La carrera por la IA ofensiva entra en una nueva fase: dos compañías comparten acceso privado a modelos de ciberseguridad mientras Washington debate si exigir evaluaciones externas.
Una semana después del lanzamiento limitado de Mythos, OpenAI pone su modelo de ciberseguridad en manos de un grupo más amplio, aunque todavía restringido, de socios.
OpenAI anunció el lanzamiento de GPT-5.4-Cyber, un modelo de lenguaje especializado en evaluación de vulnerabilidades y análisis de amenazas, compartido inicialmente con cientos de organizaciones seleccionadas. La empresa confirmó que extenderá el acceso a miles de socios adicionales en las próximas semanas. El movimiento llega una semana después de que Anthropic presentara su modelo Mythos en exclusiva para 12 organizaciones socias —entre ellas AWS, Apple, Cisco, Google y Microsoft— a través del Project Glasswing. Según Infobae, que cita al New York Times, la diferencia de escala entre ambos lanzamientos es deliberada: OpenAI apuesta por una democratización más amplia del modelo, mientras Anthropic mantiene un control de acceso más estricto. GPT-5.4-Cyber puede identificar vulnerabilidades en código y sistemas, aunque OpenAI no ha publicado benchmarks comparables a los que Anthropic usó para presentar Mythos. El debate sobre la IA ofensiva alcanzó en los últimos días a los medios generalistas europeos y latinoamericanos. Xataka advirtió que el argumento de la ciberseguridad se ha convertido en el nuevo vector de marketing de los grandes laboratorios de IA, reemplazando al vibrante debate sobre los coding agents del trimestre anterior. Para las empresas costarricenses con operaciones críticas de tecnología —Intel en Belén, los centros de servicios compartidos en Escazú—, la proliferación de herramientas de este tipo agrega una capa de riesgo que sus equipos de seguridad deben incorporar en sus marcos de amenaza.
El proyecto de orden ejecutiva de la administración Trump desmantela el marco de evaluación independiente que la orden de Biden había establecido en 2023.
La administración Trump prepara una nueva orden ejecutiva sobre seguridad en inteligencia artificial que, según Bloomberg Línea, omite los requisitos de evaluación independiente y pruebas obligatorias para modelos de IA de alta capacidad que establecía la orden ejecutiva de Biden de octubre de 2023. El proyecto, aún en elaboración dentro del Consejo de Seguridad Nacional, mantendría el acceso gubernamental a los modelos para evaluación, pero sin hacerlo mandatorio para los laboratorios privados. Google, Microsoft y xAI ya acordaron dar al gobierno estadounidense acceso voluntario a sus modelos para evaluación de capacidades. OpenAI y Anthropic formaban parte de una iniciativa similar liderada por el Centro de Normas e Innovación en IA del Departamento de Comercio. La diferencia con el nuevo enfoque: el acuerdo sería voluntario, no regulado. Organizaciones como el Center for AI Safety y el Future of Life Institute criticaron el borrador, argumentando que sin obligaciones legales los laboratorios tienen incentivos para compartir solo los modelos que presentan mejor imagen pública. La UE, que mantiene sus propias obligaciones bajo el AI Act, observa el movimiento estadounidense como una señal que podría tensionar las negociaciones de interoperabilidad regulatoria transatlántica previstas para el tercer trimestre de 2026.
Cuando Anthropic presentó Mythos en abril, encontró en el modelo una herramienta que detectó vulnerabilidades ocultas durante décadas. La pregunta es si el debate que generó refleja el riesgo real.
Claude Mythos Preview, lanzado por Anthropic en abril de 2026, identificó miles de vulnerabilidades zero-day en sistemas operativos, navegadores y software crítico durante sus pruebas internas: detectó una falla en OpenBSD que llevaba 27 años oculta y otra en FFmpeg que había sobrevivido millones de tests automatizados. En Firefox, el número de correcciones de seguridad entre abril 2025 y abril 2026 pasó de 31 a 423 —factor de 14—, en parte atribuido al escaneo con Mythos, según el análisis de Qualys. Anthropics no liberó Mythos al público general. El Project Glasswing restringe el acceso a 12 organizaciones. La Comisión Europea calificó las capacidades de Mythos como «cibernéticas sin precedentes». La administración Trump llegó a intentar vetar a Anthropic por razones de seguridad nacional, decisión que terminó en litigio judicial. Noticias de Navarra y wwwhatsnew sintetizaron el debate que siguió: los defensores dicen que Mythos es la primera herramienta de IA capaz de encontrar sistémicamente lo que los revisores humanos pierden; los críticos argumentan que el mismo modelo en manos equivocadas podría escalar la explotación de vulnerabilidades a escala industrial. Anthropic responde que el acceso controlado es precisamente la respuesta a ese riesgo. Para Costa Rica, la implicación práctica es que los equipos de ciberseguridad de empresas multinacionales con sede en el país —Intel, HP, Equifax— deberán revisar sus marcos de amenaza antes de finales de 2026.
