La industria europea de ciberdefensa está hoy en una posición de extrema vulnerabilidad frente al avance de las inteligencias artificiales desarrolladas por China y Estados Unidos. Concretamente, desde el otro lado del Atlántico, las alarmas suenan por el nuevo modelo de IA de Anthropic, llamado Mythos, anunciado en abril. Esta última versión de su programa Claude, especializado en la búsqueda de vulnerabilidades en sistemas críticos, es capaz de encontrar, en poco tiempo, gran cantidad de fallos de seguridad de los denominados día cero (es decir, desconocidos hasta por el propio desarrollador del software, por lo que no hay un parche para solucionarlo). “No es que esta IA haga algo nuevo, lo que pasa es que lo hace mucho más rápido y, supuestamente, a un menor coste que las demás”, indica Pedro Pablo Pérez, director general de TRC, compañía española integradora de sistemas y referente en el ámbito de la industria de ciberseguridad. Mythos es un modelo especializado en hacer lo que se conoce en la industria como pentesting, es decir, poner a prueba los sistemas de seguridad mediante ataques controlados para ver dónde están las vulnerabilidades. Pérez señala que modelos como el de Mythos acrecientan la asimetría en el mundo de la ciberseguridad: de por sí, es una actividad en la que es más fácil atacar que defender, pero con esta nueva IA ese efecto se potencia. “Es mucho más difícil construir una cristalera de seguridad que tirarle una piedra para romperla. Mythos lo que hace es empoderar al que tira la piedra”, añade el directivo de TRC.Otra fuente consultada que trabaja con varias empresas de la industria de defensa y ciberseguridad nacional señala que el conjunto del sector está “preocupado y ocupado” en la aparición de este nuevo modelo de IA, a la que describe como “una bomba nuclear”. Por su parte, Stéphane Lenco, máximo ejecutivo de ciberseguridad de Thales, una de las mayores compañías militares francesas, matiza que Mythos no es un caso aislado en el sector, sino que hay otros modelos que han alcanzado “niveles comparables”. Esto hace que, en opinión de Lenco, deba verse a esta nueva IA como “parte de una evolución estructural más amplia de las capacidades tecnológicas, en lugar de una ventaja única o exclusiva”.Es el caso, por ejemplo, del modelo GPT-5.5-Cyber, de OpenAI —empresa que el magnate Elon Musk ayudó a crear y a la que hoy se enfrenta en un mediático juicio en los juzgados de Oakland—, el cual ha acreditado tener capacidades similares a las de Anthropic, según un estudio del Instituto de Seguridad de la IA de Reino Unido. En el caso de este último modelo de OpenAI, sí se ha abierto a compañías europeas, entre ellas las españolas Telefónica y BBVA.Hacia un mundo de “redes neuronales” enfrentadas“Hoy el 80% de los ciberataques en tiempo real ya los hacen máquinas. ¿A qué mundo vamos? A uno de redes neuronales confrontadas, es decir, sistemas de inteligencias artificiales que se enfrentan a otras“, explica Antonio García, consejero delegado de la española Teldat, empresa de ciberseguridad especializada en la fabricación de firewalls (cortafuegos) para diferentes sectores como la banca, en el que prestan sus servicios al 90% de las entidades nacionales, según asegura la propia Teldat. Esta firma española ha trabajado con varios modelos de IA avanzados, entre ellos la mencionada GPT-5.5-Cyber o Big Sleep, de Google, aunque no le han dado acceso a Mythos.“Este tipo de IA industrializa y democratiza capacidades ofensivas que hasta ahora requerían mucho más conocimiento técnico, tiempo y recursos. Cuando un modelo permite generar ataques más rápidos, más baratos y más personalizados, cambia por completo la escala del problema”, dice, por su parte, Pablo Ballarín, experto en ciberseguridad y miembro de la junta directiva de ISACA Valencia (asociación para el control y auditoría de sistemas de la información, por sus siglas en inglés), una organización internacional sin ánimo de lucro. “Ya no hablamos únicamente de ciberdelincuentes altamente especializados, sino de la posibilidad de que actores con pocos recursos puedan lanzar campañas sofisticadas de phishing, fraude, ingeniería social o explotación automatizada de vulnerabilidades con una barrera de entrada mucho menor”, añade.Sin embargo, hay dudas en torno al real potencial de Mythos, ya que es un programa que solo se ha abierto a un selecto club llamado Proyecto Glasswing, integrado por compañías estadounidenses como Amazon, Apple, Google, JP Morgan, Microsoft o Nvidia, vetando así el acceso a empresas europeas o de otras latitudes, lo que acrecienta aún más la ya mencionada debilidad europea respecto a los líderes mundiales en IA. En su carta fundacional, Anthropic argumenta el lanzamiento de esta iniciativa por “las repercusiones para la economía, la seguridad pública y la seguridad nacional” que podría tener su modelo. “El Proyecto Glasswing es un intento urgente de poner estas capacidades al servicio de la defensa”, añade Anthropic en su web, alimentando así la idea de que su producto es único.Esto, como señalan algunos de los entrevistados, puede ser visto como una excelente campaña de marketing para una compañía como Anthropic que, si bien no cotiza en bolsa —en su última ronda de financiación cerrada la semana pasada se la ha valorado en 900.000 millones de dólares, unos 774.000 millones de euros al cambio actual, por encima de la cotización de OpenAI—, sí ha levantado varias decenas de miles de millones en inversiones de gigantes estadounidenses como Amazon o Google. Mal posicionamientoEn Europa, la iniciativa que parece destacar más es la de Mistral, que tiene como principal accionista a ASML, empresa holandesa dedicada a la producción de maquinaria necesaria para la fabricación de chips. Este gigante invirtió 1.300 millones en esta IA en septiembre de 2025 para hacerse con el 11% de su capital, una cifra que queda lejos de las cantidades que mueve el sector en Estados Unidos.Thales, por ejemplo, compañía que integra la Cloud Security Alliance (alianza para la seguridad de la nube), tiene como prioridad integrar la IA “de manera proactiva” para tratar de mantenerse a la vanguardia, según explica Lenco. “Thales invierte en soluciones de ciberseguridad que aprovechan la IA para detectar y responder a amenazas con mayor rapidez, incluidas vulnerabilidades de días cero y ataques sofisticados como los deepfakes”, añade el directivo, quien recuerda que Thales cuenta con cortAIx, su proyecto de IA para sistemas críticos. Aun así, Europa aparece muy atrás en la carrera de la IA. “No hemos hecho bien los deberes. Desde el punto de vista de desarrollos, de tecnología, de inteligencia artificial, no estamos bien posicionados, pero tenemos que mirarnos retrospectivamente. Tenemos ingenieros buenísimos; (...) sí que tenemos capacidades y tecnología de tejido productivo suficiente para poder ser competitivos, pero tenemos que ponernos las pilas", apunta García, de Teldat.Para Ballarín, sin embargo, no se puede simplificar el problema a quién cuenta con los modelos de IA más potentes, sino a quién controla realmente los datos, las infraestructuras críticas, las capacidades de supervisión y los mecanismos de decisión. “El reto está en construir capacidades propias allí donde realmente importa: gobierno, resiliencia, interoperabilidad, supervisión, protección de datos y control de riesgos. Europa tiene fortalezas importantes en esos ámbitos. De hecho, muchas organizaciones internacionales están empezando a mirar a Europa como referencia en materia de gobernanza y regulación de IA precisamente porque entienden que el problema ya no es solo tecnológico, sino también de confianza”, indica.