La prohibición de EE. UU. sobre los modelos avanzados de IA es un regalo para los hackers

Si bien el gobierno de los EE. UU. afirma que su reciente prohibición de exportación de los modelos más potentes de Anthropic es una victoria para la seguridad nacional, la realidad es mucho más volátil. Washington cree que, al bloquear el acceso a la inteligencia artificial más reciente, evita que los adversarios extranjeros encuentren fallos en la infraestructura estadounidense. Sin embargo, las personas que realmente pasan sus vidas defendiendo nuestras fronteras digitales dicen que esta medida hace exactamente lo contrario. Un grupo de 76 veteranos de la ciberseguridad firmó recientemente una carta abierta a la Casa Blanca, argumentando que esta prohibición ha quitado las mejores herramientas a los protectores mientras los atacantes continúan avanzando a toda velocidad.

Este conflicto es un ejemplo clásico de una política diseñada para un mundo físico que se aplica a uno digital. En el mundo físico, puedes guardar un prototipo en una caja fuerte para mantenerlo en secreto. En el mundo del software, la única forma de mantener un sistema seguro es encontrar sus fallos antes que alguien más. Al restringir el acceso a estos modelos avanzados, el gobierno esencialmente ha vendado los ojos a los guardias de seguridad mientras los intrusos ya están dentro del edificio con linternas de alta tecnología.

El cambio de política que vendó los ojos a los guardias

El problema comenzó el viernes cuando el gobierno de los EE. UU. ordenó a Anthropic limitar la exportación de sus dos modelos de IA más avanzados: Fable y Mythos. El gobierno citó preocupaciones de seguridad nacional, pero no proporcionó detalles específicos sobre por qué estos modelos son repentinamente demasiado peligrosos para el uso público. En respuesta, Anthropic suspendió el acceso a estos modelos para todos los usuarios en todo el mundo. Esta decisión no es solo un revés corporativo; es una interrupción sistémica para la industria de la ciberseguridad.

Para el usuario promedio, esto podría parecer una disputa menor entre una empresa tecnológica y un regulador. Mirando el panorama general, estos modelos son el petróleo crudo digital del mundo de la seguridad. Las empresas de seguridad los utilizan para escanear millones de líneas de código en segundos. Actúan como un pasante incansable que nunca duerme, cazando los pequeños errores que conducen a brechas de datos masivas. Cuando el gobierno retira estas herramientas del mercado, los desarrolladores de software pierden su forma más eficiente de parchear las aplicaciones que usas todos los días, desde tu portal de banca móvil hasta el termostato inteligente de tu hogar.

Entendiendo el poder de Mythos y Fable

Para entender por qué estos expertos están enojados, tenemos que mirar bajo el capó de lo que Anthropic realmente construyó. Mythos es la versión de alto rendimiento de su IA. Cuando se lanzó en una fase de vista previa en abril, Anthropic reconoció su poder. Era tan eficaz para identificar vulnerabilidades de seguridad que la empresa limitó inicialmente el acceso a un pequeño grupo de 150 organizaciones en 15 países. Estos eran los defensores "validados" que utilizaban la IA para fortalecer sus sistemas contra ataques.

Fable era la versión pública. Tenía salvaguardas estrictas diseñadas para evitar que se utilizara con fines maliciosos, como la creación de armas biológicas o la escritura de malware. Sin embargo, esas salvaguardas eran tan agresivas que Fable a menudo se negaba a ayudar con tareas de seguridad legítimas. Si un investigador le pedía a Fable que encontrara un error en una pieza de código, la IA frecuentemente declinaba, por temor a que la información pudiera usarse para causar daño. Esto creó una paradoja donde la versión "segura" del modelo era inútil para las mismas personas que intentaban hacer que Internet fuera más seguro.

La investigación de Amazon que desencadenó la prohibición

La justificación de la prohibición del gobierno parece derivar de un informe de investigadores de Amazon. Este informe, que aún no es público, supuestamente afirma que hay una manera de eludir —o realizar un "jailbreak"— a las salvaguardas del modelo Fable para desbloquear todo su poder de nivel Mythos. La Casa Blanca probablemente vio esto como una señal de alerta, temiendo que si Fable es fácil de hackear, cualquier adversario podría usarlo para encontrar vulnerabilidades de día cero en el software estadounidense.

Katie Moussouris, fundadora de Luta Security y firmante de la carta abierta, ha revisado ese documento y no está de acuerdo con sus conclusiones. Ella argumenta que los investigadores no encontraron realmente un jailbreak. En cambio, simplemente le pidieron a la IA que corrigiera código público de código abierto que tenía errores conocidos. Cuando la IA se negó inicialmente, reformularon la solicitud hasta que cumplió. Moussouris señala que esto no es un fallo de seguridad; es la función principal del modelo. Pedirle a una IA que corrija un error es lo más valioso que puede hacer por la seguridad defensiva. Etiquetar esto como un "jailbreak" es como decir que un cerrajero es un criminal porque sabe cómo arreglar una cerradura rota.

