- Claude Mythos identificó 271 vulnerabilidades en Firefox en un único análisis, frente a las 22 halladas por modelos previos.
- Mozilla ha pasado de corregir 31 fallos en un año a 423 en un solo mes gracias a la integración de esta IA.
- La IA detecta los bugs, pero los parches siguen siendo humanos, con revisiones exhaustivas antes de llegar a los usuarios.
- El caso Firefox anticipa una nueva etapa en ciberseguridad, con impacto directo en Europa y España y una carrera entre defensores y atacantes.
La colaboración entre Mozilla y Anthropic ha protagonizado uno de los movimientos más llamativos en el mundo de la ciberseguridad reciente: Claude Mythos ha logrado descubrir 271 fallos de seguridad en Firefox en un único ejercicio de análisis. El experimento, realizado con una versión preliminar del modelo, ha servido para medir hasta qué punto las nuevas IAs especializadas pueden cambiar las reglas del juego en la protección de software ampliamente utilizado, también en Europa y España.
Más allá de la cifra, lo relevante es el salto de escala. Hace apenas un año, Mozilla había corregido 31 vulnerabilidades en su navegador. En abril de 2026, con Mythos integrado en el proceso de revisión, la organización ha parcheado 423 fallos en total, de los cuales 271 fueron detectados directamente por el modelo. Para un navegador tan extendido como Firefox, presente en millones de equipos en la Unión Europea, este cambio supone un refuerzo notable de la seguridad, pero también abre un debate sobre el uso ofensivo de estas mismas tecnologías.
De 31 a 423 fallos corregidos: la sacudida de Claude Mythos en Firefox
Los datos internos de Mozilla muestran una aceleración sin precedentes en la detección de vulnerabilidades. En el periodo previo a la llegada de Claude Mythos Preview, el ritmo de corrección de bugs de seguridad en Firefox era relativamente estable. Sin embargo, en abril de 2026, con el modelo ya integrado en el flujo de trabajo, el número de vulnerabilidades corregidas se disparó hasta 423 en un solo mes.
De esas 423 vulnerabilidades, 271 fueron identificadas por Mythos, mientras que el resto se localizaron mediante técnicas tradicionales como el fuzzing, la revisión manual de código y herramientas previas de análisis automatizado. La comparación interna con el modelo anterior de Anthropic es especialmente ilustrativa: donde antes se detectaban 22 vulnerabilidades en un escenario similar, la nueva versión ha multiplicado por más de diez su capacidad de descubrimiento.
Mozilla subraya que este aumento no implica necesariamente que Firefox sea “más inseguro” ahora, sino que se están encontrando problemas que llevaban años, incluso décadas, escondidos en el código. El propio diseño modular del navegador ha permitido a Mythos segmentar el análisis por componentes, revisar subsistemas completos y proponer hipótesis de fallo difíciles de abordar solo con equipos humanos.
Para los usuarios europeos y españoles, este esfuerzo se traduce en una versión del navegador mucho más limpia en términos de superficie de ataque. Mozilla ha señalado que versiones como Firefox 150 aspiran a ser las más seguras hasta la fecha precisamente gracias a este trabajo conjunto entre ingenieros humanos y la IA de Anthropic, y en algunos lanzamientos ya se están introduciendo funcionalidades como el interruptor para desactivar la IA.
Según responsables técnicos del proyecto, ninguna de las 271 vulnerabilidades estaba totalmente fuera del alcance de un investigador experto, pero la velocidad y la escala del análisis marcan la diferencia. Lo que antes podía requerir meses de auditorías manuales se condensa ahora en unos días de trabajo coordinado entre IA y equipo de seguridad.
Qué tipo de fallos ha destapado Mythos: de errores «arqueológicos» a bugs sutiles
Uno de los aspectos más llamativos del experimento con Firefox es la naturaleza de algunos de los errores descubiertos. Claude Mythos no solo ha encontrado vulnerabilidades recientes, fruto de cambios recientes en el código, sino también defectos casi “fósiles” que llevaban años pasando desapercibidos.
