Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Sin categorizar > Gracias, Mythos: El momento más aterrador de la IA por fin está impulsando la conversación correcta sobre la seguridad de los datos

Gracias, Mythos: El momento más aterrador de la IA por fin está impulsando la conversación correcta sobre la seguridad de los datos

by Tim Freestone updated abril 15, 2026 Gestión de Riesgos de Ciberseguridad
Reading Time: 8 minutes

En abril de 2026, Anthropic lanzó una vista previa de Claude Mythos, un modelo de frontera de propósito general cuyas capacidades de investigación de vulnerabilidades surgieron no por entrenamiento especializado, sino como consecuencia de mejoras en el razonamiento de código y la autonomía. En cuestión de semanas, descubrió miles de vulnerabilidades zero-day en todos los sistemas operativos principales y en todos los navegadores web más usados. Encontró una falla en TCP de 27 años en OpenBSD. Un bug de códec de 16 años en FFmpeg, presente desde una refactorización en 2010 de un código originalmente escrito en 2003. Una vulnerabilidad de ejecución remota de código de 17 años en el servidor NFS de FreeBSD que explotó por completo, de forma autónoma, en unas cuatro horas.

Aspectos clave

  1. La seguridad a nivel de aplicación ahora es estructuralmente indefendible. Claude Mythos descubrió miles de vulnerabilidades zero-day en todos los sistemas operativos y navegadores principales, no mediante entrenamiento especializado, sino como resultado de un mejor razonamiento de código. No puedes solucionar esto solo con parches.
  2. El descubrimiento de vulnerabilidades por IA supera la remediación humana por órdenes de magnitud. Antes de Mythos, las herramientas de IA ya encontraban fallos explotables en minutos que llevaban décadas ocultos en bases de código. El tiempo promedio para remediar vulnerabilidades críticas es de 74 días. El tiempo promedio para explotar ahora es de menos siete días.
  3. La seguridad centrada en los datos ya no es solo «deseable». NIST, CISA, NSA, Gartner e IBM señalan la capa de datos como la inversión crítica. Gartner proyecta que el 75% de las organizaciones que usan GenAI priorizarán la seguridad de datos no estructurados para 2026.
  4. Los datos cifrados y gobernados por políticas no tienen superficie de aplicación explotable. Cuando la protección viaja con los datos —cifrado integrado, controles de acceso basados en atributos, claves gestionadas por el cliente— una brecha en la aplicación se convierte en una brecha del contenedor, no del contenido.
  5. Mythos no creó un nuevo riesgo, destruyó una ficción peligrosa. Esos zero-days ya existían. La falla de OpenBSD de 27 años estuvo ahí todo el tiempo. Lo que hizo Mythos fue colapsar la distancia entre lo que saben los defensores y lo que saben los atacantes.

La mayoría de la industria de ciberseguridad reaccionó alarmada. Yo tuve una reacción diferente: por fin.

No porque me alegre de que existan vulnerabilidades. Sino porque Mythos está haciendo algo que la industria de la seguridad no logró en dos décadas: demostrar, de forma irrefutable, que la seguridad a nivel de aplicación es una batalla perdida. Y eso significa que la conversación, finalmente e inevitablemente, se está moviendo hacia donde siempre debió estar: la capa de datos.

La cinta de correr de la seguridad de aplicaciones ya estaba rota. La IA solo lo demostró.

He pasado años viendo a equipos de seguridad inteligentes invertir enormes presupuestos en parches, escaneos y reforzamiento de aplicaciones. Y he visto a esos mismos equipos sufrir brechas de todos modos. No porque sean incompetentes, sino porque los números no cuadran.

Considera cómo estaban las cosas incluso antes de Mythos. En 2025, se publicaron aproximadamente 48,000 CVEs, unas 131 por día, el séptimo año consecutivo batiendo récords. El tiempo promedio hasta la explotación se ha reducido drásticamente; el informe M-Trends 2026 de Google Mandiant lo midió en menos siete días, lo que significa que la explotación ahora comienza, en promedio, una semana antes de que exista un parche. Mientras tanto, el tiempo promedio para remediar vulnerabilidades críticas se mantuvo en 74 días. Eso no es una distancia, es un abismo. En la primera mitad de 2025, más del 32% de las vulnerabilidades explotadas fueron armadas el mismo día o antes de su divulgación, y la cifra anual se estabilizó cerca del 29%. CrowdStrike midió tiempos promedio de movimiento lateral de 29 minutos desde el acceso inicial, con el más rápido en 27 segundos.

