Por qué a la Unión Europea le asusta tanto Claude Mythos, la IA que ha puesto en jaque su ciberseguridad y soberanía de defensa

En abril de 2026, el tablero de la geopolítica tecnológica global sufrió una sacudida sin precedentes. Anthropic, la firma estadounidense de inteligencia artificial, presentó Claude Mythos, su modelo más avanzado orientado específicamente a labores de ciberseguridad. 

Sin embargo, la noticia para la Unión Europea no fue su revolucionario lanzamiento, sino su estricta exclusión. Alegando razones de seguridad y la necesidad de mitigar riesgos, Anthropic decidió restringir el acceso a la versión preliminar de Mythos en territorio europeo, priorizando a un selecto grupo de agencias gubernamentales y empresas estadounidenses, entre ellas Amazon, Apple y JPMorgan Chase.

Este bloqueo no es un simple contratiempo comercial; ha desencadenado una crisis institucional en Bruselas. La decisión ha dejado a los bancos, empresas de software y gobiernos europeos completamente expuestos a una nueva generación de ciberataques impulsados por IA, reabriendo el intenso debate sobre la vulnerabilidad estratégica y la extrema dependencia del continente respecto a los proveedores tecnológicos norteamericanos.

 ¿Por qué Mythos representa una amenaza inminente para la UE?

Para entender el nivel de alarma, es imperativo comprender qué es capaz de hacer este sistema. Mythos no es un generador de textos conversacionales al uso; se trata de una herramienta de superhacking que ha demostrado superar a los expertos humanos en la detección y explotación de vulnerabilidades de software.

Según la propia Anthropic, el modelo es tan avanzado que ingenieros sin formación reglada en seguridad han logrado utilizarlo para descubrir vulnerabilidades de ejecución remota y obtener exploits funcionales. Un ejemplo escalofriante de su eficacia técnica ocurrió cuando investigadores de Mozilla emplearon Mythos para identificar nada menos que 271 fallos graves en el código del navegador Firefox, lo que desató una respuesta de emergencia en la comunidad de desarrolladores.

Para la Unión Europea, la amenaza es asimétrica y existencial. Al carecer de acceso al modelo, las instituciones y operadoras de sectores críticos europeos operan a ciegas frente a las armas cibernéticas del mañana. El sector financiero es el que ha encendido las alertas más rojas: los expertos advierten del riesgo inminente de fallos en cascada en una infraestructura económica que, a día de hoy, sigue dependiendo de sistemas informáticos envejecidos. 

Además, el modelo reduce drásticamente el coste y el tiempo necesarios para encontrar fallos, democratizando el ataque en el ciberespacio y permitiendo que actores hostiles —o usuarios no autorizados, dado que el modelo ya sufrió accesos indebidos desde entornos de terceros— puedan utilizar este poder sin restricciones éticas.

 De herramienta auxiliar a «infraestructura estratégica»

El desafío que plantea Mythos no radica únicamente en su sofisticación técnica, sino en el profundo cambio de paradigma que supone frente a inteligencias artificiales previas. En décadas anteriores, las tecnologías emergentes (como internet o la telefonía móvil) giraban en torno a la conectividad y la información, mientras que modelos más recientes aportaron autonomía física en robótica o automatización de la generación de textos. Mythos, por el contrario, representa el umbral de la «autonomía cognitiva».

Esta IA deja de ser una aplicación pasiva o sectorial para convertirse funcionalmente en una «infraestructura estratégica con efectos cuasi-actoriales». Aunque carece de voluntad política propia, la máquina interviene directamente en la generación de cursos de acción, en el análisis preventivo y en la identificación de debilidades en las redes. 

 Esta IA modifica los pilares clásicos de la disuasión

En el plano defensivo y geopolítico, esta IA modifica de hecho los pilares clásicos de la disuasión: introduce una opacidad total donde las capacidades de ataque de un actor pueden ser invisibles y distribuidas, acelerando el ciclo de decisión a un ritmo donde los mandos humanos corren el riesgo de perder el control de la información.

