- Claude Mythos Preview detecta 271 vulnerabilidades en el código de Firefox 150
- Mozilla corrige los fallos antes del lanzamiento y apuesta por auditorías de IA
- El modelo de Anthropic iguala el nivel de investigadores humanos de élite
- Acceso restringido vía Project Glasswing por su potencial ofensivo y defensivo
Mozilla ha dado un paso llamativo en el terreno de la ciberseguridad aplicada a navegadores tras apoyarse en una inteligencia artificial de Anthropic capaz de encontrar cientos de fallos en muy poco tiempo. El resultado más visible para los usuarios es Firefox 150, una versión del navegador que llega al mercado con un voluminoso paquete de parches tras una revisión automática de su código con Claude Mythos Preview.
La revisión, realizada en colaboración con Anthropic, permitió localizar 271 vulnerabilidades de seguridad en el código de Firefox antes de su publicación. La inmensa mayoría de esos problemas se han corregido en esta actualización y, aunque solo tres de los fallos más graves figuran en los boletines oficiales con mención directa a la IA, el caso se ha convertido en un ejemplo práctico de cómo las herramientas automatizadas pueden cambiar el equilibrio entre atacantes y defensores.
Qué ha descubierto Claude Mythos en Firefox 150
Según ha detallado Mozilla, una versión preliminar de Claude Mythos, el modelo de seguridad de Anthropic, se aplicó sobre el código fuente de Firefox 150, incluyendo componentes aún no publicados. De ese análisis salieron a la luz 271 brechas de seguridad de distinto nivel de gravedad, que se han abordado en bloque en el último lanzamiento del navegador.
Entre los fallos corregidos hay vulnerabilidades catalogadas con identificadores como CVE-2026-6746, CVE-2026-6757 y CVE-2026-6758, reconocidas explícitamente como hallazgos de la IA en la documentación oficial de seguridad. El resto de problemas, aunque no reciben mención nominal a Mythos, forman parte del mismo barrido masivo realizado como parte de un programa de pruebas internas.
Bobby Holley, CTO de Firefox, ha explicado que este tipo de revisiones rompe con la dinámica tradicional, muy centrada en la defensa reactiva y la contención de exploits en lugar de en la erradicación sistemática de errores. El directivo reconoce que históricamente se asumía que eliminar por completo las vulnerabilidades era poco realista y que el objetivo pasaba por hacer más costosos los ataques; herramientas como Mythos pretenden cambiar esa premisa.
Holley también ha contextualizado la magnitud del hallazgo: desde Mozilla apuntan que, hasta hace muy poco, un único bug de este calibre habría sido motivo de alerta roja en un horizonte cercano como 2025. Encontrar centenares a la vez obliga a replantear si los equipos humanos, por sí solos, pueden seguir el ritmo de la complejidad actual del software conectado a internet.
Un salto de escala frente a auditorías anteriores
La colaboración entre Mozilla y Anthropic no es nueva, pero la diferencia de escala respecto a pruebas anteriores es notable. En una experiencia previa, el modelo Opus 4.6 de la propia Anthropic había permitido localizar 22 vulnerabilidades en Firefox 148, algunas consideradas críticas. En marzo, ese mismo modelo llegó a identificar 112 fallos de diversos niveles de gravedad, con 14 clasificados como de alta severidad.
Con Claude Mythos Preview, la cifra se dispara hasta las 271 vulnerabilidades en una sola ronda de evaluación, lo que supone aproximadamente un incremento de doce veces el volumen de hallazgos respecto a auditorías anteriores. Mozilla interpreta este salto como una muestra de cómo la IA especializada en seguridad puede revisar software complejo a un ritmo muy difícil de igualar por los procesos manuales tradicionales.
Otras compañías que han probado el modelo, como firmas de seguridad del calibre de Palo Alto Networks, han llegado a estimar que Mythos es capaz de completar en unas tres semanas un trabajo equivalente a un año de pruebas de penetración manual. En el caso de Firefox, esa velocidad se ha traducido en una limpieza intensiva del navegador justo antes de su distribución masiva.
Para los usuarios de Europa y España, donde Firefox mantiene una base de instalaciones significativa, esto implica que actualizar a la versión 150 no es una simple subida de número, sino un paquete de seguridad especialmente cargado. Mozilla recomienda instalar la nueva versión lo antes posible en equipos de escritorio y portátiles, así como en entornos corporativos donde el navegador se use para acceder a servicios críticos.
El proceso, además, se ha apoyado en la naturaleza de código abierto de Firefox: el acceso público al repositorio facilita que herramientas automáticas puedan revisar grandes porciones de código, aunque también pone de relieve un problema conocido en la comunidad europea de software libre, como es la falta de recursos suficientes para auditorías de seguridad exhaustivas en proyectos muy extendidos.
