Proyecto Glasswing: la iniciativa que quiere blindar el software más crítico del mundo en la era de la IA
El Proyecto Glasswing llegó con todo, y no es exagerado decir que puede cambiar las reglas del juego de la ciberseguridad de forma definitiva. Anthropic acaba de anunciar una iniciativa que reúne a algunos de los nombres más importantes de la tecnología mundial — incluyendo AWS, Apple, Microsoft, Google, Cisco, NVIDIA, CrowdStrike, Broadcom, JPMorganChase, Palo Alto Networks y la Linux Foundation — todos unidos por un objetivo en común: proteger los sistemas más críticos del planeta antes de que sea demasiado tarde.
El detonante de todo esto fue un descubrimiento impresionante y, al mismo tiempo, un poco inquietante. Un nuevo modelo de inteligencia artificial llamado Claude Mythos Preview, aún no disponible para el público, demostró una capacidad que pocos esperaban ver tan pronto: encontrar y explotar vulnerabilidades de software con una precisión y autonomía que supera a la mayoría de los especialistas humanos en seguridad.
No estamos hablando de fallos simples o errores obvios. El modelo encontró miles de vulnerabilidades de alta severidad, incluyendo fallos en todos los principales sistemas operativos y navegadores web. Problemas que pasaron años o incluso décadas ocultos, sobreviviendo a revisiones humanas y millones de pruebas automatizadas. La buena noticia es que muchas ya fueron corregidas. Pero el mensaje está claro: si una IA puede hacer esto de forma defensiva, ¿qué pasa cuando esas mismas capacidades caigan en las manos equivocadas?
Es exactamente esa pregunta la que motivó el Proyecto Glasswing, y en los próximos párrafos vas a entender cómo funciona esta iniciativa, qué ha descubierto ya y por qué el momento de actuar es ahora. 🔐
Qué es el Proyecto Glasswing y por qué importa tanto
El Proyecto Glasswing no es simplemente otro programa de bug bounty ni una iniciativa corporativa de relaciones públicas. Representa un cambio real en la forma en que la industria tecnológica entiende la ciberseguridad en la era de la inteligencia artificial. La idea central es simple, pero poderosa: si los modelos de IA se están volviendo capaces de encontrar fallos que los humanos no logran detectar, entonces esos mismos modelos necesitan ponerse al servicio de la defensa, de forma coordinada, transparente y con responsabilidad compartida entre las empresas más influyentes del sector.
Anthropic tomó la delantera en esta conversación al darse cuenta de que Claude Mythos Preview había alcanzado un nivel de capacidad técnica que iba mucho más allá de lo esperado para un modelo de lenguaje de uso general. Cuando los investigadores internos empezaron a probar el modelo en escenarios de análisis de código, los resultados superaron todas las expectativas: el modelo no solo identificaba patrones problemáticos, sino que conseguía rastrear caminos de explotación completos, entender el contexto de uso del código y sugerir correcciones precisas, todo de forma autónoma y a una velocidad muy superior a la de un equipo humano convencional.
En lugar de guardar la tecnología para uso propio o simplemente publicar un informe técnico, Anthropic eligió abrir el diálogo con socios estratégicos que ya operan en las capas más críticas de la infraestructura digital global. AWS, Apple, Microsoft, Google, Cisco, NVIDIA y CrowdStrike no están simplemente prestando sus nombres al proyecto. Están contribuyendo con acceso a entornos reales, datos de telemetría, arquitecturas propietarias y equipos especializados, creando una red de defensa colaborativa que nunca había existido antes a esta escala.
