La semana pasada, la empresa de IA Anthropic reconoció un incidente de seguridad en el que un borrador de entrada de blog se filtró a Fortuna.
La entrada del blog señalaba que su nuevo proyecto, “Claude Mythos”, y su nuevo modelo, Capybara, representan un “cambio radical” en los asistentes de IA. El blog promocionaba un “modelo de propósito general con avances significativos en razonamiento, codificación y ciberseguridad”.”
El blog Anthropic también advertía de que: “Al prepararnos para publicar Claude Capybara, queremos actuar con especial cautela y comprender los riesgos que plantea, incluso más allá de lo que aprendamos en nuestras propias pruebas... En particular, queremos comprender los riesgos potenciales a corto plazo del modelo en el ámbito de la ciberseguridad, y compartir los resultados para ayudar a los ciberdefensores a prepararse.”
En borrador también señaló que el nuevo modelo “presagia una próxima oleada de modelos que pueden explotar vulnerabilidades de formas que superan con creces los esfuerzos de los defensores”.”
Claude Mythos podría representar un riesgo importante para la ciberseguridad de las organizaciones. El nuevo modelo seguirá una ola de crecientes riesgos causados por IA, agentes y otras identidades no humanas (NHI):
- Gartner nombró la IA agéntica la principal tendencia tecnológica de 2025 y predijo que 33% de las aplicaciones empresariales incluirán IA agéntica en 2028, frente a menos de 1% en 2024.
- Otras investigaciones demuestran que el número de usuarios de NHI supera al de usuarios humanos en 45 a 1en entornos DevOps.
- Según una encuesta reciente 60%de las empresas expresaron su falta de confianza en su capacidad para garantizar adecuadamente el NHI.
Ya sea Claude Mythos en concreto, ChatGPT o cualquier otro servicio agentico, la charla de la semana pasada en Conferencia RSAC se centró en cómo la IA está transformando el panorama de las amenazas.
Estas son las mejores prácticas que les dijimos a los clientes que pueden ayudar a las organizaciones a prepararse para usar la IA y defenderse contra ella.
Las amenazas de la IA no están por llegar, ya están aquí. Un Antrópico anterior entrada del blog explica que un grupo patrocinado por el Estado utilizó el agente para infiltrarse en “unos treinta objetivos mundiales y tuvo éxito en un pequeño número de casos” al “fingir trabajar para organizaciones legítimas de pruebas de seguridad” para evitar las barreras de seguridad de Claude. Hemos seguido viendo Ataques de phishing basados en IA destinado a robar las credenciales de los usuarios.
Las organizaciones necesitan disponer de los controles de identidad adecuados para prepararse para más -y más eficaces- ataques. Entre ellos se incluyen:
- Autenticación sin contraseñaLa ausencia de contraseña puede eliminar las credenciales que los ataques de phishing basados en inteligencia artificial intentan robar. Objetivo despliegue a gran escala sin contraseña para cada usuario en cada entorno.
- Asegurar el proceso de autenticación: Pasarse a la autenticación sin contraseña es un gran primer paso para mantener a las organizaciones seguras frente a la IA, pero es sólo el primer paso. Mantén seguro el propio proceso de autenticación utilizando soluciones que evaluar dinámicamente las señales de los usuarios y exigir una autenticación escalonada durante los intentos de inicio de sesión de alto riesgo, o utilizar la verificación de proximidad para asegurarse de que el dispositivo del usuario está cerca de aquello a lo que intenta acceder.
- Verificación de identidad bidireccional: Los deepfakes facilitarán a los atacantes hacerse pasar por usuarios o por personal del servicio de asistencia. Los agentes ayudarán a los adversarios a crear ataques de ingeniería social más convincentes. Las organizaciones necesitan una forma sencilla de contabilizar ambas tácticas y verificar un usuario es quien dicen ser para evitar el tipo de ataques que cuestan MGM Resorts, Caesars Entertainment Group y Marks & Spencer cientos de millones de dólares.
- Gobernanza y administración de la identidad (IGA): En la mayoría de las brechas, los atacantes se mueven rápidamente para escalar privilegios y ampliar el acceso. Contar con un programa IGA avanzado ayuda a contener ese riesgo garantizando que las identidades sólo tengan acceso a lo necesario, aplicando el mínimo privilegio y apoyando un enfoque de confianza cero.
No basta con disponer de capacidades de seguridad para defenderse de la IA externa. Las organizaciones también necesitan controles de seguridad de la identidad que les permitan utilizarla de forma segura. El sitio 2026 Informe RSA ID IQ, Según una encuesta del sector realizada a más de 2.100 líderes mundiales en ciberseguridad, gestión de identidades y accesos (IAM), cumplimiento normativo y tecnología, el 91% de las organizaciones tenía previsto implantar alguna forma de IA en su pila de ciberseguridad este año.
Para utilizar la IA de forma segura, las organizaciones deben:
- Tratar a cada agente como una identidad. Las organizaciones deben tratar a cada agente, bot y servicio de IA como una identidad. Necesitan aportar el mismo nivel de controles, permisos y supervisión a las IHN que a los usuarios humanos. Haga primero un inventario de lo que tiene y comprenda su acceso. Y exija que sus agentes no necesiten contraseña para eliminar el riesgo de que los empleados codifiquen sus contraseñas para actuar en su nombre; si lo hace, estará liberando un bot inseguro.
- Comunique sus políticas con claridad, en voz alta y con frecuencia. No se trata sólo de un problema tecnológico. Las organizaciones tienen que identificar qué servicios están permitidos y qué recursos pueden proporcionarles los empleados. La IA en la sombra representa un enorme riesgo de pérdida de IPI, información financiera y otros datos restringidos.
- Construir un IGA mejor. Para utilizar la IA de forma segura, las organizaciones necesitan una gobernanza que siga el ritmo de la escala de los datos de identidad. Esto significa garantizar que las identidades solo tienen el acceso que necesitan, mantener una visibilidad continua del acceso y convertir datos complejos en acciones claras y priorizadas. La IA ayuda a los revisores a tomar decisiones con confianza y ofrece a los profesionales de la seguridad información para identificar riesgos y actuar a escala, lo que permite un control continuo e inteligente del acceso.
- Soberanía de datos para la IA. Las organizaciones con mayores requisitos de cumplimiento, seguridad y disponibilidad deberían considerar el uso de despliegue soberano para garantizar el control total de sus datos, dónde residen y quién puede acceder a ellos. Busque soluciones que admitan todas las funciones de gestión de identidades y accesos (IAM) en configuraciones de nube privada, multi-nube, locales y en el aire.
