Ciberseguridad en alerta | La polémica en torno a la orden de la administración Trump a Anthropic para deshabilitar sus nuevos modelos Claude Fable 5 y Mythos 5se ha convertido en el nuevo foco de tensión entre Washington y la comunidad de ciberseguridad. Un grupo de veteranos del sector asegura que esta decisión no solo no mejora la seguridad nacional sino que además deja a los defensores con menos herramientas que los atacantes.
Qué pasó realmente con Anthropic y los modelos Fable 5 y Mythos 5
Todo arranca cuando el gobierno de Estados Unidos ordena a Anthropic limitar la exportación de sus modelos Fable y Mythos alegando motivos de seguridad nacionalsin explicar públicamente las razones concretas detrás de la medida según la propia compañía. Ante esa orden, Anthropic decide ir más allá y suspende el acceso a ambos modelos para todos los usuarios a nivel mundial lo que en la práctica equivale a un apagón total de sus sistemas más potentes.
La respuesta desde la comunidad de ciberseguridad no tarda. Decenas de expertos muchos de ellos nombres muy reconocidos en la industria firman una carta abierta en la que piden al gobierno que retire esa orden de control de exportaciones sobre Fable y Mythos. La carta ya suma 76 firmas entre ellas figuras como Alex Stamos exjefe de seguridad de Facebook Casey Ellis fundador de Bugcrowd o Katie Moussouris responsable de Luta Security.
Estos especialistas argumentan que la decisión ha sacado del tablero a los mejores modelos disponibles para los defensores que ahora no pueden usar estas herramientas para encontrar vulnerabilidades y reforzar sus sistemas y productos. En la carta llegan a calificar la medida como peligrosa porque se toma en un momento en el que los adversarios avanzan rápido y sin que el gobierno haya dado un motivo sólido y transparente.
Por qué el veto a Fable 5 y Mythos 5 preocupa tanto a los defensores
Para entender el enfado hay que mirar primero a Mythos. Cuando Anthropic lanzó este modelo en vista previa explicó que era tan potente detectando vulnerabilidades que tuvieron que restringirlo de forma muy estricta para evitar que hackers maliciosos o actores extranjeros lo usaran para sembrar el caos en internet. Eso se tradujo en un acceso súper limitado inicialmente solo a unas 50 empresas y más tarde a unas 150 organizaciones en 15 países siempre bajo control.
Después llegó Fable una versión pública de Mythos diseñada con guardianes especialmente agresivos que bloqueaban su uso en áreas sensibles como biología química y ciberseguridad además de impedir que terceros pudieran destilar el modelo para recrearlo. Las restricciones eran tan duras que muchos expertos en seguridad se quejaban de que Fable prácticamente rechazaba cualquier prompt relacionado con ciberseguridad lo que lo hacía poco útil para tareas defensivas.
El gobierno toma su decisión después de que supuestamente se descubriera un método para saltarse esos guardianes de Fable y desbloquear capacidades a nivel Mythos según explicó Anthropic apuntando que el origen podría estar en un informe que llegó a la Casa Blanca. Según Katie Moussouris el método se describía en un paper de investigadores de Amazon que no es público pero que ella sí ha podido leer.
Aquí viene el giro que indigna a muchos en ciberseguridad. Moussouris sostiene que ese paper no demuestra en realidad un jailbreak clásico. Lo que hicieron los investigadores fue pedirle a Fable que corrigiera código abierto con vulnerabilidades conocidas y otras vulnerabilidades introducidas a propósito después de que el modelo inicialmente se negara a revisar el código en busca de problemas de seguridad. En otras palabras usaron el modelo para algo totalmente necesario en defensa revisar código con bugs y proponer parches.
Moussouris defiende que el comportamiento descrito en el paper no se puede corregir de forma significativa sin degradar el valor del modelo para la defensa. Recuerda que los defensores necesitan poder pedir a la IA que encuentre errores en un archivo explique por qué la corrección es importante y escriba tests que validen el parche ese es el ciclo de encontrar arreglar y probar que se ejecuta a diario en cualquier equipo de seguridad. Desde su punto de vista confundir eso con una vulnerabilidad de seguridad del modelo es un error de base.