Esta evolución convierte a la IA en un auténtico cuello de botella geopolítico. La Casa Blanca, preocupada por las implicaciones de seguridad nacional, se ha opuesto a que Anthropic expanda el acceso a Europa, prefiriendo un enfoque intervencionista para vetar los modelos antes de su liberación tras un choque de la propia empresa con el gobierno estadounidense sobre los usos militares de la herramienta. 

El resultado es una brecha global de IA donde Washington decide tácitamente qué sistemas de vanguardia puede observar Europa, lo que, en palabras de la eurodiputada Stéphanie Yon-Courtin, choca frontalmente con cualquier pretensión europea de «soberanía digital» y «autonomía estratégica». 

Mientras tanto, competidores como OpenAI han aprovechado para acercarse a la Comisión compartiendo su modelo ChatGPT 5.5-Cyber.

 El contragolpe europeo

Atrapada entre el vertiginoso ritmo de la innovación estadounidense y la necesidad de salvaguardar a sus ciudadanos, la Unión Europea está tratando de articular respuestas desde múltiples frentes:

La carta de la Ley de Inteligencia Artificial (AI Act): pese al pánico de algunos sectores, el Ejecutivo comunitario defiende que el bloque «está equipado» gracias a sus normativas pioneras. La principal baza jurídica de Bruselas es que, a partir de agosto de 2026, la Oficina de IA de la UE entrará en una nueva fase de poderes coercitivos. 

A partir de esa fecha, la legislación autorizará a la Comisión a exigir la documentación técnica y forzar el acceso a los sistemas a las empresas que desarrollen IA generativa con capacidades computacionales extremas, como es el caso de Mythos.

 Reglas actuales «mal equipadas»

Una treintena de eurodiputados ha advertido de que las reglas actuales están «mal equipadas». A través de una misiva institucional, estos parlamentarios exigen un «plan de mitigación europeo» y buscan presionar para introducir reformas sustanciales en la Ley de Ciberseguridad de la UE (Cybersecurity Act), adaptando a la era del superhacking las normas sobre divulgación y gestión de vulnerabilidades.

Por su parte, el eurodiputado socialista español José Cepeda cree que «cuando hablamos de Mythos, hablamos de una IA que puede suponer un verdadero riesgo para la seguridad de Europa. La Ley de la IA (AI Act) tiene una clara laguna, y es que no se aplica a aquellos software que se utilicen con fines militares, de defensa o de seguridad nacional. Cuando una IA privada como Mythos puede detectar y explotar vulnerabilidades críticas, debemos preguntarnos quién controla esa capacidad, bajo qué reglas y con qué garantías democráticas».
 

Ante la negativa inicial de Anthropic en las reuniones técnicas mantenidas, el Parlamento Europeo considera imperativo que la Agencia de la Unión Europea para la Ciberseguridad (Enisa) obtenga acceso privilegiado a Mythos y otros modelos de frontera. El objetivo es que expertos externos e independientes puedan escudriñar las vulnerabilidades sistémicas antes de que impacten a los operadores de sectores críticos, considerados las «joyas de la corona» del continente.

El «caso Anthropic» ha calado en Bruselas como una dolorosa lección estratégica. El consenso en los pasillos de la Eurocámara es que «Europa no puede depender de empresas privadas o decisiones tomadas fuera de Europa para entender y proteger sus propias vulnerabilidades críticas». 

Potenciar campeones tecnológicos

Se asume la urgencia de abandonar la pasividad y potenciar campeones tecnológicos propios, como la compañía francesa Mistral AI. Sin embargo, la dura realidad financiera e industrial es que estas iniciativas locales siguen estando muy por detrás del capital, el desarrollo de modelos y la infraestructura de centros de datos de Estados Unidos.

En resumen, la irrupción de Claude Mythos es mucho más que el lanzamiento de un software avanzado; es una estocada a la complacencia institucional y un recordatorio de dónde reside el poder en el siglo XXI. La inteligencia artificial se ha posicionado definitivamente como la infraestructura crítica definitiva. Mientras la Unión Europea acelera los engranajes legislativos para no perder la pista algorítmica, se enfrenta al monumental desafío de defender su soberanía en un campo de batalla invisible donde las reglas se dictan en California y donde, por el momento, los europeos aguardan en la sala de espera.