Anthropic complementó el anuncio de la reactivación de Claude Fable 5 con un desglose técnico de los clasificadores de seguridad que acompañan al modelo y con un borrador de marco compartido para clasificar la severidad de los jailbreaks. Ambos documentos publicados el 30 de junio de 2026 buscan sentar un lenguaje común entre laboratorios y reguladores.
Los clasificadores son sistemas de IA más pequeños que actúan durante la conversación. Detectan cuando el modelo recibe un pedido potencialmente peligroso relacionado con ciberseguridad, o cuando está por producir una salida arriesgada. Cuando eso ocurre, bloquean la respuesta.
¿Qué categorías reconoce el clasificador?
Anthropic dividió el universo de pedidos cyber en cuatro categorías, ordenadas de mayor a menor riesgo. La lógica está en la naturaleza de doble uso de la ciberseguridad: escanear un código en busca de vulnerabilidades es esencial para un defensor y también un paso previo a un ataque.
1. Uso prohibido
Estas capacidades tienen "poco beneficio defensivo directo, son abiertamente criminales o contribuyen a un grado muy alto de daño", según Anthropic. Todos los pedidos en esta categoría se bloquean. La lista incluye:
- Impacto destructivo: ransomware, cifrado con fines de extorsión, wipers, defacement, sabotaje de integridad de datos o procesos y denegación de servicio.
- Sabotaje ciberfísico: manipulación de procesos físicos (energía, agua, petróleo/gas, transporte, dispositivos médicos) por vía digital.
- Evasión de defensas: bypass de antivirus y EDR, ofuscación, packing, técnicas de living-off-the-land, antiforense y manipulación de logs.
- Comando y control (C2), canales encubiertos.
- Exfiltración de datos robados desde dispositivos de la víctima hacia infraestructura del atacante o terceros conocidos.
- Desarrollo, modificación o depuración de malware: troyanos, RATs, backdoors, gusanos, stealers, loaders, droppers, rootkits, bootkits, ransomware, spyware, stalkerware, implantes de hardware.
- Distribución de malware: phishing, smishing, documentos maliciosos, drive-by-downloads, compromiso de cadena de suministro, mecanismos autopropagables.
- Infraestructura ofensiva: servidores C2, redirectores, staging, bulletproof hosting.
- Ataques al backbone de internet: BGP hijacking, ataques a raíces DNS o TLDs, compromiso de autoridades certificadoras, manipulación de NTP.
2. Doble uso de alto riesgo
Actividades con alto potencial de daño, pero que forman parte del trabajo diario de profesionales de ciberseguridad legítimos. La diferencia entre legal e ilegal es contextual: quién ejecuta la tarea y bajo qué autorización. Para Fable 5, Anthropic bloquea estas conductas por defecto hasta contar con mejores controles de identidad.
Incluye penetration testing y red teaming, ataques de credenciales (fuerza bruta, spraying, stuffing), escalamiento de privilegios, movimiento lateral y persistencia, desarrollo de exploits (incluyendo trabajo con memory-corruption y zero-click), fugas de máquinas virtuales o contenedores, y evaluaciones de sistemas de control industrial (ICS/SCADA/DCS, PLCs), telecom core (SS7, Diameter, banda base) e infraestructura financiera (rieles de pago, mensajería interbancaria, motores de matching de exchanges).
También cae en esta categoría la identificación de vulnerabilidades de "alto uplift", entendida como aquellas que otros modelos ampliamente disponibles no pueden encontrar.
3. Doble uso de bajo riesgo
Actividades donde el uso tiende a lo defensivo. Aunque se bloquea "una fracción grande" como parte del margen de seguridad, no se consideran preocupantes por sí mismas. Incluye inteligencia de fuentes abiertas (OSINT), identificación de vulnerabilidades que otros modelos ya pueden hacer, y pruebas de protocolos criptográficos como SSL y TLS.
4. Uso benigno
Actividades defensivas o de TI que mejoran la seguridad de una organización con poca chance de abuso. No se pretenden bloquear, aunque el margen de seguridad puede generar falsos positivos. Incluye codificación segura, arreglo de vulnerabilidades ya identificadas y traducción de código a lenguajes más seguros.
¿Cómo funciona el margen de seguridad?
Los clasificadores están calibrados para dispararse antes del umbral estrictamente necesario. Este "margen de seguridad" bloquea también pedidos benignos con tal de reducir el riesgo de dejar pasar uno dañino.

Para Fable 5, la compañía calibró el margen más ancho que en cualquier lanzamiento previo. La política se combina con controles de acceso, entrenamiento de seguridad del modelo y monitoreo offline como capas complementarias.
Un marco de severidad para jailbreaks
Actualmente no hay consenso en la industria sobre cómo describir en términos objetivos qué tan grave es un jailbreak. Cada laboratorio y cada agencia usa su propia rúbrica.
Anthropic propone corregir eso con un marco desarrollado en conjunto con Amazon, Microsoft, Google y otros socios del programa Glasswing. La compañía califica la publicación como "borrador temprano" y espera retroalimentación de academia, industria, sociedad civil y gobierno. Los comentarios se reciben en cyber-safeguards@anthropic.com.
En paralelo lanzó un programa HackerOne específico para que investigadores de seguridad envíen jailbreaks cyber contra Fable 5 a cambio de recompensas económicas.
¿Qué queda fuera del alcance del clasificador?
Anthropic aclara que los clasificadores cyber no cubren todo el universo de riesgos de IA. Fuera de su alcance quedan actividades que rozan la ciberseguridad pero se manejan con otros filtros, como amenazas químicas, biológicas, radiológicas o nucleares (CBRN), manipulación política y contenido dañino no cyber.
La compañía insiste en que ninguna capa por sí sola ofrece defensa perfecta. La estrategia es de "defensa en profundidad": múltiples mecanismos que, en conjunto, hacen que un ataque exitoso requiera cadenas de bypass mucho más costosas que un solo bug de clasificador.
Contexto para equipos de seguridad regionales
Para las empresas y consultoras de ciberseguridad en América Latina que estaban probando Fable 5 como asistente, el mapa de categorías ayuda a entender qué se puede pedir sin fricción y qué será rechazado por defecto. Trabajo de auditoría autorizado, red team en clientes propios y pentesting siguen cayendo en la categoría de alto riesgo dual y quedan bloqueados hasta que existan mecanismos formales de acreditación.
El programa HackerOne, en cambio, abre una vía concreta de participación: investigadores independientes de la región pueden reportar bypasses y cobrar recompensas si el hallazgo se valida.



