Todo es mentira: La IA Que Te Protege También Puede Hackearte
Spoiler: la misma máquina que descubre agujeros para taparlos, puede descubrirlos para explotarlos. Y solo uno de los dos bandos paga 20€/mes por Claude.
# Todo es mentira: Anthropic encontró 271 fallos en Firefox y Mozilla aplaudió. La IA que te protege hoy es la que te hackeará mañana.
Mythos, la IA de Anthropic, descubrió 271 vulnerabilidades en Firefox 150 en una sola pasada. Mozilla celebra. El CTO dice que la IA "inclina la balanza hacia los defensores". Pero olvida algo: la misma IA que encuentra agujeros para taparlos, puede encontrarlos para explotarlos. Y solo uno de los dos bandos paga 20 dólares al mes por Claude Pro.
Mozilla publicó un informe el 22 de abril de 2026.
Anthropic había usado Mythos Preview —una herramienta de IA para análisis de seguridad— para auditar Firefox 150.
El resultado: 271 vulnerabilidades. Algunas críticas. Algunas que permitían ejecución remota de código. Otras que comprometían la privacidad del usuario.
Todas encontradas por una máquina. En horas. No en meses. No en años.
Mozilla no se asustó. Celebró.
"Computers were completely incapable of doing this a few months ago, and now they excel at it", escribió el equipo de seguridad.
Raffi Krikorian, CTO de Mozilla, publicó un ensayo en The New York Times. Argumentó que la IA "inclina la balanza hacia los defensores".
Que el programador que lleva 20 años manteniendo código open source "debería tener acceso a Mythos".
Que el futuro de la ciberseguridad es la IA defendiendo al humano.
Suena esperanzador. Suena justo. Suena como el final feliz de una película de hackers.
Pero hay un detalle que nadie menciona en los titulares.
La IA que encuentra vulnerabilidades no tiene bando. Tiene cliente.
La asimetría que nadie quiere ver
Mozilla y Anthropic presentaron el hallazgo como una victoria para "los defensores".
Pero la realidad del ciberespacio no es un campo de batalla con dos ejércitos iguales.
Es una ciudad donde unos pocos guardias patrullan las calles y miles de ladrones escalan las paredes.
El informe de Mozilla admite algo incómodo: "every piece of software has a lot of bugs buried underneath the surface that are now discoverable".
Traducción: ahora cualquiera con acceso a una IA avanzada puede encontrar fallos que antes requerían años de experiencia.
¿Y quién tiene acceso?
Anthropic. OpenAI. Google. Microsoft. Las mismas empresas que venden la IA a gobiernos, ejércitos, agencias de inteligencia.
El programador open source de 20 años —el que Krikorian dice que "debería tener acceso a Mythos"— no lo tiene.
Mythos Preview no es un producto de consumo. Es una herramienta interna de Anthropic. Un laboratorio de pruebas. Un demostrador de capacidades.
Y cuando Anthropic decida comercializarlo —si es que lo hace— no será gratis. No será open source. No será para el desarrollador que mantiene Firefox en su tiempo libre.
Será para quien pague.
La balanza no se inclina hacia los defensores. Se inclina hacia quienes pueden pagar la IA.
El giro polémico
Aquí está el truco que nadie menciona.
Mozilla celebra que Anthropic encontró 271 bugs en Firefox. Pero Anthropic no es una ONG de ciberseguridad. Es una empresa de IA valorada en decenas de miles de millones.
Su modelo de negocio no es proteger Firefox. Es vender IA.
Y la demostración de Mythos no es un acto de altruismo. Es marketing.
"Look what our AI can do", dicen sin decirlo. "Imagina lo que podría hacer por tu ejército. Tu agencia de inteligencia. Tu empresa de seguridad privada."
El mismo modelo que encontró 271 vulnerabilidades en Firefox puede encontrarlas en cualquier software. En el sistema operativo de un banco. En la app de una aerolínea. En la infraestructura crítica de un país.
Y cuando lo haga, Anthropic no publicará un informe. Venderá el servicio.
Traducción: la IA que "inclina la balanza hacia los defensores" hoy, mañana será la IA que vende exploits a quien pague más.
La ironía definitiva: el CTO de Mozilla dice que "the programmer who gave 20 years of his life to maintain [open source] code... doesn't have access to Mythos yet. He should."