Ahora suma la IA. Antes de Mythos, Claude Opus 4.6 encontró 22 CVEs en 4.6 millones de líneas de código C++ de Firefox (un subconjunto de las 21 millones de líneas del código completo) en dos semanas. El primer bug apareció en 20 minutos. Big Sleep de Google halló una vulnerabilidad explotable en SQLite que, según Google, solo era conocida por actores de amenazas. Security Copilot de Microsoft, trabajando junto a métodos tradicionales de análisis, encontró 20 vulnerabilidades desconocidas en bootloaders que podían eludir Secure Boot. O3 de OpenAI detectó un use-after-free en el kernel de Linux. La startup AISLE descubrió 13 de los 14 CVEs de OpenSSL asignados en 2025, incluidos bugs ocultos desde finales de los 90. XBOW, un pentester autónomo con IA, fue la primera IA en alcanzar el puesto #1 en el ranking de HackerOne en EE. UU. durante un periodo de 90 días, presentando más de 1,060 reportes de vulnerabilidades y completando benchmarks 85 veces más rápido que pentesters humanos.

Y luego llegó Mythos e hizo todo eso a la vez, en todos lados.

No lo digo para dramatizar. Lo digo porque cada CISO que conozco necesita interiorizar una verdad simple: No puedes solucionar esto solo con parches. No cuando la IA encuentra vulnerabilidades más rápido de lo que tu equipo puede clasificarlas. No cuando el volumen de fallos detectables está a punto de superar la capacidad de respuesta de cualquier organización. La capa de aplicación no solo es difícil de defender. Es estructuralmente indefendible como primera línea de protección.

La pregunta correcta no es «¿Cómo encontramos bugs más rápido?» sino «¿Qué pasa cuando la brecha ocurre?»

Aquí es donde la conversación debe cambiar, y donde creo que Mythos realmente está beneficiando a la industria.

Durante años, la seguridad centrada en los datos se trató como algo adicional. Algo que se añade después de hacer el «trabajo real» de firewalls, EDR, SIEM y gestión de vulnerabilidades. Pero ese enfoque está completamente al revés. Si toda aplicación es vulnerable (y Mythos lo ha demostrado de forma concluyente), entonces la única pregunta que importa es: Cuando un atacante logra acceder, ¿qué encuentra?

Un dato cifrado en la capa de datos, gobernado por políticas de acceso integradas y controlado por claves que el atacante no posee, no tiene superficie de aplicación explotable. No hay buffer que desbordar, ni API que configurar mal, ni dependencia que envenenar. Los datos llevan su propia protección. Una brecha en la aplicación se convierte en una brecha del contenedor, no del contenido.

No es una idea marginal. NIST SP 800-207 describe la Arquitectura Zero Trust como «centrada principalmente en la protección de datos y servicios, pero que puede y debe ampliarse para incluir todos los activos y sujetos empresariales». El Modelo de Madurez Zero Trust de CISA establece los Datos como uno de los cinco pilares. La guía de la NSA de abril de 2024 sobre el avance de zero trust a través del pilar de datos lo dice claramente: las defensas perimetrales tradicionales por sí solas son insuficientes, y los adversarios que logran acceso suelen obtener acceso sin restricciones a todos los datos. La guía de la NSA también reconoce que el pilar de datos sigue siendo el menos maduro en la mayoría de las implementaciones federales.

Los analistas lo ven igual. Gartner proyecta que para 2026, el 75% de las organizaciones con iniciativas GenAI reorientarán el gasto hacia la seguridad de datos no estructurados. El mercado de seguridad centrada en los datos crece a un 24.2% CAGR. El Informe de IBM sobre el Costo de una Brecha de Datos 2025, que registró un costo promedio de brecha en EE. UU. de $10.22 millones (máximo histórico), recomienda explícitamente el descubrimiento, clasificación, control de acceso, cifrado y gestión de claves de datos como la postura principal de defensa.

Todos saben que hacia ahí vamos. Mythos solo hizo que «algún día» se sienta mucho más como «ahora».

¿Cómo se ve realmente la seguridad en la capa de datos en la práctica?

Voy al grano: Este es el problema que Kiteworks nació para resolver.