Durante el análisis, el modelo de Anthropic localizó un bug en el motor XSLT del navegador (identificado como bug 2025977) que llevaba alrededor de dos décadas presente en el código. Este tipo de fallos, de larga duración, suelen quedar enterrados porque no generan incidencias visibles en el uso cotidiano, pero pueden servir de puerta de entrada en escenarios muy concretos.
Mythos también sacó a la luz un problema de unos 15 años de antigüedad relacionado con el elemento <legend> de HTML. En este caso, la vulnerabilidad solo podía aprovecharse combinando una serie de condiciones muy rebuscadas y casos extremos, lo que explicaría por qué las herramientas clásicas de fuzzing o la revisión manual no habían dado con él antes.
Además de estos “errores arqueológicos”, la IA identificó fallos en el parsing de elementos HTML, debilidades en mecanismos de sandboxing y otros problemas repartidos por diferentes módulos del navegador. Lo relevante aquí no es solo que los detecte, sino cómo llega a ellos: la herramienta ha demostrado ser capaz de combinar rutas de ejecución poco intuitivas, explorar cadenas de acciones inusuales y razonar de forma recursiva para reducir falsos positivos.
Este “olfato” técnico, como lo describen algunos ingenieros de Mozilla, representa un cambio respecto a las generaciones anteriores de herramientas automatizadas. Mythos evalúa sus propios hallazgos, descarta caminos que no llevan a un fallo real y presenta al equipo humano un conjunto de resultados más depurados, lo que ahorra tiempo y evita que los expertos se pierdan en ruido innecesario.
La IA encuentra, pero los humanos parchean: un proceso híbrido
Uno de los puntos en los que Mozilla ha querido ser especialmente clara es en la separación de roles entre la IA y los desarrolladores humanos. Aunque Claude Mythos propone posibles soluciones para los fallos que detecta, el código que llega al usuario final sigue estando escrito y revisado por personas.
En la práctica, el flujo de trabajo funciona así: Mythos analiza el código de Firefox, señala vulnerabilidades potenciales y sugiere enfoques de corrección. A partir de ahí, al menos un ingeniero humano redacta el parche definitivo y otro lo revisa antes de integrarlo en el repositorio principal. Este doble control busca evitar que un parche aparentemente correcto introduzca nuevos problemas o rompa funcionalidades existentes.
Mozilla ha comprobado que las propuestas de parche generadas por la IA son útiles como modelo conceptual, pero suelen requerir ajustes significativos antes de ser aptas para un entorno de producción. En ocasiones, Mythos plantea una corrección excesivamente general, o bien no tiene en cuenta todos los casos límite que el equipo de desarrollo debe considerar.
Aun así, la aportación de la IA al proceso es evidente: reduce el tiempo necesario para localizar el origen de un bug, ayuda a priorizar qué vulnerabilidades tienen mayor impacto y proporciona una especie de “segunda opinión” técnica para el equipo de seguridad. Lejos de reemplazar a los ingenieros, actúa como un multiplicador de su capacidad.
Este enfoque híbrido encaja con la visión prudente de Mozilla. La organización prefiere mantener el control humano sobre el código desplegado, tanto por responsabilidad legal y reputacional como por una cuestión de confianza técnica: por muy avanzada que sea la IA, un error en un parche de seguridad puede tener consecuencias graves para usuarios, empresas e instituciones, también en el contexto europeo, donde el cumplimiento normativo en protección de datos y ciberseguridad es especialmente exigente.
Integrar la IA en el ciclo de desarrollo: hacia Firefox 150 y más allá
El experimento con Claude Mythos no se ha quedado en un simple análisis puntual del código publicado. El plan de Mozilla pasa por integrar la IA en el propio ciclo de desarrollo de Firefox, de forma que el análisis de seguridad sea continuo y se active prácticamente en tiempo real.
