La era de los agentes llegó antes de lo previsto: no se deje tomar por sorpresa
.png)
Aunque estos cambios sísmicos en el desarrollo de software y la seguridad parecen ser habituales en 2026, la llegada del modelo de codificación por IA más reciente y, según se informa, "más peligroso" de Anthropic, Claude Mythos, representa un cambio fundamental y permanente en la forma en que todo líder de seguridad debe abordar su programa de seguridad, especialmente en lo que respecta a la gestión de parches en sistemas heredados.
La mayoría de las empresas aún están navegando la transición del código escrito por humanos al desarrollo asistido por IA, lo que implica implementar nuevos procesos, aprender a revisar lo que generan sus copilotos de IA, desarrollar nuevas habilidades y establecer nuevas salvaguardas en torno al uso empresarial adecuado.
Pero la siguiente fase de la creación de software impulsada por IA no esperó.
Esta semana, Anthropic publicó una evaluación técnica detallada de Claude Mythos Preview, un modelo de IA de vanguardia con una capacidad que debería hacer que todo líder de seguridad e ingeniería se detenga en seco. Puede identificar y explotar de forma autónoma vulnerabilidades de día cero en todos los sistemas operativos y navegadores principales, sin intervención humana tras una instrucción inicial. Ingenieros sin formación formal en seguridad dirigieron el modelo durante la noche y despertaron con exploits completos y funcionales.
Estos hallazgos son sorprendentes y no teóricos. Mythos Preview encontró una vulnerabilidad de hace 27 años en OpenBSD, uno de los sistemas operativos más reforzados del mundo, que permitía a un atacante bloquear remotamente cualquier máquina simplemente conectándose a ella. Descubrió un fallo de hace 16 años en FFmpeg que las herramientas de prueba automatizadas habían detectado cinco millones de veces sin éxito. Encadenó múltiples vulnerabilidades del kernel de Linux de forma autónoma para lograr el control total de la máquina. Estos no fueron descubrimientos asistidos por humanos; ningún profesional del mundo real guió el proceso después de la instrucción inicial.
En respuesta, Anthropic anunció el Proyecto Glasswing, una coalición intersectorial que reúne a AWS, Microsoft, Google, Cisco, CrowdStrike, Palo Alto Networks, JPMorgan Chase, NVIDIA, Apple, Broadcom y la Linux Foundation. La conclusión compartida por todos ellos es que los enfoques antiguos para asegurar el software ya no son suficientes y que es momento de actuar. Como señaló el CTO de CrowdStrike, la ventana entre el descubrimiento de una vulnerabilidad y su explotación se ha reducido; lo que antes tomaba meses, ahora ocurre en minutos.
Los tres problemas se han vuelto más difíciles
En cada etapa de la transición al desarrollo con IA, las empresas enfrentan los mismos tres desafíos. Mythos Preview agudiza los tres a la vez, a una velocidad nunca antes posible.
Aprender a construir de forma segura se vuelve más difícil cuando la IA puede generar y modificar código más rápido de lo que los equipos pueden revisarlo. Las habilidades necesarias para gobernar el código generado por IA difieren de las necesarias para escribir código manualmente, y esas habilidades deben seguir el ritmo de las herramientas.
Gobernar lo que la IA puede y no puede tocar se vuelve crítico cuando los agentes autónomos escriben y revisan código sin intervención humana. Por lo general, seguimos haciendo la pregunta equivocada. Es menos "¿qué construyeron nuestros desarrolladores?" y más "¿qué construyó nuestra IA y tenía permiso para hacerlo?".
Rastrear qué IA hizo qué, dónde y para quién es ahora un imperativo de cumplimiento y respuesta a incidentes. Cuando algo sale mal en una canalización de agentes, las organizaciones necesitan responder a esa pregunta de inmediato. La mayoría no puede.
Como profesionales, predijimos hace mucho tiempo que esta tecnología podría ser aprovechada por actores malintencionados, potenciando efectivamente sus capacidades de ataque. Ya sabemos que los ciberdelincuentes tienen una clara ventaja ofensiva sobre la mayoría de los equipos de seguridad empresarial, y una herramienta como Mythos agiliza aún más sus procesos nefastos.
Estamos en la era de los ciberataques democratizados, donde el nivel de destrucción que antes solo podían lograr actores de élite puede ser llevado a cabo por un novato. No deberíamos sorprendernos, pero muchos siguen estando muy poco preparados. La aplicación rápida y priorizada de parches es imprescindible, pero esta gestión solo es tan buena como la trazabilidad de cada herramienta y dependencia en uso.
Este es un problema a nivel industrial
Lo que hace que el Proyecto Glasswing sea significativo no está determinado únicamente por las capacidades que reveló Mythos Preview; es la escala y la potencia de la respuesta. Una coalición que abarca hiperescaladores, proveedores de seguridad, instituciones financieras y fundaciones de código abierto está alineada en la misma conclusión, y es una narrativa familiar que habla directamente del espíritu de SCW. La gobernanza de software de IA nunca ha sido una característica opcional o "agradable de tener". Esta es la capa faltante que toda organización que escala el desarrollo impulsado por IA necesita tener antes del próximo incidente. Aquellos que se apeguen a un manual reactivo y de uso frecuente serán tomados por sorpresa de la peor manera posible.
Habilitación, no restricción
La tentación al leer hallazgos como estos es pisar el freno, ralentizar la adopción de la IA, restringir las herramientas y endurecer los controles. Esa es la respuesta incorrecta, y tampoco es lo que recomiendan los socios de Glasswing.
Las organizaciones que navegarán bien esta transición son las que adoptan el desarrollo impulsado por IA con gobernanza desde el principio. Eso significa capacitar a los desarrolladores a medida que evolucionan las herramientas, establecer salvaguardas para lo que los agentes de IA pueden acceder en sus repositorios y, fundamentalmente, construir la trazabilidad que sus equipos de cumplimiento y respuesta a incidentes exigirán sin quemar millones de tokens para facilitarlo.
El momento de actuar es ahora
El consejo de Anthropic para los equipos de defensa es claro: comiencen con las herramientas disponibles hoy. No esperen al próximo modelo. El valor de establecer sus procesos, estructuras de soporte y marcos de gobernanza crece rápidamente.
Secure Code Warrior se sitúa en el centro de los tres problemas empresariales que genera la era de los agentes. Si su organización está escalando el desarrollo impulsado por IA, la pregunta no es si necesita gobernanza de software de IA, sino si ya cuenta con ella.
Lo que esto significa para usted
Para los CISO
Sus políticas de divulgación de vulnerabilidades, ciclos de parches y manuales de respuesta a incidentes fueron diseñados para un mundo donde el desarrollo de exploits tomaba semanas. Ese mundo ya no existe. Es momento de establecer visibilidad en la gobernanza de IA en todo su entorno de desarrollo, comprendiendo contextualmente qué agentes de IA están interactuando con su código, qué están produciendo y si cumplen con su umbral de riesgo. Si no puede responder a estas preguntas hoy, esa es la brecha que debe cerrar primero.
Para los CTO
Sus equipos de ingeniería ya están usando IA para entregar resultados más rápido. La cuestión ahora es si cuenta con las medidas de seguridad necesarias para hacerlo de forma segura y a escala. Gobernar lo que los agentes de IA pueden o no tocar en sus repositorios y mantener la trazabilidad de las contribuciones de IA es ahora una decisión de arquitectura técnica, más que una consideración de seguridad aislada. Las organizaciones que construyan esta base ahora serán las que escalen el desarrollo con IA con total confianza.
Para líderes de ingeniería
A sus desarrolladores se les exige avanzar más rápido con herramientas de IA que no diseñaron y que no pueden predecir por completo. Las habilidades necesarias para revisar código generado por IA son realmente distintas a las requeridas para escribir código manualmente, y la mayoría de los equipos aún no han tenido la oportunidad de desarrollarlas. Cerrar esa brecha de capacidades es lo que hace que la adopción de la IA sea más segura y sostenible.
Para CEO y juntas directivas
El proyecto Glasswing puede ser noticia de portada, pero también es una señal que no podemos ignorar. Cuando AWS, Microsoft, Google, Cisco, CrowdStrike y JPMorganChase se alinean en una respuesta urgente y coordinada ante un riesgo de seguridad impulsado por IA, y Anthropic compromete 100 millones de dólares para abordarlo, el mercado le está enviando un mensaje claro. El desarrollo de software mediante IA está acelerando la velocidad a la que se pueden encontrar y explotar vulnerabilidades. La gobernanza de ese proceso es ahora una cuestión de riesgo a nivel de junta directiva. Las organizaciones que lo traten como tal desde el principio estarán mejor posicionadas para escalar el desarrollo con IA y demostrar a reguladores, clientes e inversores que lo están haciendo de manera responsable.
Govern AI-driven development before it ships
Measure AI-assisted risk, enforce secure coding policy at commit, and accelerate secure delivery across your SDLC.
Explore more blogs
Lorem ipsum diam quis enim lobortis scelerisque fermentum dui faucibus in ornare quam viverra orci sagittis eu volutpat odio facilisis.
%252520%252520(3).avif)
Supercharged Security Awareness: How Tournaments are Inspiring Developers at Erste Group
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.

