de la IA. El modelo ha demostrado capacidad para identificar vulnerabilidades de alta severidad en software crítico, incluidos sistemas operativos y navegadores.
Los resultados fueron tan sensibles que la propia empresa decidió no lanzarlo al público general. En su lugar, está compartiendo el acceso de forma restringida con socios defensivos y otros actores vinculados a infraestructura crítica.
| La idea clave Lo relevante no es Mythos en sí. Lo relevante es lo que representa: la capacidad de descubrir y explotar vulnerabilidades a escala, de forma automatizada, ya existe. Lo que hoy está bajo control estricto muestra hacia dónde se mueve el mercado y anticipa el tipo de capacidades que otros actores intentarán replicar sin esas mismas restricciones. |
¿Y las pymes? La pregunta no es si esto les afecta. Es si están usando el tiempo que tienen.
Tres datos para entender el cambio
| Dato | Qué significa |
|---|---|
| 5 días | El tiempo medio de explotación de vulnerabilidades se ha reducido drásticamente: Mondoo lo sitúa en 5 días e Indusface habla de una mediana inferior a 5 días. |
| 73% | Porcentaje de éxito de Mythos Preview en una evaluación controlada. |
| Acceso restringido | Anthropic no lo ha lanzado al público general y lo enmarca dentro de una colaboración defensiva con socios seleccionados. |
| Miles de vulnerabilidades | Anthropic afirma que Mythos Preview se ha usado para identificar vulnerabilidades zero-day de alta severidad en software crítico. |
Qué cambia para una pyme
La velocidad ya no perdona la demora. El tiempo entre que aparece una vulnerabilidad y que se convierte en un ataque real ha pasado de semanas a días y, en los casos más agresivos, a horas. Esto no significa que la pyme tenga que convertirse en un equipo de ciberseguridad. Significa que necesita tener cubiertas las bases, sin huecos.
Ser proveedor de una empresa grande ya implica un estándar mínimo. Los atacantes llevan años usando a proveedores pequeños como puerta de entrada hacia sus clientes grandes. Las corporaciones lo saben, y cada vez más van a exigir garantías. Para la pyme que quiera seguir en esa cadena, la seguridad deja de ser un coste y se convierte en un requisito de acceso.
La IA no distingue por tamaño, pero sí por oportunidad. Un sistema automatizado no busca objetivos concretos de la misma forma que lo haría un atacante humano. Busca patrones: sistemas sin actualizar, configuraciones por defecto, servicios expuestos, credenciales filtradas o empleados susceptibles de recibir mensajes fraudulentos. La pyme que no ha revisado esos aspectos es, en ese mapa, un objetivo visible.
La regulación ya marca el rumbo. NIS2 y DORA, son regulaciones que influyen sobre sectores financieros y aseguradores, pero que muchas otras compañías están tomando como marco de referencia, y, por ende, exigiendo el mismo rigor a sus proveedores sean pymes o no. Conocerlas desde ya e ir alineando visiones permite anticiparse, ser diferenciales y no correr detrás.
El uso interno de IA también forma parte del terreno. Los empleados adoptan herramientas nuevas porque les ayudan a trabajar mejor. Gestionar ese uso con criterio, no prohibirlo sin más, sino encauzarlo, es parte de la conversación de seguridad que las pymes tienen que empezar a tener.
| Para aterrizarlo Para una pyme, el reto no es tener el equipo de ciberseguridad de una gran corporación. Es saber qué riesgos son prioritarios, qué medidas básicas no pueden faltar y qué decisiones reducen exposición de forma inmediata. |
Esta es la carrera que ya ha empezado. No entre grandes corporaciones y estados, sino entre la velocidad a la que cambia el entorno y la velocidad a la que las empresas se adaptan. La buena noticia es que adaptarse no requiere grandes recursos. Requiere saber por dónde empezar.
En el próximo artículo veremos exactamente cómo se podrían materializar estos ataques contra las pymes: qué forma toman, por dónde entran y qué señales permiten detectarlos a tiempo.
Continuará…
El equipo Cyber Guardian
