Japón ordena revisión de ciberseguridad ante el modelo Mythos

La primera ministra de Japón, Sanae Takaichi, ordenó una revisión de la estrategia de ciberseguridad del gobierno citando la llegada del modelo de búsqueda de vulnerabilidades Mythos de Anthropic como un momento que vuelve necesario abrir un proyecto a nivel gabinete.

En una reunión de gabinete del martes, la primera ministra instruyó al ministro de ciberseguridad Hisashi Matsumoto a desarrollar medidas para verificar el estado de los sistemas del gobierno, determinar si es posible detectar y corregir vulnerabilidades, y elaborar un plan para que los operadores de infraestructura crítica puedan hacer lo mismo.

La líder japonesa ordenó las revisiones porque considera que Mythos y modelos frontera similares pueden ser usados con fines maliciosos, y que los ataques contra infraestructura podrían en consecuencia aumentar en velocidad y escala, posiblemente de manera exponencial.

¿Qué hace Mythos y por qué preocupa a Tokio?

Durante los últimos dos años, vendors y investigadores de ciberseguridad han señalado con frecuencia que los modelos de IA hacen posible encontrar fallos y automatizar ataques. Cuando Anthropic presentó Mythos a comienzos de abril, la idea de que la IA tiene el potencial de complicar enormemente el panorama de seguridad se volvió mainstream.

Mythos es un modelo entrenado específicamente para tareas de descubrimiento y explotación de vulnerabilidades, con acceso restringido a ciertos usuarios. A diferencia de modelos generales como Claude o GPT, su entrenamiento prioriza el análisis estático y dinámico de código, fuzzing dirigido y razonamiento sobre flujos de datos para detectar fallos de día cero.

¿Cómo respondieron otros reguladores?

Muchos reguladores en el mundo han publicado guías para señalar que este es el momento perfecto para revisar y mejorar las estrategias y capacidades de seguridad, porque Mythos y otros modelos de IA significan que las defensas serán testeadas como nunca antes.

El regulador de valores de la India fue un paso más allá al ordenar una revisión de seguridad en las organizaciones que supervisa. Y ahora la líder de Japón ha decidido que el tema es lo suficientemente importante como para que su oficina necesite intervenir y fijar una nueva política para asegurar que la IA no provoque una destrucción masiva en la infraestructura japonesa.

¿Es realmente tan peligroso Mythos?

Si la urgencia de Takaichi es genuinamente necesaria está abierto a debate. Algunos investigadores han señalado que aunque Mythos puede encontrar bugs a alta velocidad, no encuentra fallos que humanos no puedan detectar con sus propios cerebros. Otros sugieren que Mythos no es vastamente mejor encontrando bugs que los modelos open source que lo precedieron y son públicamente accesibles, a diferencia de Mythos que está restringido a ciertos usuarios.

Otros han descartado a Mythos como un truco de marketing. Daniel Stenberg, creador de cURL, fue uno de los críticos más vocales, argumentando que los hallazgos publicitados por Anthropic eran fallos de baja severidad que herramientas de análisis estático tradicionales ya detectaban hace años.

¿Qué implica esto para Chile y América Latina?

La decisión de Japón se suma a las directrices regulatorias que reguladores en Europa, Estados Unidos e India han emitido en las últimas semanas. Para Chile y América Latina la situación tiene dos lecturas: por un lado, la región queda rezagada en términos de respuesta regulatoria (el Ministerio del Interior y la ANCI todavía no han emitido guías equivalentes); por otro, los integradores de software que sirven a infraestructura crítica nacional (energía, agua potable, telecomunicaciones) deberían ya estar revisando proactivamente sus inventarios de dependencias y la postura de seguridad de sus pipelines CI/CD.

La pregunta abierta es si los modelos de búsqueda de vulnerabilidades como Mythos generan un cambio cualitativo en el panorama de amenazas, o sólo una aceleración cuantitativa de lo que ya hacían herramientas tradicionales. La respuesta a esa pregunta es lo que probablemente determine si las revisiones ordenadas por Takaichi se traducen en políticas vinculantes o quedan como ejercicio de cumplimiento formal.