Además de los socios de lanzamiento, Anthropic extendió el acceso a un grupo de más de 40 organizaciones adicionales que construyen o mantienen infraestructura crítica de software, para que puedan usar el modelo para escanear y proteger tanto sistemas propios como de código abierto. La empresa también está comprometiendo hasta 100 millones de dólares en créditos de uso del Mythos Preview en estas iniciativas, además de 4 millones de dólares en donaciones directas para organizaciones de seguridad de código abierto. Esto es el Proyecto Glasswing en la práctica. 🛡️
La ciberseguridad en la era de la inteligencia artificial
El software del que todos dependemos cada día — responsable de operar sistemas bancarios, almacenar historiales médicos, conectar redes logísticas, mantener redes eléctricas funcionando y mucho más — siempre ha contenido bugs. Muchos son menores, pero algunos representan fallos serios de seguridad que, si se descubren, pueden permitir que ciberatacantes secuestren sistemas, interrumpan operaciones o roben datos.
Las consecuencias de los ataques cibernéticos a redes corporativas, sistemas de salud, infraestructura energética, centros de transporte y agencias gubernamentales ya están bien documentadas. En el escenario global, ataques patrocinados por estados han amenazado con comprometer la infraestructura que sostiene tanto la vida civil como la preparación militar. Incluso ataques de menor escala, como los que afectan a hospitales o escuelas individualmente, pueden causar daños económicos sustanciales, exponer datos sensibles e incluso poner vidas en riesgo. Los costos financieros globales del cibercrimen son difíciles de estimar con precisión, pero pueden rondar los 500 mil millones de dólares al año.
Reciba el mejor contenido sobre innovación en su correo electrónico.
Todas las noticias, consejos, tendencias y recursos que buscas, directamente en tu bandeja de entrada.
Al suscribirte al boletín informativo, aceptas recibir comunicaciones de Método Viral. Nos comprometemos a proteger y respetar siempre tu privacidad.
Históricamente, muchos fallos en software pasaban desapercibidos durante años porque encontrarlos y explotarlos requería una experiencia que solo unos pocos especialistas de seguridad poseían. Con los modelos de IA de frontera más recientes, el costo, el esfuerzo y el nivel de experiencia necesarios para encontrar y explotar vulnerabilidades han caído drásticamente. A lo largo del último año, los modelos de IA se han vuelto cada vez más eficaces leyendo y razonando sobre código, mostrando una habilidad notable para identificar vulnerabilidades y descubrir formas de explotarlas.
El Claude Mythos Preview demuestra un salto en estas habilidades cibernéticas. Diez años después del primer DARPA Cyber Grand Challenge, los modelos de IA de frontera se están volviendo competitivos con los mejores humanos en la tarea de encontrar y explotar vulnerabilidades. Sin las salvaguardas necesarias, estas poderosas capacidades cibernéticas podrían usarse para explotar los muchos fallos existentes en los softwares más importantes del mundo, haciendo que los ataques cibernéticos de todo tipo sean mucho más frecuentes y destructivos.
A pesar de que los riesgos son serios, hay razones para el optimismo: las mismas capacidades que hacen peligrosos a los modelos de IA en manos equivocadas los convierten en herramientas invaluables para encontrar y corregir fallos en software importante, además de producir nuevos programas con muchos menos bugs de seguridad. 💡
Claude Mythos Preview: la IA que encuentra lo que los humanos no ven
Para entender el peso de lo que Claude Mythos Preview representa, es necesario tener claridad sobre lo que ya ha hecho. En las últimas semanas, Anthropic usó el modelo para identificar miles de vulnerabilidades zero-day — es decir, fallos que eran previamente desconocidos por los propios desarrolladores del software — muchas de ellas críticas, en todos los principales sistemas operativos y navegadores web, además de una variedad de otros programas importantes.
Las vulnerabilidades descubiertas no eran errores de escritura ni configuraciones mal hechas. Eran fallos estructurales profundos, del tipo que requiere un conocimiento técnico muy específico para siquiera ser reconocido como un problema. El modelo consiguió identificar casi todas estas vulnerabilidades y desarrollar muchos exploits relacionados de forma completamente autónoma, sin ninguna orientación humana. Tres ejemplos ilustran bien el calibre de estos descubrimientos:
- OpenBSD: Mythos Preview encontró una vulnerabilidad con 27 años de existencia en OpenBSD, un sistema operativo con reputación de ser uno de los más seguros del mundo, utilizado para ejecutar firewalls y otras infraestructuras críticas. El fallo permitía que un atacante derribara remotamente cualquier máquina que ejecutara el sistema operativo simplemente conectándose a ella.
