La filtración de Mythos, el modelo de IA más sensible de Anthropic, ha encendido las alarmas de supervisores financieros en tres continentes y amenaza la valoración de 61.500 millones de dólares que la compañía alcanzó en su última ronda.
Claves de la operación
- Acceso no autorizado a un modelo de uso restringido. Un grupo aún no identificado ha obtenido acceso al sistema Mythos, diseñado para simular ciberataques avanzados, según informaciones publicadas por Bloomberg y TechCrunch el 21 y 22 de abril.
- Bancos centrales en estado de vigilancia activa. Las autoridades monetarias de Japón, Australia y Nueva Zelanda ya han activado protocolos de monitorización sobre entornos bancarios críticos ante el riesgo de uso ofensivo del modelo.
- Golpe reputacional para el referente de la IA segura. Anthropic ha construido su narrativa sobre la idea de IA responsable; el incidente erosiona esa ventaja competitiva frente a OpenAI, Google DeepMind y Mistral justo cuando negocia nuevas rondas institucionales.
El coste real de una filtración para la narrativa de la IA segura
El incidente, adelantado por Bloomberg y confirmado en paralelo por TechCrunch, sitúa a Anthropic ante el mayor test reputacional desde su fundación en 2021. La compañía liderada por Dario y Daniela Amodei ha levantado más de 18.000 millones de dólares entre Google, Amazon y fondos soberanos bajo una premisa muy concreta: ofrecer una alternativa a OpenAI con controles de seguridad más estrictos.
Mythos no es un modelo comercial. Es, según las fuentes consultadas por TechCrunch, una herramienta interna de red teaming ofensivo, destinada a probar defensas de infraestructuras críticas y detectar vulnerabilidades antes de que las exploten terceros. Su exposición fuera del perímetro de control cambia por completo la ecuación.
El mercado no se lo ha creído del todo. En las horas posteriores a la publicación del reportaje, los contratos sobre acciones preferentes de Anthropic en mercados secundarios como Forge y Hiive se ajustaron a la baja, según operadores citados por Bloomberg, aunque la compañía no cotiza en bolsa y el impacto directo queda limitado a sus inversores privados.
Amazon, que comprometió hasta 8.000 millones de dólares en la empresa, y Google, con una exposición superior a los 3.000 millones, son los actores con más capital en juego. En paralelo, la filtración reabre el debate sobre la exportación y contención de modelos de doble uso, un expediente que Bruselas tiene abierto desde la entrada en vigor del AI Act.
Bancos centrales en alerta: por qué Tokio, Sídney y Wellington se han movido primero
La reacción más inmediata no ha venido de Washington ni de Londres. Ha venido del Pacífico. El Banco de Japón, el Reserve Bank of Australia y el Reserve Bank of New Zealand han elevado el nivel de vigilancia sobre sus sistemas de pagos y sobre las entidades sistémicas bajo su supervisión.
La lógica es simple. Si Mythos permite automatizar la detección y explotación de vulnerabilidades a escala, el riesgo operacional para bancos comerciales, cámaras de compensación y proveedores de infraestructura se multiplica. Las tres autoridades monetarias del Pacífico comparten una característica: han sido, en los últimos tres años, las más agresivas en obligar a sus entidades supervisadas a realizar ejercicios periódicos de resiliencia frente a ataques con componente de IA.
Nadie lo vio venir así. Pero los números ayudan a entender la prisa: el informe de estabilidad financiera del BoJ de octubre de 2025 ya cifraba en un 34% el incremento interanual de incidentes cíber graves reportados por bancos japoneses, la cifra más alta desde que se llevan registros comparables.
En Europa, la respuesta ha sido más tibia. Ni el BCE ni ENISA se habían pronunciado en el momento de publicar este análisis. Una ausencia que contrasta con la rapidez con la que Bruselas suele reaccionar a los incidentes cíber de alto perfil.
Qué se juega el ecosistema español y por qué esto importa más allá de Silicon Valley
España no tiene un actor equivalente a Anthropic, ni por tamaño ni por ambición. Lo más cercano es la apuesta conjunta del Gobierno, Telefónica e IBM por el modelo fundacional en español ALIA, anunciada en 2024 con presupuesto público y desarrollo coordinado desde el Barcelona Supercomputing Center. Una escala distinta, una filosofía distinta.
La filtración de Mythos convierte en urgente una pregunta que el sector llevaba dos años esquivando: si ni siquiera los laboratorios que venden seguridad como ventaja competitiva pueden contener sus modelos más peligrosos, el problema no es técnico, es estructural.
En esta redacción observamos un paralelismo incómodo con el incidente de SolarWinds en 2020. Aquella brecha también empezó siendo un problema de una empresa privada y acabó siendo un problema de Estado, con comparecencias en el Senado estadounidense y revisiones del gasto federal en ciberseguridad. La diferencia es que, en este caso, la herramienta filtrada no es un software de gestión: es un modelo capaz de generar ataques a medida.
Indra, el actor cotizado en el IBEX 35 con mayor exposición al negocio cíber a través de su filial Minsait, se mueve en una liga distinta a la de Anthropic en capacidad técnica, pero el incidente puede beneficiar de rebote a proveedores europeos que vendan independencia frente a los laboratorios estadounidenses. El argumento de la soberanía tecnológica europea en IA vuelve a ganar peso político justo cuando el AI Act entra en su fase más exigente de aplicación.
Hay matices que conviene no pasar por alto. El primero: Anthropic no ha confirmado públicamente la totalidad del alcance del incidente, y las fuentes citadas por los dos medios internacionales son anónimas. El segundo: los propios términos de servicio de la compañía incluyen cláusulas de limitación de responsabilidad que dificultan reclamaciones civiles de clientes corporativos afectados. El tercero, y quizá el más relevante para el inversor, es que la valoración privada de Anthropic se apoya en contratos plurianuales con Amazon Web Services y Google Cloud que no son cancelables con facilidad.
El hito que marcar en el calendario es la próxima reunión del Financial Stability Board, prevista para junio de 2026, donde los reguladores del G20 abordarán por primera vez un marco común para el uso ofensivo de modelos de IA. Si el episodio Mythos llega a esa mesa convertido en caso de estudio, la regulación que saldrá después no se parecerá en nada a la que se discutía hace seis meses. Y ahí está el matiz.