Pero no explica cómo. No explica quién pagará por ello. No explica por qué Anthropic —una empresa privada— debería dar acceso gratuito a una herramienta que le da ventaja competitiva.
Mozilla pide solidaridad tecnológica a una corporación que acaba de demostrar que puede ver dentro del código de todo el mundo.
Cuando la IA que te protege pertenece a quien también puede venderte la vulnerabilidad, la protección es un servicio, no un derecho.
La era de la vulnerabilidad barata
En 2026, encontrar un zero day ya no requiere ser un genio.
Requiere ser suscriptor.
Las herramientas de IA como Mythos, Claude Code, GitHub Copilot —todas pueden analizar código. Encontrar patrones. Detectar fallos.
El coste de descubrir una vulnerabilidad se ha desplomado.
Pero el coste de repararla sigue siendo humano.
Necesitas un desarrollador que entienda el código. Que escriba el parche. Que lo pruebe. Que lo despliegue.
Y ese desarrollador —el de 20 años de experiencia, el que Krikorian menciona— no tiene acceso a la IA que encontró el bug.
Tiene acceso a la notificación de que existe. A la presión de arreglarlo rápido. A la culpa si no puede.
Mientras tanto, quienes explotan vulnerabilidades —criminales, Estados, corporaciones— sí tienen acceso a IA.
No a Mythos. A modelos similares. A herramientas de código abierto. A servicios en la dark web que escanean código por céntimos.
La asimetría no se reduce. Se transforma.
Antes, el atacante necesitaba habilidad. Ahora necesita dinero.
El defensor sigue necesitando tiempo. Y el tiempo, en seguridad, es lo que no hay.
La IA hace barato encontrar agujeros. Pero sigue siendo caro taparlos. Y solo uno de los dos bandos factura por ello.
Escenarios futuros
# 1. La mercantilización de la seguridad (probabilidad: 65%)
Anthropic comercializa Mythos como servicio premium. Gobiernos y grandes corporaciones pagan por auditorías automáticas. Los proyectos open source —Firefox, Linux, Apache— dependen de donaciones y voluntarios que no pueden costear la IA. Las vulnerabilidades se acumulan. Los parches llegan tarde. Y el ciberespacio se divide en dos: software protegido por IA de pago, y software expuesto que el mundo sigue usando porque es gratis. La "balanza hacia los defensores" que prometió Mozilla se convierte en una balanza hacia quienes pueden pagar por no ser vulnerables.
# 2. La carrera armamentística de la IA (probabilidad: 30%)
La capacidad de encontrar bugs con IA se generaliza. Tanto para atacantes como para defensores. El resultado no es más seguridad. Es más vulnerabilidades descubiertas, explotadas y parcheadas en ciclos cada vez más rápidos. El software se vuelve frágil por diseño: cada parche introduce nuevos bugs, que la IA descubre, que otro parche genera. La ciberseguridad se convierte en un mercado de especulación donde el valor no es la protección, sino la velocidad. Quien descubre primero gana. Quien parcha primero pierde, porque ya fue explotado. Y el usuario —siempre el usuario— es el daño colateral.
# 3. El retorno del artesano (probabilidad: 5%)
Una generación de desarrolladores —la que creció viendo cómo la IA desmontaba su trabajo en segundos— decide que el código no es solo funcionalidad. Es artesanía. Es responsabilidad. Es algo que debes entender antes de escribir, no algo que generas y luego parchas. Vuelven a lenguajes más simples. A arquitecturas más transparentes. A código que la IA puede analizar, pero que también los humanos pueden revisar sin herramientas de 20 dólares al mes. Y entonces, por primera vez en años, la seguridad no depende de quién tiene la IA más potente. Depende de quién escribió mejor código desde el principio. Y todo vuelve a empezar. Pero esta vez, sin 271 vulnerabilidades que celebrar.
La pregunta que no te dejará dormir
Si descubrieras que el navegador que usas para leer esto —Firefox, Chrome, Safari— tiene cientos de vulnerabilidades que una IA encontró en horas, y que la empresa que desarrolló esa IA te cobrará por protegerte de lo que ella misma puede descubrir, ¿seguirías confiando en que la tecnología "inclina la balanza hacia los defensores"? ¿O admitirías que la balanza nunca se inclinó hacia ti, sino hacia quienes pueden pagar por ambos lados del ciberespacio?