- FFmpeg: Se descubrió una vulnerabilidad de 16 años en FFmpeg, la biblioteca utilizada por innumerables programas para codificar y decodificar vídeo. El fallo estaba en una línea de código que las herramientas de pruebas automatizadas habían alcanzado cinco millones de veces sin jamás capturar el problema.
- Kernel de Linux: El modelo encontró y encadenó de forma autónoma varias vulnerabilidades en el kernel de Linux — el software que ejecuta la mayoría de los servidores del mundo — permitiendo que un atacante escalara de acceso de usuario común a control completo de la máquina.
Todas las vulnerabilidades anteriores fueron reportadas a los mantenedores de los respectivos programas y ya han sido corregidas. Para muchas otras vulnerabilidades, Anthropic está proporcionando un hash criptográfico de los detalles y revelará las especificidades después de que la corrección esté implementada.
Lo que diferencia a Claude Mythos de las herramientas de análisis estático tradicionales es su capacidad de razonamiento contextual. Las herramientas convencionales buscan patrones conocidos y solo encuentran lo que ya ha sido catalogado previamente. Mythos Preview, por otro lado, consigue inferir comportamientos de sistemas a partir de cómo diferentes partes del código interactúan entre sí, simulando escenarios de uso que ningún desarrollador consideró durante la escritura original. Esto representa una ruptura técnica significativa, colocando a la inteligencia artificial en la posición de descubrir lo desconocido, y no solo confirmar lo que ya se sabe.
Los resultados en benchmarks de evaluación como CyberGym refuerzan la diferencia sustancial entre el Mythos Preview y el siguiente mejor modelo de Anthropic, Claude Opus 4.6. El modelo también obtuvo las puntuaciones más altas jamás registradas en una variedad de tareas de codificación de software, incluyendo SWE-bench Verified, Pro y Multilingual, además de Terminal-Bench 2.0 y otros benchmarks relevantes. 🔍
Lo que dicen los socios sobre el proyecto
Varias de las organizaciones socias ya tuvieron acceso al Claude Mythos Preview durante algunas semanas, y los testimonios refuerzan tanto la urgencia como el potencial de la iniciativa.
Cisco destacó que las capacidades de IA cruzaron un umbral que cambia fundamentalmente la urgencia necesaria para proteger infraestructura crítica contra amenazas cibernéticas, y que los métodos antiguos de endurecimiento de sistemas ya no son suficientes.
AWS resaltó que sus equipos analizan más de 400 billones de flujos de red al día en busca de amenazas y que la IA es central para su capacidad de defensa a escala. La empresa ya venía probando el Claude Mythos Preview en sus propias operaciones de seguridad y aplicándolo a bases de código críticas.
Microsoft enfatizó la oportunidad sin precedentes de usar IA de forma responsable para mejorar la seguridad y reducir riesgos a escala. Cuando se probó contra el CTI-REALM, benchmark de seguridad de código abierto de Microsoft, el Claude Mythos Preview mostró mejoras sustanciales en comparación con modelos anteriores.
CrowdStrike alertó que la ventana entre que una vulnerabilidad es descubierta y es explotada por un adversario se ha colapsado: lo que antes tomaba meses ahora ocurre en minutos con IA.
La Linux Foundation destacó que los mantenedores de código abierto, cuyo software sostiene gran parte de la infraestructura crítica mundial, históricamente fueron dejados para resolver la seguridad por su cuenta. El Proyecto Glasswing ofrece un camino para cambiar esa ecuación, transformando la seguridad potenciada por IA en una herramienta accesible para todos los mantenedores.
JPMorganChase enfatizó que promover la ciberseguridad y la resiliencia del sistema financiero es central para su misión, y que el proyecto ofrece una oportunidad única de evaluar herramientas de IA de nueva generación para defensa cibernética en infraestructura crítica.
