Anthropic ha ampliado Project Glasswing, su preview restringida de Claude Mythos, a organizaciones de 15 países nuevos, Australia incluida. La Australian Signals Directorate (la agencia de ciberinteligencia del país) celebró la entrada de organizaciones públicas y privadas australianas. Mythos es un modelo no publicado con capacidades de ciberseguridad muy fuertes, puesto en manos de los defensores antes de cualquier lanzamiento público.
La ampliación llevó el grupo de unas 50 organizaciones, casi todas estadounidenses, a unas 200 en todo el mundo. Para operadores, proveedores y consejos de administración, la pregunta práctica es qué sabe hacer Mythos, quién más tiene ahora el mismo acceso y cómo se gobierna un modelo tan restringido.
Qué es exactamente Project Glasswing
Glasswing es la preview estructurada de Anthropic para Claude Mythos, un modelo con capacidades de ciberseguridad que la compañía no ha publicado. Las organizaciones seleccionadas acceden en condiciones controladas para encontrar vulnerabilidades de software a escala. En el conjunto del grupo, Anthropic afirma que Mythos Preview ha señalado ya más de 10.000 fallos de severidad alta o crítica.
La actualización de junio de 2026 ensanchó el programa en dos direcciones a la vez: el número de organizaciones con acceso se multiplicó por cuatro y se pasó de un país dominante a 16. Anthropic no nombró a las organizaciones australianas incorporadas. Un día después del anuncio, la compañía registró confidencialmente su salida a bolsa.
El grupo de Project Glasswing, antes y después de la ampliación de junio de 2026
Organizaciones con acceso a Claude Mythos Preview. Crecimiento de ~4x en una sola ronda. Fuente: Information Age (ACS).
~50 organizaciones
~200 organizaciones
Los países representados pasaron también de uno dominante a 16, Australia incluida.
Por qué la agencia de ciberdefensa lo celebró
La bienvenida de la Signals Directorate encaja con una lógica defensiva: poner un modelo con capacidades ofensivas en manos de los defensores nacionales acelera el descubrimiento de vulnerabilidades en las mismas bases de código compartidas que sondean los atacantes. Anthropic presenta Mythos Preview como un multiplicador de fuerza para equipos de seguridad cortos de recursos, no como un nuevo modelo de propósito general.
La prensa australiana lo enmarcó como el acceso del país a un modelo de IA que algunos consideran demasiado peligroso para publicarse. La tensión es real: la misma capacidad que ayuda a los defensores a encontrar fallos ayudaría a un atacante que lograra hacerse con ella. Ese es el argumento para mantener el modelo restringido y ligado a identidades verificadas en vez de abierto.
Qué significa para las infraestructuras críticas
Los operadores de energía, agua, sanidad, comunicaciones y hardware son la superficie más expuesta de este anuncio. El patrón ya se vio en las rondas anteriores de Glasswing en Estados Unidos: primero se apunta a los proveedores que mantienen librerías muy reutilizadas, los defensores trabajan los hallazgos y la remediación se coordina con las agencias gubernamentales de ciberseguridad. Es el mismo circuito al que Europa mira de cerca mientras el programa se expande país a país.
Para un consejo de administración, la pregunta ya no es si la IA cambia la seguridad, sino cómo posicionarse cuando llegue la invitación a participar. La selección de proveedores, la vinculación de identidades y un registro defendible del uso de modelos pasan de teóricos a operativos. Nuestro equipo de consultoría de IA trabaja exactamente esa disciplina de evaluación.
| Dimensión | Mythos Preview | Red team humano típico |
|---|---|---|
| Velocidad sobre una base de código grande | De horas a días | De semanas a meses |
| Escala de fallos detectados | Más de 10.000 en el grupo | De decenas a cientos por encargo |
| Coste marginal por objetivo | Bajo (tiempo de modelo) | Alto (horas de especialista) |
| Control de acceso | Restringido, ligado a identidad | Contractual, bien entendido |
| Madurez de la gobernanza | Emergente | Práctica establecida |
Comparativa basada en las cifras de Glasswing publicadas (Information Age) y en la práctica convencional de pentesting. El coste marginal y la madurez de gobernanza son cualitativos.
La pregunta de la gobernanza
Un acceso más amplio a un modelo con capacidades de ciberseguridad crea valor defensivo y retos de gobernanza a la vez, y ambos corren por el mismo eje. El acceso está restringido y ligado a identidades, y el uso, según lo publicado, atado a escenarios defensivos concretos. Nada de eso resuelve quién responde cuando un hallazgo duerme en el código de un proveedor que aún no lo ha parcheado, o cuando un proveedor menos cuidadoso replica la misma capacidad el mes que viene.
Esto se cruza con movimientos regulatorios en varios frentes, incluida una orden ejecutiva estadounidense que pide pruebas voluntarias previas al lanzamiento para modelos con capacidades de ciberseguridad — y, en Europa, con las obligaciones del reglamento de IA para modelos de propósito general. Para un consejo europeo, el argumento es llegar con una posición tomada. Nuestra consultoría de inteligencia artificial profundiza en el andamiaje de gobernanza que exige este tipo de uso de modelos.
Mythos Preview: alcance publicado a junio de 2026
Tres cifras que Anthropic confirmó al anunciar la ampliación de Glasswing. Fuente: Information Age (ACS).
~200
15
10,000+
Qué pasa ahora
La bienvenida de la agencia australiana sugiere que gobiernos y al menos parte de las infraestructuras críticas serán los primeros en moverse. El momento de la salida a bolsa convierte Glasswing en algo más que un programa defensivo: es una señal comercial de que los proveedores a los que se les puede confiar un modelo con capacidades de ciberseguridad serán una categoría propia en los próximos 2 años.
Para las empresas fuera de ese círculo, la lectura inmediata es la cadena de suministro. Tus proveedores de software pueden tener ya acceso a un modelo que encuentra fallos en el código del que dependes. Lo correcto es preguntar, no asumir. El equipo de consultoría de IA de Aivy trabaja con direcciones y consejos que están redactando justo esa posición de gobernanza.
Fuentes
• Information Age (ACS), «Anthropic gives Mythos AI to Australia’s cyber defenders». Respalda: tamaño del grupo (de 50 a ~200 organizaciones), 15 países nuevos, la cifra de más de 10.000 fallos altos o críticos, la bienvenida pública de la ASD y el momento del registro de la salida a bolsa.
• The Age, «Australia gets access to AI model ‘too dangerous to release'». Respalda: el encuadre de la sensibilidad del modelo y la tensión defensor-atacante citada en la sección «Por qué la agencia de ciberdefensa lo celebró».