La idea es que, a medida que un desarrollador escribe nuevas líneas de código, el sistema pueda evaluar casi al instante el impacto potencial en la superficie de ataque del navegador. Es decir, no solo revisar lo que ya está en producción, sino acompañar al equipo técnico durante la creación de nuevas funcionalidades para detectar vulnerabilidades antes de que lleguen siquiera a una versión beta.
Esta estrategia, si se aplica con éxito, podría convertir futuras versiones como Firefox 150 en algunas de las más robustas desde el punto de vista de la seguridad. Para usuarios y organizaciones en España y el resto de la Unión Europea, donde Firefox se emplea tanto en entornos domésticos como en administraciones y empresas, este tipo de avances son clave para reducir el riesgo de explotación de fallos críticos.
El enfoque también obliga a repensar la arquitectura del software. El caso de Firefox demuestra que un diseño modular facilita el trabajo de las IAs auditoras: permite analizar bloques específicos, aislar componentes sensibles (como los relacionados con autenticación, cifrado o gestión de datos personales) y acotar mejor el impacto de cada vulnerabilidad.
Para otros productos tecnológicos, incluidos los desarrollados en startups y empresas europeas, el mensaje es claro: cuanto más estructurado y segmentado esté el código, más sencillo será integrar herramientas similares a Mythos en el proceso de desarrollo y mantener un nivel de seguridad razonable sin disparar los costes.
La cara B: del refuerzo defensivo al riesgo de uso ofensivo
El éxito de Claude Mythos en Firefox tiene una lectura optimista: los defensores tienen ahora herramientas más potentes para encontrar y corregir errores. Sin embargo, buena parte del debate actual gira en torno a la otra cara de la moneda: la posibilidad de que actores maliciosos empleen sistemas similares para localizar y explotar vulnerabilidades a gran escala.
En una conversación reciente, Dario Amodei, CEO de Anthropic, describía esta situación como una “ventana de seis a doce meses” en la que herramientas como Mythos pueden utilizarse para identificar decenas de miles de fallos antes de que capacidades parecidas estén disponibles de forma más amplia. El riesgo, advertía, es que, si no se corrigen a tiempo, esa misma tecnología podría facilitar un aumento considerable de brechas y ataques de ransomware contra hospitales, escuelas, bancos u otras infraestructuras críticas.
Las pruebas internas de Anthropic han mostrado que Mythos es capaz no solo de detectar vulnerabilidades, sino también de completar simulaciones de ataques de red en múltiples pasos sin intervención humana directa. Es decir, la distancia entre encontrar un agujero de seguridad y demostrar cómo explotarlo se reduce drásticamente cuando se dispone de una IA con estas capacidades.
Precisamente por eso, la compañía ha optado por restringir el acceso a Mythos a un número muy limitado de socios bajo el llamado Proyecto Glasswing. El objetivo declarado es utilizar el modelo para reforzar defensas —como en el caso de Firefox— y parchear fallos antes de que herramientas análogas proliferen de forma descontrolada.
No obstante, diversos investigadores han señalado que parte de las capacidades demostradas por Mythos podrían replicarse combinando modelos generales existentes con técnicas y herramientas de código abierto. Si este tipo de aproximaciones se populariza, la frontera entre quienes tienen acceso a una IA ofensiva poderosa y quienes no lo tienen podría estrecharse más rápido de lo esperado.
Debate en la industria: ¿alerta real o marketing del miedo?
La decisión de Anthropic de mantener Mythos bajo un fuerte control y su discurso sobre los riesgos asociados no han quedado exentos de polémica en el sector tecnológico. Algunos actores relevantes, como Sam Altman, CEO de OpenAI, han expresado dudas sobre si se está exagerando el peligro para justificar un modelo de acceso muy restrictivo.
Altman ha llegado a sugerir que parte del relato en torno a Mythos podría encajar en lo que denomina “marketing basado en el miedo”: una estrategia por la cual se subrayan los riesgos para argumentar que solo un pequeño grupo de empresas “de confianza” debería operar este tipo de tecnologías avanzadas. Según su visión, aunque existen preocupaciones legítimas de seguridad, también hay un componente de posicionamiento competitivo y control del mercado.
