Según los informes, CISA gana una nueva y poderosa herramienta de IA para ciberseguridad

La Cybersecurity and Infrastructure Security Agency ha recibido ahora acceso completo al modelo Mythos Preview de Anthropic, según Defense One, que cita a un funcionario estadounidense y a otra persona familiarizada con el asunto. Según los informes, el acceso se concedió aproximadamente una semana antes de que el artículo se publicara el 17 de junio de 2026, lo que marca un cambio notable en la forma en que una de las agencias centrales de defensa cibernética del gobierno de Estados Unidos podría usar sistemas avanzados de IA en su trabajo diario.

Ese desarrollo importa porque Mythos Preview no se está tratando como un modelo de IA empresarial ordinario. Anthropic lo ha desplegado de manera selectiva a través de un programa no público conocido como Project Glasswing, con la distribución limitada a organizaciones verificadas. La razón, según el informe de la fuente, es que el modelo podría aumentar de forma significativa las capacidades de piratería ofensiva si estuviera ampliamente disponible para los actores equivocados.

En otras palabras, el mismo tipo de sistema que puede ayudar a los defensores a encontrar debilidades más rápidamente también podría ayudar a los atacantes a hacer lo mismo. Esa dinámica de doble uso ha hecho que el acceso, la supervisión y la política de despliegue sean tan importantes como la capacidad técnica del modelo.

El acceso llega antes de una política clara

El detalle más significativo del informe quizá no sea que CISA ahora tenga el modelo, sino que la agencia todavía supuestamente carezca de una guía clara de la Oficina del Director Nacional de Ciberseguridad de la Casa Blanca sobre cómo debería usarlo. Según el funcionario citado por Defense One, la ONCD aún no ha establecido parámetros firmes para el despliegue.

Esa ausencia de orientación parece reflejar una frustración más amplia dentro del aparato federal de tecnología y ciberseguridad. Defense One dijo que una cobertura anterior de Nextgov/FCW encontró que líderes tecnológicos federales se habían quejado en privado de una información insuficiente por parte de la ONCD sobre cómo implementar o usar el modelo para el escaneo de vulnerabilidades. Si esa descripción es correcta, la situación actual no es simplemente un retraso de incorporación. Apunta a un problema de gobernanza más profundo: las agencias pueden estar recibiendo acceso a capacidades de IA altamente sensibles más rápido que el marco de políticas necesario para gestionarlas.

Para CISA, eso crea una posición difícil. La misión de la agencia depende de ayudar a proteger las redes civiles federales y la infraestructura crítica. Un modelo optimizado para identificar vulnerabilidades de software o de red podría ser muy valioso en ese rol. Pero sin reglas operativas explícitas, barandillas o casos de uso aprobados, incluso una herramienta potencialmente transformadora puede volverse más difícil de desplegar de manera responsable.

Por qué Mythos Preview está bajo escrutinio

El informe distingue Mythos Preview de Mythos 5 de Anthropic, un modelo sucesor aparte con un nombre similar. Esa distinción es importante porque, según los informes, el gobierno de Estados Unidos se movió el fin de semana anterior para bloquear las exportaciones de Mythos 5 y de otro modelo de Anthropic, Fable 5, mediante un mecanismo de control de exportaciones. Defense One dijo que esa medida causó indignación en las comunidades de ciberseguridad e IA.

Mythos Preview, por su parte, sigue formando parte del esfuerzo estrechamente controlado de Project Glasswing. Defense One informa que tanto Mythos 5 como Mythos Preview solo se han puesto a disposición de proveedores verificados a través de ese programa. La implicación es que tanto los funcionarios estadounidenses como los desarrolladores de IA consideran que estos sistemas son inusualmente sensibles, especialmente en contextos de ciberseguridad donde el descubrimiento automatizado de debilidades explotables puede tener consecuencias operativas inmediatas.

Esa sensibilidad ayuda a explicar por qué el acceso en sí se ha convertido en noticia. En muchos despliegues tecnológicos, la pregunta clave es si una agencia quiere una herramienta. Aquí, las preguntas más urgentes son quién obtiene acceso primero, bajo qué condiciones y con qué supervisión.

El contexto político está cambiando rápidamente

El informe de Defense One sitúa el acceso de CISA dentro de un cambio más amplio en el enfoque de la administración Trump hacia la IA. En los últimos meses, los funcionarios supuestamente han estado lidiando con una nueva clase de modelos capaces de identificar rápidamente vulnerabilidades en redes informáticas. Eso ha convertido la IA de una cuestión general de modernización en una cuestión de política nacional de ciberseguridad.

Modelos como Mythos se están presentando cada vez más como aceleradores. Para los defensores, pueden acortar el tiempo necesario para identificar puntos débiles, priorizar el riesgo y dirigir a los analistas humanos hacia los problemas más urgentes. Para los adversarios, esas mismas capacidades podrían reducir el costo del reconocimiento y acelerar la planificación de explotaciones. Por eso la discusión ya no trata solo de productividad, automatización o evaluación comparativa de modelos. Trata del equilibrio operativo entre ofensiva y defensa.

La inclusión de CISA es especialmente notable porque, según los informes, la agencia quedó fuera del despliegue inicial de Mythos. Axios informó en abril que CISA no formaba parte de la primera ola de distribución, y luego Nextgov/FCW dijo que el acceso era inminente. El nuevo informe sugiere que la agencia ya ha cruzado ese umbral, aunque la estructura política aún no se haya puesto al día.

Qué podría significar esto a continuación

Según el informe de la fuente, todavía no está claro cómo usará CISA Mythos Preview en la práctica, ya sea para análisis interno, apoyo al escaneo de vulnerabilidades, proyectos piloto o evaluaciones más limitadas. Defense One también informó que CISA no respondió a una solicitud de comentarios, dejando sin respuesta grandes preguntas operativas.

Aun así, el desarrollo es significativo porque muestra al gobierno federal pasando del debate al despliegue controlado. El acceso para CISA sugiere que estos modelos ya no son herramientas hipotéticas reservadas para la experimentación del sector privado o para discusiones de seguridad nacional muy acotadas. Están empezando a entrar en el entorno de trabajo de las agencias responsables de misiones reales de defensa cibernética.

La cuestión sin resolver es la gobernanza. Si las agencias obtienen acceso antes de que los estándares estén plenamente articulados, la implementación puede volverse desigual, cautelosa o fragmentada. Si la orientación llega demasiado tarde, el gobierno corre el riesgo de perder tiempo en un ámbito donde las brechas de capacidad pueden ampliarse con rapidez. Si la orientación es demasiado restrictiva, las agencias pueden tener dificultades para aprovechar los beneficios de herramientas que ya han sido autorizadas a usar.

Por ahora, la conclusión más clara es que el gobierno de Estados Unidos parece considerar la IA fronteriza con capacidad cibernética como algo estratégicamente útil e inherentemente arriesgado. El acceso reportado de CISA a Mythos Preview captura esa tensión en un solo momento: la tecnología es lo bastante avanzada como para importar, lo bastante sensible como para ser controlada de forma estricta y lo bastante nueva como para que las reglas de uso todavía se estén escribiendo.

Este artículo se basa en el reporte de Defense One. Leer el artículo original.

Originally published on defenseone.com