Nuestra plataforma aplica principios de zero trust no en la red ni en la capa de aplicación, sino directamente en la capa de datos. Consolidamos los canales de contenido confidencial (correo electrónico seguro, uso compartido de archivos, transferencia de archivos gestionada, SFTP, formularios de datos, salas de datos virtuales, APIs y DRM de última generación) bajo un marco de gobernanza único con aplicación de políticas unificada. Cada operación es evaluada por nuestro Motor de Políticas de Datos, que triangula la identidad del usuario, la sensibilidad de los datos y la acción prevista antes de permitir el acceso.

La implementación técnica es clave. El cifrado AES-256 de doble capa protege los datos tanto a nivel de archivo como de disco, con módulos criptográficos validados FIPS 140-3 y claves de cifrado gestionadas por el cliente respaldadas por módulos de seguridad hardware. Nuestra integración Trusted Data Format incorpora controles de acceso basados en atributos y cifrado persistente directamente en los archivos, así la protección viaja con los datos sin importar dónde se muevan. Si un archivo se envía por error o cambia un rol, el acceso se revoca al instante.

Nuestra función SafeEDIT va más allá. Transmite una versión editable en video de los archivos a 60fps, lo que significa que el archivo real nunca sale del entorno seguro. Un colaborador puede trabajar con el contenido pero nunca poseerlo. No puedes exfiltrar lo que nunca tuviste.

Y para la era de la IA en particular, lanzamos Compliant AI en RSAC 2026, aplicando las mismas políticas ABAC, cifrado y registro de auditoría para cada interacción de agentes de IA con datos regulados. Nuestro servidor Secure MCP permite que clientes de IA como Claude y Copilot se conecten a la plataforma Kiteworks con autenticación OAuth 2.0, asegurando que las credenciales nunca lleguen a los modelos de lenguaje. A diferencia de los controles a nivel de modelo, que pueden ser eludidos por inyección de prompts, aplicamos la gobernanza en el punto de acceso a los datos, la única capa que los agentes de IA no pueden saltarse.

La paradoja de Mythos: la IA más temida nos está haciendo más seguros

Hay una ironía deliberada en que Anthropic llame a este modelo «Mythos». Un mythos es una narrativa fundacional, una historia que moldea cómo una cultura entiende su mundo. Y la historia que cuenta Mythos es poderosa.

No está creando un nuevo riesgo. Esas vulnerabilidades ya existían. La falla de OpenBSD de 27 años estuvo ahí todo el tiempo. Los bugs de OpenSSL de 1998 fueron explotables durante un cuarto de siglo. Lo que hace Mythos es colapsar la distancia entre lo que sabemos y lo que saben los atacantes. Hace visible la ficción de las «aplicaciones seguras» para todos, no solo para los investigadores y estados-nación que ya explotaban estos fallos en silencio.

Eso es algo bueno. Porque la ficción era peligrosa. Permitía a las organizaciones creer que parchar y escanear era suficiente. Permitía a los consejos aprobar presupuestos de seguridad basados en la suposición de que las aplicaciones podían hacerse seguras. Mythos destruye esa suposición. Y al hacerlo, obliga a una conversación más honesta sobre dónde debe residir realmente la seguridad.

Llevo mucho tiempo defendiendo la seguridad en la capa de datos. La idea de que un dato individual, cifrado y controlado, no tiene vulnerabilidad porque no hay una aplicación a su alrededor. Que el cifrado, las políticas y los controles en la capa de datos se convierten en la inversión crítica en un mundo donde se presume que todo el software es vulnerable.

Mythos no cambió mi argumento. Solo hizo que fuera imposible ignorarlo.

Cuando cualquier cerradura puede ser forzada, las organizaciones que sobrevivan serán las que hagan que el contenido de la bóveda sea impenetrable de forma independiente. Ya no es una postura teórica. Es el mundo en el que vivimos ahora mismo.

¿Qué deben hacer las organizaciones ahora?

Primero, acepta que la seguridad a nivel de aplicación, aunque sigue siendo necesaria, ya no es suficiente como estrategia principal de defensa. El volumen de vulnerabilidades detectables está a punto de superar la capacidad de respuesta de cualquier organización. Los presupuestos y arquitecturas de seguridad deben orientarse a proteger los datos independientemente de las aplicaciones que los procesan.