Anthropic, por su parte, defiende que su enfoque es principalmente prudencial y alineado con los intereses de la seguridad nacional. Informaciones publicadas en medios estadounidenses apuntan a que el gobierno de Estados Unidos estaría utilizando Claude Mythos para analizar redes clasificadas, lo que reforzaría la idea de que, al menos en ciertos entornos, se considera una herramienta útil para reforzar defensas críticas.
En declaraciones recientes, Amodei ha reiterado que el objetivo de la compañía es actuar de forma “ordenada, sistemática y justa”, evitando decisiones improvisadas que puedan favorecer a unos pocos actores frente al resto. Su argumento central es que, aunque nunca habrá un trato perfecto e igualitario, el marco legal y regulatorio debería aspirar a que todas las empresas tecnológicas estén sometidas a reglas similares.
Este debate no es ajeno a Europa, donde se están gestando marcos regulatorios como el Reglamento de IA de la UE. Para los reguladores europeos, casos como el de Mythos y Firefox ofrecen un ejemplo práctico de los beneficios y riesgos asociados a las IAs avanzadas en ciberseguridad, y de cómo podría abordarse su supervisión sin frenar por completo la innovación.
Impacto para empresas y startups en España y Europa
Más allá del impacto directo en Firefox, el caso de Claude Mythos plantea implicaciones claras para empresas tecnológicas de todos los tamaños, también en el ámbito español y europeo. La principal lección es que la seguridad de software entra en una nueva fase, en la que la velocidad de descubrimiento y corrección de vulnerabilidades será tan importante como la calidad del código en sí.
Para las startups y compañías con productos digitales, esto significa que la auditoría de seguridad asistida por IA dejará de ser un lujo reservado a gigantes tecnológicos y empezará a ser parte esperable de cualquier estrategia de desarrollo razonablemente madura. Herramientas inspiradas en Mythos, o versiones más accesibles de análisis automático, podrán aplicarse a componentes críticos como sistemas de autenticación, gestión de datos sensibles o APIs expuestas a Internet.
El ejemplo de Firefox también pone el foco en la importancia de la arquitectura del software. Aplicaciones construidas como monolitos difíciles de segmentar ofrecen menos margen para la auditoría automatizada. En cambio, un diseño modular con límites bien definidos entre componentes facilita que una IA pueda aislar errores, proponer correcciones y reducir el riesgo de que una vulnerabilidad se propague sin control.
Otro punto clave es el tiempo de reacción. Si una IA puede encontrar cientos de fallos en cuestión de días, la ventaja competitiva ya no estará en ser el único capaz de detectarlos, sino en ser el más rápido corrigiéndolos y desplegando parches. En entornos regulados como el financiero o el sanitario, muy presentes en la economía española y europea, esta rapidez puede marcar la diferencia entre sufrir un incidente grave o dejarlo en un susto controlado.
Por último, el auge de herramientas como Mythos podría transformar profesiones especializadas, como los cazadores de bugs o “bug bounty hunters”. Si las IAs detectan a escala lo que antes se pagaba a expertos humanos por encontrar, el valor se desplazará hacia la validación experta de hallazgos, la remediación rápida y el monitoreo continuo tras el parcheo, más que hacia la mera identificación del fallo.
La experiencia de Mozilla con Claude Mythos muestra cómo una IA muy capaz puede convertir un navegador veterano en un campo de pruebas para una nueva forma de entender la ciberseguridad: menos centrada en hallar un bug “misterioso” y más en gestionar, casi en tiempo real, un flujo constante de vulnerabilidades detectadas a gran escala. Para usuarios, empresas y administraciones en España y Europa, el mensaje que deja este caso es claro: las mismas herramientas que hoy refuerzan la seguridad de Firefox marcarán el listón de lo que se considerará una defensa mínima aceptable en el software que usamos a diario, mientras la carrera entre quienes corrigen fallos y quienes tratan de explotarlos se vuelve cada vez más ajustada.