Por qué los veteranos de seguridad están dando la voz de alarma

La lista de personas que firman esta carta de protesta es un "quién es quién" del mundo de la seguridad. Incluye a Alex Stamos, ex jefe de seguridad de Facebook, y Jon Callas, quien gestionó la arquitectura de seguridad en Apple. Estos son expertos pragmáticos que entienden cómo se construye y se rompe el software. Su preocupación general es que el gobierno de los EE. UU. está tomando decisiones basadas en un malentendido de cómo la IA interactúa con el código.

En su carta, estos expertos explican que el ciclo de "encontrar, corregir y probar" es el proceso fundamental de la seguridad moderna. Los defensores necesitan encontrar un error, escribir una corrección para él y luego realizar pruebas para asegurarse de que la corrección funcione. Los modelos de IA como Mythos pueden hacer esto a una escala que los humanos simplemente no pueden igualar. Al eliminar estos modelos, el gobierno está obligando a los defensores a volver al trabajo manual mientras los hackers ya están utilizando herramientas automatizadas. Este es un desequilibrio peligroso que hace que cada pieza de software en su teléfono y computadora sea más vulnerable a una explotación.

La amenaza de un mercado global desequilibrado

Uno de los puntos más preocupantes en la carta abierta es que EE. UU. no es el único jugador en este juego. Mientras la Casa Blanca restringe a Anthropic, otras empresas y países siguen adelante. Los expertos señalaron que las mismas capacidades encontradas en Mythos ya están apareciendo en otros modelos, como el GPT-5.5 de OpenAI e incluso modelos chinos como Kimi 2.7. La tecnología ya está libre en el mundo.

Esencialmente, el gobierno de los EE. UU. está tratando de detener la marea con una escoba. Si los defensores estadounidenses no pueden usar la IA estadounidense, eventualmente tendrán que buscar en otra parte, o simplemente se quedarán atrás. Históricamente, cuando EE. UU. restringe una tecnología que ya está disponible a nivel mundial, solo logra obstaculizar su propia industria. China y otros rivales no van a dejar de desarrollar IA de alta potencia debido a una orden de exportación de EE. UU. En todo caso, esta prohibición les da una ventana clara para ganar ventaja en la tecnología de ciberseguridad defensiva, una brecha que podría tardar años en cerrarse para EE. UU.

Qué significa esto para su seguridad digital diaria

Para el consumidor promedio, este debate puede parecer distante, pero las implicaciones prácticas son tangibles. La seguridad no es un producto que se compra; es un proceso resiliente de actualizaciones constantes. Cada vez que su teléfono le pide que instale una actualización de seguridad, es porque un desarrollador encontró un agujero y lo parcheó. Si esos desarrolladores pierden el acceso a las mejores herramientas para encontrar esos agujeros, esas actualizaciones llegarán más lento, o podrían no llegar en absoluto.

Nos dirigimos hacia un mundo donde el software es demasiado complejo para que los humanos lo aseguren solos. A medida que nuestras vidas se vuelven más interconectadas a través del internet de las cosas, el volumen de código del que dependemos está explotando. Necesitamos que la IA actúe como un sistema inmunológico digital. Cuando el gobierno restringe ese sistema inmunológico, deja el cuerpo de Internet abierto a infecciones. La conclusión es que la seguridad a través de la oscuridad —la idea de que estás seguro porque nadie sabe cómo funciona tu sistema— nunca ha funcionado en la era digital.

Hacia una solución transparente

Los expertos no están pidiendo una falta total de regulación. En cambio, exigen un proceso de elaboración de normas transparente y democrático. Quieren regulaciones basadas en la investigación científica y la experiencia de la industria en lugar de informes secretos y miedo. Argumentan que cualquier restricción debe ser la cantidad mínima necesaria para garantizar la seguridad pública, en lugar de una prohibición amplia que atrape a los defensores en el fuego cruzado.

En última instancia, este es un llamado para que el gobierno confíe en las personas que están realmente en la línea del frente. La industria de la ciberseguridad ha pasado décadas aprendiendo que la apertura es el mejor camino hacia la seguridad. Al compartir información sobre errores y trabajar juntos para corregirlos, la comunidad se mantiene por delante de los malos. Aplicar un velo de secreto a las herramientas de IA rompe este modelo colaborativo y deja al público en una posición más precaria. Mientras miramos hacia el futuro, debemos priorizar dar a los buenos las mejores herramientas posibles, en lugar de esperar que una prohibición mantenga esas mismas herramientas fuera del alcance de los malos.

Fuentes:

• Carta abierta de profesionales de ciberseguridad sobre los controles de exportación de Anthropic (junio de 2026)
• Declaración oficial de Anthropic sobre el acceso a los modelos Fable y Mythos
• Análisis de Luta Security del artículo de investigación de IA de Amazon
• Orden de control de exportaciones del Departamento de Comercio 2026-AF42