Google destacó su inversión continua en herramientas de seguridad alimentadas por IA, como Big Sleep y CodeMender, para encontrar y corregir fallos críticos de software, reforzando su participación activa en la iniciativa.
Palo Alto Networks alertó que el modelo representa tanto un cambio radical para encontrar vulnerabilidades previamente ocultas como una señal peligrosa de que los atacantes podrán pronto encontrar aún más vulnerabilidades zero-day y desarrollar exploits más rápido que nunca. La recomendación es clara: todas las organizaciones necesitan prepararse para atacantes asistidos por IA. 📢
Qué cambia en la práctica para la ciberseguridad global
Uno de los cambios más concretos que el Proyecto Glasswing promete traer es la velocidad de respuesta ante vulnerabilidades de software críticas. Hoy, el ciclo de descubrimiento, divulgación responsable y corrección puede tomar semanas o incluso meses, dependiendo de la complejidad del problema y de la organización involucrada. Con modelos como Claude Mythos integrados en pipelines de análisis continuo, ese ciclo puede reducirse de forma drástica. El modelo no duerme, no tiene sesgo de atención selectiva y no se sobrecarga con el volumen de código. Analiza, prioriza y reporta de forma consistente, lo cual ya es una ventaja enorme frente al modelo actual.
Además de la velocidad, también está el factor de cobertura. La mayoría de las organizaciones no tienen recursos para mantener equipos de seguridad que consigan revisar continuamente todos los componentes de software que utilizan, especialmente cuando dependen de bibliotecas de código abierto mantenidas por voluntarios. El Proyecto Glasswing aborda exactamente ese punto ciego. Al reunir socios con presencia en diferentes capas de la infraestructura digital, el proyecto crea una visión más completa de los riesgos sistémicos, identificando qué componentes están más en uso, cuáles son menos monitoreados y dónde el impacto de un fallo sería más devastador.
En la práctica, los socios del Proyecto Glasswing recibirán acceso al Claude Mythos Preview para encontrar y corregir vulnerabilidades o debilidades en sus sistemas fundamentales — sistemas que representan una porción muy grande de la superficie de ataque cibernético compartida del mundo. El trabajo debe enfocarse en tareas como detección local de vulnerabilidades, pruebas de caja negra en binarios, protección de endpoints y pruebas de penetración en sistemas.
Otro aspecto relevante es el impacto sobre la cultura de seguridad dentro de las empresas participantes. Cuando organizaciones del tamaño de Apple, Google y Microsoft se comprometen públicamente con una iniciativa como esta, también están señalizando internamente que la ciberseguridad es una prioridad estratégica, y no solo un costo operativo. Esto tiende a influir en decisiones de contratación, asignación de presupuesto e incluso en la forma en que los equipos de ingeniería son incentivados a tratar la seguridad como parte del proceso de desarrollo, y no como una etapa final. 🌐
Herramientas que usamos a diario
Inversión, acceso y los próximos pasos de la iniciativa
El compromiso financiero de Anthropic con el Proyecto Glasswing es significativo. Los 100 millones de dólares en créditos de uso del modelo cubrirán una utilización sustancial durante esta fase de investigación inicial. Después de ese período, el Claude Mythos Preview estará disponible para los participantes a 25 dólares por millón de tokens de entrada y 125 dólares por millón de tokens de salida, con acceso vía Claude API, Amazon Bedrock, Google Cloud Vertex AI y Microsoft Foundry.
Además de los créditos de uso, Anthropic donó 2,5 millones de dólares a los proyectos Alpha-Omega y OpenSSF a través de la Linux Foundation, y 1,5 millones de dólares a la Apache Software Foundation, para que los mantenedores de software de código abierto puedan responder a este cambio de escenario. Los mantenedores interesados en obtener acceso pueden inscribirse a través del programa Claude for Open Source.