Security as culture: How Blue Prism cultivates world-class secure developers
Learn how Blue Prism, the global leader in intelligent automation for the enterprise, used Secure Code Warrior's agile learning platform to create a security-first culture with their developers, achieve their business goals, and ship secure code at speed

One Culture of Security: How Sage built their security champions program with agile secure code learning
Discover how Sage enhanced security with a flexible, relationship-focused approach, creating 200+ security champions and achieving measurable risk reduction.

El futuro de la gobernanza de software de IA se construye sobre asociaciones sólidas
Descubra por qué Secure Code Warrior se está convirtiendo en una empresa centrada en el canal y cómo los socios de confianza ayudan a las organizaciones a adoptar la gobernanza de software de IA de forma segura y a escala.
.webp)
Por qué la mayoría de los CISO navegan a ciegas en la adopción de la IA (y cómo pueden quitarse la venda)
Hoy, Secure Code Warrior ha publicado un nuevo informe técnico que presenta un modelo prescriptivo y orientativo de adopción de IA, diseñado para que los líderes de seguridad puedan identificar su etapa de adopción y avanzar de forma efectiva en el control de los riesgos de seguridad relacionados con la IA en sus organizaciones.
Secure AI-driven development before it ships
See developer risk, enforce policy, and prevent vulnerabilities across your software development lifecycle.