El verdadero debate sobre seguridad nacional modelos potentes y regulaciones inteligentes
La carta abierta de los expertos de ciberseguridad va más allá del caso concreto de Anthropic y pone el dedo en una herida incipiente en el ecosistema de IA avanzada. Los firmantes señalan que las capacidades descritas en el paper de Amazon se pueden replicar no solo en Fable o Mythos sino también en otros modelos como GPT 5 punto 5 de OpenAI los modelos Claude Opus 4 punto 8 y Sonnet de la propia Anthropic e incluso modelos chinos como Kimi 2 punto 7. La idea de fondo es clara aunque bloquees Fable y Mythos los atacantes siguen teniendo alternativas igual de capaces.
Moussouris añade que los bugs utilizados para demostrar las técnicas del paper también pueden encontrarse con otros modelos que no tienen los mismos guardianes estrictos que Fable. En esos casos ni siquiera hace falta un truco de bypass porque el modelo no se niega a revisar el código en busca de vulnerabilidades. De ahí que muchos vean la medida del gobierno como un golpe desproporcionado a los defensores mientras que los atacantes pueden seguir operando con herramientas equivalentes.
La carta reclama regulaciones que sean transparentes y aplicadas de forma justa diseñadas mediante un proceso democrático y basadas en evidencia científica producida por la industria y la academia. Además pide que los controles se utilicen solo en la medida mínima necesaria para proteger a la población. No se trata de negar que existan riesgos en modelos tan potentes sino de evitar respuestas reactivas que acaben haciendo más daño a la defensa que al ataque.
La experta en seguridad Katie Moussouris enfatizó que "la ciberseguridad depende de la capacidad de detectar y corregir vulnerabilidades de forma proactiva".
El debate sobre la regulación de modelos de IA avanzados
La polémica en torno a la orden de la administración Trump a Anthropic para desactivar sus modelos Claude Fable 5 y Mythos 5 ha generado un intenso debate sobre la regulación de modelos de IA avanzados. Los expertos en ciberseguridad argumentan que esta decisión no solo no mejora la seguridad nacional, sino que además deja a los defensores con menos herramientas que los atacantes.
Según un informe de la propia Anthropic, el gobierno de Estados Unidos ordenó limitar la exportación de sus modelos Fable y Mythos alegando motivos de seguridad nacional, sin explicar públicamente las razones concretas detrás de la medida. Esto llevó a Anthropic a suspender el acceso a ambos modelos para todos los usuarios a nivel mundial.
Posiciones en el debate
- Los expertos en ciberseguridad, como Katie Moussouris, defienden que la decisión ha sacado del tablero a los mejores modelos disponibles para los defensores, que ahora no pueden usar estas herramientas para encontrar vulnerabilidades y reforzar sus sistemas y productos.
- La carta abierta de los expertos de ciberseguridad señala que las capacidades descritas en el paper de Amazon se pueden replicar no solo en Fable o Mythos, sino también en otros modelos como GPT 5.5 de OpenAI, los modelos Claude Opus 4.8 y Sonnet de la propia Anthropic, e incluso modelos chinos como Kimi 2.7.
Implicaciones y futuro
La medida del gobierno ha generado preocupación entre los defensores, que ven esta decisión como un golpe desproporcionado a su capacidad para protegerse, mientras que los atacantes pueden seguir operando con herramientas equivalentes. Los expertos reclaman regulaciones que sean transparentes y aplicadas de forma justa, diseñadas mediante un proceso democrático y basadas en evidencia científica producida por la industria y la academia.
¿Qué sigue?
El debate sobre la regulación de modelos de IA avanzados seguirá siendo un tema candente en el futuro. ¿Cómo abordarán los gobiernos y la industria la necesidad de equilibrar la seguridad nacional con la necesidad de herramientas efectivas para la defensa? Solo el tiempo lo dirá.