Anthropic pretende que este trabajo crezca en alcance y continúe durante muchos meses. Los socios compartirán, en la medida de lo posible, información y buenas prácticas entre sí. Dentro de 90 días, Anthropic publicará un informe sobre lo aprendido, las vulnerabilidades corregidas y las mejoras realizadas que puedan ser divulgadas. La empresa también colaborará con organizaciones líderes en seguridad para producir un conjunto de recomendaciones prácticas sobre cómo las prácticas de seguridad deben evolucionar en la era de la IA, incluyendo potencialmente:
- Procesos de divulgación de vulnerabilidades
- Procesos de actualización de software
- Seguridad de código abierto y cadena de suministro
- Ciclo de vida de desarrollo de software y prácticas de diseño seguro
- Estándares para industrias reguladas
- Escalabilidad y automatización del triaje
- Automatización de parches
Anthropic también informó que ha mantenido conversaciones continuas con autoridades del gobierno de Estados Unidos sobre el Claude Mythos Preview y sus capacidades cibernéticas ofensivas y defensivas. La empresa reconoce que la protección de infraestructura crítica es una prioridad máxima de seguridad nacional para los países democráticos.
Sobre la disponibilidad general del modelo, Anthropic no planea hacer que el Claude Mythos Preview sea accesible para el público en general. El objetivo eventual es permitir que los usuarios desplieguen modelos de la clase Mythos de forma segura y a escala, tanto para fines de ciberseguridad como para los innumerables otros beneficios que modelos tan capaces traerán. Para ello, la empresa necesita avanzar en el desarrollo de salvaguardas que detecten y bloqueen las salidas más peligrosas del modelo. Anthropic planea lanzar nuevas salvaguardas con un futuro modelo Claude Opus, permitiendo mejorarlas y refinarlas con un modelo que no presente el mismo nivel de riesgo que Mythos Preview. 📊
Por qué ahora es el momento adecuado
La inteligencia artificial ha llegado a un punto en el que sus capacidades ofensivas y defensivas están evolucionando a la misma velocidad, pero los mecanismos de defensa todavía están desorganizados, fragmentados y son reactivos. El Proyecto Glasswing surge como un intento de cambiar ese equilibrio, poniendo las herramientas más avanzadas disponibles al servicio de quienes quieren proteger sistemas, no comprometerlos. La iniciativa reconoce algo que la industria tardó en admitir: ninguna empresa sola puede hacerse cargo de la complejidad y la escala de los riesgos que surgen cuando la inteligencia artificial pasa a operar al mismo nivel técnico que los mejores especialistas humanos.
El Claude Mythos Preview es la prueba viva de que ese momento ya llegó. Las vulnerabilidades de software que encontró no eran hipotéticas. Eran reales, estaban en producción y podrían haber sido explotadas. El hecho de que fueron descubiertas y corregidas antes de causar daño es una victoria, pero también una alerta. El próximo descubrimiento puede no venir de un proyecto colaborativo con buenas intenciones. Puede venir de alguien que desarrolló una capacidad similar en las sombras, sin ningún compromiso con la divulgación responsable ni con el bien colectivo.
Como la propia Anthropic señaló, el trabajo de defender la infraestructura cibernética mundial puede llevar años, pero las capacidades de IA de frontera probablemente avanzarán sustancialmente en solo algunos meses. Para que los defensores cibernéticos lleven la delantera, es necesario actuar ahora.
Es en este escenario donde el Proyecto Glasswing cobra su significado más profundo. No es solo una respuesta técnica a un problema técnico. Es una declaración de que la comunidad tecnológica global puede elegir cómo ocurre esta transición, y que la decisión de actuar de forma coordinada, abierta y responsable tiene un valor real, medible y urgente. La ciberseguridad nunca fue tan dependiente de decisiones colectivas como ahora, y las iniciativas como esta demuestran que al menos parte de la industria entendió el mensaje. Anthropic invitó a otros miembros de la industria de IA a sumarse al esfuerzo de establecer estándares para el sector, y a mediano plazo, un organismo independiente y externo — que reúna organizaciones de los sectores público y privado — podría ser el hogar ideal para la continuidad de este tipo de proyecto a gran escala. ⚡