Segundo, realiza un ejercicio integral de descubrimiento y clasificación de datos. El Informe de Amenazas de Datos Thales 2026 encontró que solo el 33% de las organizaciones sabe dónde reside su información. No puedes proteger lo que no puedes encontrar. Invierte en herramientas de descubrimiento automatizado que mapeen datos confidenciales en repositorios estructurados y no estructurados, tanto en la nube como en las instalaciones.

Tercero, implementa cifrado en la capa de datos con claves gestionadas por el cliente. El cifrado a nivel de aplicación o de transporte es necesario pero no suficiente. Los datos deben cifrarse en reposo y en tránsito con claves que controle la organización, no el proveedor de la nube, ni el proveedor SaaS, y mucho menos el modelo de IA.

Cuarto, aplica controles de acceso basados en atributos que viajen con los datos. Los controles estáticos basados en roles fallan cuando los datos cruzan fronteras organizacionales, entran en flujos de trabajo de IA o pasan por ecosistemas de terceros. Las políticas de acceso deben estar integradas en los propios datos para que se apliquen sin importar dónde se abra el archivo o qué sistema lo procese.

Quinto, gobierna el acceso de IA a los datos con el mismo rigor que el acceso humano. El Informe Global de Amenazas de CrowdStrike 2026 documentó un aumento del 89% en ataques habilitados por IA. Los agentes de IA ahora son tanto una herramienta de productividad como un vector de ataque. Cada interacción de IA con datos confidenciales debe ser autenticada, autorizada, registrada y auditable, en la capa de datos, no en la de modelos.

Las organizaciones que tomen Mythos como una llamada de atención —y redirijan la inversión hacia la seguridad en la capa de datos ahora— serán las que estén preparadas para lo que viene.

Preguntas frecuentes

El parcheo sigue siendo necesario pero ya no es suficiente como defensa principal. Modelos de IA como Mythos están descubriendo vulnerabilidades más rápido de lo que las organizaciones pueden remediarlas: el tiempo promedio de remediación es de 74 días, mientras que la explotación ahora comienza antes de que existan parches. Las organizaciones deben mantener sus programas de parches, pero redirigir la inversión principal hacia la seguridad en la capa de datos que protege el contenido confidencial independientemente de las aplicaciones que lo procesan.

La seguridad centrada en los datos integra cifrado y controles de acceso directamente en los archivos usando tecnologías como controles de acceso basados en atributos y formatos de cifrado persistente. Un archivo permanece protegido sin importar dónde se mueva —en la nube, sistemas de terceros o flujos de trabajo de IA—. El Informe de Amenazas de Datos Thales 2026 encontró que solo el 33% de las organizaciones sabe dónde reside su información, lo que hace esencial la protección integrada en la capa de datos.

Los agentes de IA representan tanto una herramienta de productividad como un riesgo para la seguridad de los datos. El Informe Global de Amenazas de CrowdStrike 2026 documentó un aumento del 89% en ataques habilitados por IA. Gobierna el acceso de IA a los datos en la capa de datos —no en la de modelos— usando políticas ABAC, autenticación OAuth 2.0 y registros de auditoría inalterables para cada interacción de IA con datos regulados.

Sí. NIST SP 800-207 define la Arquitectura Zero Trust como centrada en la protección de datos y servicios. La guía de la NSA de 2024 sobre el avance de zero trust aborda específicamente el pilar de datos, señalando que sigue siendo el menos maduro en la mayoría de implementaciones federales. Zero trust debe extenderse al acceso de IA a los datos, aplicando autenticación, autorización y registro a cada solicitud de agente.

Las herramientas de IA que acceden a datos regulados por HIPAA requieren los mismos controles de acceso, cifrado y trazabilidad de auditoría que los usuarios humanos. Aplica políticas ABAC en la capa de datos para asegurar que los agentes de IA solo accedan a lo que su autorización permite, con cifrado validado FIPS 140-3 y registros de auditoría inmutables. El marco Compliant AI de Kiteworks gobierna el acceso de agentes de IA a la información de salud protegida con el mismo rigor que el acceso humano.

Comienza ahora.

Es fácil comenzar a asegurar el cumplimiento normativo y gestionar eficazmente los riesgos con Kiteworks. Únete a las miles de organizaciones que confían en cómo intercambian datos confidenciales entre personas, máquinas y sistemas. Empieza hoy mismo.

Agenda una Demo

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks