kras99 - stock.adobe.com
La ciberseguridad empresarial tras la irrupción de Mythos
Los expertos resaltan que este tipo de tecnología tiene un carácter de “doble uso”: sirve para acelerar ataques si cae en manos equivocadas, pero también para defenderse mejor, si se usa hábilmente.
La llegada de Mythos ha producido una enorme preocupación en equipos de ciberseguridad empresarial en todo el mundo, y demuestra que la identificación de vulnerabilidades a gran escala ya no depende sólo de investigadores humanos.
Mythos logró encontrar miles de fallos y generar exploits en más del 70 % de los casos probados internamente lo que, a juicio de varios expertos, obliga a implementar un cambio drástico en la forma en que se maneja la ciberseguridad corporativa.
A juicio de Jimmy Ulloa, arquitecto de Ciberseguridad de Logicalis región Andina, lo relevante de este modelo, desarrollado por la empresa Anthropic, es que cambia la velocidad y el alcance de los ataques y de la defensa. Lo que antes requería equipos especializados trabajando durante semanas, ahora puede hacerse en horas o minutos con ayuda de IA.
El cambio fundamental no es sólo tecnológico, sino operativo. Las empresas ya no pueden pensar la ciberseguridad como una foto puntual, sino como un proceso permanente de detección, priorización y respuesta.
André Goujon, Lockbits.
“Hasta ahora, muchas organizaciones trabajaban con ciclos de revisión, análisis y remediación bastante humanos: auditorías periódicas, pentesting, gestión de parches y priorización manual. Herramientas como Mythos empujan a las empresas hacia un modelo mucho más continuo, donde la exposición técnica puede ser analizada casi en tiempo real”, señala André Goujon, CEO de Lockbits.
Mario Micucci, ESET Latinoamerica.
Mario Micucci, investigador de Ciberseguridad en ESET Latinoamérica, tiene una visión más mesurada y sostiene que Mythos no cambia los principios básicos de la ciberseguridad —gestión de vulnerabilidades, hardening, monitoreo, respuesta, continuidad—, pero sí cambia la velocidad y la escala del problema. “Mythos puede analizar grandes bases de código y encadenar vulnerabilidades menores hasta convertirlas en riesgos críticos, algo que obliga a reducir drásticamente los tiempos de detección, priorización y remediación. El cambio fundamental está en que las organizaciones ya no pueden pensar la gestión de vulnerabilidades como un proceso mensual o trimestral. En un escenario con IA avanzada, la ventana entre ‘vulnerabilidad existente’ y ‘vulnerabilidad explotable’ sencillamente se acorta”, indica.
Edgardo Fuentes, Universidad Andrés Bello.
Una opinión similar expresa Edgardo Fuentes, director de Ingeniería en Ciberseguridad de la Universidad Andrés Bello. Para él, Mythos no introduce un quiebre absoluto en los principios de la ciberseguridad, pero sí marca un cambio relevante en la manera en que estos principios se aplican y escalan. Los conceptos base de gestión del riesgo, detección de amenazas y respuesta a incidentes siguen siendo los mismos, pero la incorporación de modelos avanzados de inteligencia artificial acelera drásticamente el análisis, la correlación de eventos y la anticipación de ataques.
“En ese sentido, más que una revolución conceptual, Mythos representa un salto operativo significativo que redefine tiempos de reacción y niveles de eficiencia, lo que explica que algunos expertos lo perciban como un cambio fundamental”, dice.
Aunque Mythos hoy no está disponible para el público general, otra preocupación que este modelo hizo irrumpir se relaciona con el riesgo potencial de que hackers accedan a herramientas similares. “El riesgo es real”, enfatiza Daniela Arroyo, Advisory Services SE de Sophos para Latam. “Se advierte que otros modelos más baratos ya pueden reproducir parte del trabajo de descubrimiento. Si actores maliciosos acceden a herramientas equivalentes, el tiempo entre descubrimiento y explotación se reduciría drásticamente”, resalta.
Esto significa que grupos criminales podrían descubrir fallas más rápido, lanzar ataques más sofisticados y adaptarse en tiempo real. Incluso ya han surgido reportes sobre accesos no autorizados relacionados con Mythos, lo que demuestra que el interés por este tipo de capacidades ya existe. “El problema no es sólo la herramienta en sí, sino que reduce enormemente la barrera de entrada. Antes, para encontrar ciertas vulnerabilidades, se necesitaban años de experiencia técnica; ahora la IA puede acelerar ese trabajo y automatizar parte del proceso”, destaca Jimmy Ulloa, de Logicalis.
Los expertos resaltan que este tipo de tecnología tiene un carácter de “doble uso”: puede servir para defender mejor, pero también para acelerar tareas ofensivas si cae en manos equivocadas. Un atacante con acceso a modelos de este nivel podría reducir drásticamente el tiempo necesario para encontrar debilidades, explotar vulnerabilidades menores y construir rutas de ataque más sofisticadas. Eso no significa que la IA por sí sola haga todo el trabajo, pero sí puede aumentar la productividad de grupos criminales, reducir barreras técnicas y acortar los tiempos entre el descubrimiento de una falla y su explotación.
“Por eso el foco debe estar en gobernanza, control de acceso, trazabilidad, límites de uso y colaboración responsable entre proveedores, reguladores y sectores críticos. La propia discusión internacional apunta a que estas capacidades podrían proliferar más allá de entornos controlados, lo que hace urgente fortalecer las defensas antes de que el uso ofensivo se masifique”, destaca André Goujon, de Lockbits.
¿Las entidades financieras deberían replantear su enfoque de protección?
El impacto de la aparición de Mythos llevó a que el Departamento del Tesoro de Estados Unidos convocara a los principales bancos para discutir sus implicaciones. La razón es que, en las entidades financieras, los efectos de este tipo de modelos no son sólo técnicos, sino que pueden dañar la continuidad operacional, la confianza pública, el cumplimiento normativo y la estabilidad del sistema completo.
Por estos motivos, las entidades financieras deberían revisar su enfoque, especialmente, porque suelen operar con una combinación compleja de sistemas modernos, plataformas heredadas, integraciones, proveedores externos y alta presión regulatoria.
“El punto no es simplemente comprar más herramientas, sino cambiar la lógica de defensa. La protección debe avanzar hacia una gestión continua de exposición, remediación más rápida, monitoreo 24/7, inteligencia de amenazas, detección y respuesta extendida, y una mejor capacidad para priorizar qué vulnerabilidades representan realmente riesgo para el negocio”, indica André Goujon, de Lockbits.
Daniela Arroyo, Sophos.
En este sentido, los expertos recalcan que la seguridad financiera ya no es sólo un tema técnico, sino de gobernanza y estrategia empresarial. Y los bancos deben replantear su enfoque de protección, “porque los ataques basados en IA pueden superar controles tradicionales y aprovechar vulnerabilidades en proveedores externos, como se vio en el caso de acceso no autorizado vía un tercero. La conversación ha escalado hasta los directorios y CEO, lo que refleja la magnitud del impacto”, agrega Daniela Arroyo, de Sophos.
El caso chileno
Llevando el análisis a la realidad chilena, surge la pregunta sobre si las entidades locales están capacitadas para manejar este tipo de nuevos modelos de IA.
Chile ha avanzado bastante en regulación y conciencia sobre ciberseguridad, especialmente en sectores como banca, telecomunicaciones y servicios críticos. En este sentido, el país destaca por estar mejor posicionado que otras naciones de la región en materia normativa e institucional, especialmente por la Ley Marco de Ciberseguridad N.º 21.663 y la creación de la Agencia Nacional de Ciberseguridad. La ley establece requisitos mínimos, obligaciones, supervisión y mecanismos de reporte de incidentes.