Apple anunció que iOS 27, iPadOS 27 y macOS 27 —previstos para otoño de 2026— incluirán la función Extensions, que permitirá a los usuarios elegir el modelo de IA que corre dentro de Apple Intelligence. Claude de Anthropic y Gemini de Google ya están en fase de testeo interno; ChatGPT, hasta ahora el único modelo externo integrado, pasará a ser una opción más en la lista, según Infobae. El movimiento responde a presión regulatoria: tanto la UE como el Reino Unido investigaban la exclusividad de OpenAI en el ecosistema de Apple como una posible práctica anticompetitiva. La apertura a múltiples modelos también beneficia a los usuarios de lengua española que han reportado respuestas menos precisas de ChatGPT en comparación con Claude en idiomas distintos al inglés. Para el mercado latinoamericano, la llegada de Claude a dispositivos iOS representa la primera integración masiva de un asistente de IA de Anthropic en terminales de consumo. Las empresas costarricenses que ya usan Claude mediante API —un número creciente de startups del ecosistema de La Montaña— podrían ver ese contexto como una ventaja de adopción temprana.
Un análisis publicado en Foro3D y respaldado por datos del sector describe un desplazamiento acelerado en el mercado de IA empresarial: OpenAI (con GPT-4.1 y sus variantes) y Anthropic (con Claude Opus 4.7 y Mythos) capturan la mayor parte de los contratos corporativos de más de $500.000 dólares anuales, dejando a Google en una posición de rezago en el segmento enterprise a pesar de sus ventajas en infraestructura cloud. La causa señalada: Google desarrolla modelos de alta capacidad (Gemini 2.5 Pro) pero los integra con mayor fricción en los flujos de trabajo empresariales. OpenAI y Anthropic ofrecen APIs más maduras, mejores herramientas de evaluación y, en el caso de Anthropic, el diferenciador de Mythos para seguridad. Para Costa Rica, donde Google Cloud Platform domina la infraestructura cloud de las empresas de servicios compartidos, el rezago en IA empresarial de Google podría generar migraciones parciales hacia AWS Bedrock —donde Claude está disponible— en los próximos 12 meses.
Google, Microsoft y xAI formalizaron esta semana acuerdos para dar al gobierno estadounidense acceso a sus modelos de inteligencia artificial con fines de evaluación de capacidades y seguridad. La iniciativa, coordinada por el Centro de Normas e Innovación en IA del Departamento de Comercio, ya incluía a OpenAI y Anthropic. El acuerdo es voluntario —no regulatorio— y permitirá al gobierno identificar posibles riesgos en los sistemas antes de su despliegue masivo. A diferencia de la orden de Biden de 2023, que exigía evaluaciones para modelos que superaran ciertos umbrales de cómputo, el nuevo marco no establece obligaciones legales. Los laboratorios mantienen control sobre qué versiones de sus modelos comparten con el gobierno.
El ciclo de anuncios de esta semana —Mythos de Anthropic, GPT-5.4-Cyber de OpenAI, el acceso gubernamental de Google, Microsoft y xAI— comparte un denominador: la ciberseguridad como argumento central de diferenciación comercial. Xataka sintetizó el fenómeno: antes era el vibecoding, ahora es la ciberseguridad. El problema no es que los modelos sean incapaces de encontrar vulnerabilidades —los datos de Firefox muestran que sí pueden. El problema es que el mismo modelo que detecta 423 vulnerabilidades en un mes puede, en manos diferentes, explotar esas mismas vulnerabilidades a escala. La distinción entre IA defensiva y ofensiva depende exclusivamente del control de acceso, y ese control es voluntario mientras no haya regulación vinculante. La pregunta que la semana no respondió: ¿quién evalúa al evaluador? Las organizaciones que reciben acceso a Mythos y GPT-5.4-Cyber son socias comerciales de Anthropic y OpenAI respectivamente. Sin un organismo técnico independiente —lo que la orden de Biden intentaba construir y el nuevo borrador de Trump desmantela—, el régimen de seguridad de la IA ofensiva descansa sobre la buena fe de los mismos actores que tienen incentivos para competir entre sí.
La semana del 11 al 15 de mayo quedará marcada en la historia de la IA por tres movimientos simultáneos: la respuesta de OpenAI a Mythos con GPT-5.4-Cyber, la apertura de Apple Intelligence a múltiples modelos en iOS 27, y el borrador de orden ejecutiva de Trump que elimina las pruebas obligatorias a modelos de alta capacidad. Los tres apuntan en la misma dirección: más potencia, más acceso, menos supervisión vinculante. Para Costa Rica, el impacto más inmediato está en las empresas de tecnología con sede en el país. Intel, HP y los centros de servicios compartidos de Escazú y Heredia deberán actualizar sus marcos de ciberseguridad ante la proliferación de herramientas de evaluación de vulnerabilidades basadas en IA. Las startups del ecosistema nacional, por su parte, tienen acceso temprano a modelos que antes eran exclusivos de grandes corporaciones —y con eso, la responsabilidad de usarlos con criterio.