No obstante, todavía existen diferencias importantes entre organizaciones grandes y medianas. Muchas empresas aún tienen brechas básicas: sistemas desactualizados, falta de especialistas y poca capacidad de monitoreo avanzado. Frente a herramientas potenciadas por IA, esas debilidades se vuelven mucho más visibles.
“Estar regulado no significa estar plenamente preparado. El desafío está en la madurez real de cada organización: talento especializado, inventario de activos, visibilidad sobre sistemas críticos, capacidad de respuesta, pruebas ofensivas y gobierno de IA”, advierte Mario Micucci, de ESET Latinoamérica.
Andre Goujon, de Lockbits, destaca que las grandes entidades financieras probablemente tienen mejores capacidades para enfrentar este escenario, ya que cuentan con equipos especializados, SOC, proveedores, auditorías, procesos de cumplimiento y presupuestos más robustos. Sin embargo, muchas organizaciones medianas, proveedores críticos o instituciones públicas todavía enfrentan desafíos en inventario de activos, gestión de parches, monitoreo continuo, respuesta a incidentes y gobierno de datos.
La buena noticia es que este tipo de casos también está empujando a las organizaciones a tomarse la ciberseguridad como un tema estratégico y no sólo técnico. “Ante este nuevo escenario, las empresas tendrán que revisar su estrategia y mecanismo de gestión de vulnerabilidades, dice Jimmy Ulloa, de Logicalis.
Un futuro donde ciberdelincuentes combinan sus capacidades con la IA
Lo impactante de modelos como Mythos es la profundidad técnica. Ya no se trata sólo de redactar correos fraudulentos o automatizar tareas simples, sino de ayudar a descubrir y relacionar vulnerabilidades complejas. Eso puede hacer que atacantes menos sofisticados suban de nivel y que atacantes avanzados operen con mucha más velocidad. Es decir, Mythos no debe verse sólo como una amenaza, sino como una señal clara de que la ciberseguridad entra en una etapa donde la velocidad, la automatización y la capacidad de respuesta serán determinantes.
“La IA ya se está usando para automatizar reconocimiento, generar phishing más convincente, analizar código, buscar errores de configuración, preparar malware con mayor rapidez o apoyar tareas de ingeniería social”, destaca André Goujon, de Lockbits.
“Claramente estamos en el inicio de una nueva etapa. Los hackers pueden combinar sus capacidades con IA para acelerar descubrimiento y explotación. La IA no sólo amplifica velocidad, sino también escala: millones de vulnerabilidades pueden ser analizadas en paralelo. Por eso, el futuro de la ciberseguridad será un juego de poder, donde los defensores deben elevar el costo de cada acción del atacante”, agrega Daniela Arroyo, de Sophos.
No obstante, los expertos también observan una relación positiva entre uso de IA y ciberseguridad. Lo más probable es que veamos dos velocidades:
- atacantes avanzados usando inteligencia artificial para descubrir y explotar vulnerabilidades con mayor rapidez, y
- defensores usando IA para revisar código, priorizar riesgos, detectar anomalías y acelerar la respuesta.
“El resultado será una carrera de velocidad entre ofensiva y defensa”, dice Mario Micucci, de ESET.
“Esta misma tecnología también fortalece a los defensores, por lo que el factor decisivo no será la existencia de la IA, sino la capacidad de las organizaciones para integrarla de forma estratégica, ética y coordinada con sus equipos humanos y sus marcos regulatorios”, concluye Edgardo Fuentes, de la Universidad Andrés Bello.
Investigue más sobre Gestión de la seguridad
-
![]()
Mythos, la nueva ciberinteligencia que acelera el ciclo de la seguridad
Por: Rafael Núñez Aponte
-
![]()
Las API se convierten en un factor de riesgo crítico para las empresas
-
![]()
¿Qué ocurre con la conciencia de ciberseguridad en los equipos de trabajo?
-
![]()
La gestión inteligente de vulnerabilidades se convirtió en asunto de Estado en Brasil
Por: Vincent Quezada