Capacidades y límites de Claude Mythos como herramienta defensiva
Más allá del volumen de fallos encontrados, lo relevante para la industria es qué sabe hacer exactamente este modelo. Claude Mythos se ha presentado como una IA diseñada expresamente para detectar y explotar vulnerabilidades en sistemas operativos, navegadores y aplicaciones complejas cuando se le solicitan pruebas de seguridad controladas.
En el caso de Firefox, la IA se ha centrado en los mecanismos internos del navegador: gestión de memoria, procesamiento de contenido web, interacción con extensiones comprometidas y otros componentes sensibles donde suelen esconderse los errores con potencial para ejecutar código arbitrario o escalar privilegios. El modelo no solo señala dónde está el bug, sino que aporta contexto técnico y, llegado el caso, propuestas de explotación y mitigación.
Mozilla subraya que, pese a lo impresionante de las cifras, Mythos no ha descubierto una categoría totalmente nueva de vulnerabilidades. Holley ha insistido en que todos los errores identificados podrían haber sido encontrados por un investigador humano de muy alto nivel con suficiente tiempo y recursos. La diferencia está en la velocidad y la capacidad para enlazar múltiples fallos menores hasta convertirlos en un exploit serio.
Desde la fundación también se resalta un dato importante: no se han detectado casos en los que Mythos pasara por alto vulnerabilidades que un experto humano sí pudiera ver, al menos dentro del alcance de estas pruebas. Esto refuerza la idea de que, por ahora, la IA sirve para ampliar el alcance de los análisis existentes más que para sustituir por completo a los especialistas.
La lectura que hace Mozilla de este escenario es que la clave no está en enfrentar humanos contra máquinas, sino en cerrar la brecha entre lo que puede detectar una persona y lo que puede encontrar un sistema automatizado. Reducir esa distancia abarata el descubrimiento de fallos para los defensores, lo que en principio recorta la ventaja a largo plazo de los atacantes que basan su actividad en localizar vulnerabilidades de día cero antes que nadie.
Riesgos, acceso restringido y Project Glasswing
Aunque los resultados en Firefox son positivos, Anthropic ha optado por mantener un control muy estricto sobre quién puede utilizar Claude Mythos. La empresa considera que el modelo es demasiado potente como para liberarlo al público general sin salvaguardas sólidas, ya que la misma IA que ayuda a cerrar agujeros podría utilizarse para abrirlos de forma sistemática.
Por ese motivo, el acceso a Mythos se canaliza a través de un programa cerrado denominado Project Glasswing. Bajo este paraguas, un grupo reducido de socios tecnológicos —entre ellos gigantes como Apple, Microsoft, Google, Amazon Web Services o la propia Fundación Linux— pueden emplear el modelo para auditar su software de forma controlada.
Los propios responsables de Anthropic admiten que el sistema es capaz no solo de identificar vulnerabilidades de día cero en los principales sistemas operativos y navegadores, sino también de generar exploits funcionales, incluso combinando varias debilidades de baja gravedad para alcanzar acceso completo a un sistema. En manos equivocadas, esta capacidad podría facilitar ciberataques de nueva generación.
El interés por Mythos no se limita al sector privado. La Agencia de Seguridad Nacional de Estados Unidos (NSA) ya ha empezado a probar el modelo en redes clasificadas para revisar infraestructuras críticas, lo que indica que las agencias de inteligencia ven en este tipo de IA una herramienta estratégica para anticipar fallos que podrían tener impacto en la seguridad nacional.
En paralelo, Anthropic afirma haber desarrollado nuevas salvaguardas y sistemas de control de uso que ya se están integrando en otros modelos de la compañía, como algunas versiones recientes de Claude Opus. No obstante, la firma ha estado bajo observación tras conocerse que personas no autorizadas llegaron a utilizar Mythos al adivinar una URL de acceso, un incidente que ha reforzado el debate sobre cómo gestionar herramientas tan sensibles.
Impacto en la industria y en los usuarios de Firefox en Europa
El caso de Firefox se publica en un momento en el que numerosos actores del sector financiero y tecnológico —incluidas plataformas de intercambio de criptomonedas y proveedores de servicios Web3— revisan su exposición a ataques asistidos por IA. Muchas aplicaciones descentralizadas y monederos en caliente dependen precisamente de la superficie de ataque que exploran navegadores y extensiones.
Anthropic ha sostenido que modelos como Mythos podrían llegar a identificar vulnerabilidades aprovechables en los mismos entornos donde se mueven activos digitales y claves privadas. Si bien estas suelen estar protegidas dentro de los monederos, un atacante podría engañar al usuario para que apruebe transacciones maliciosas o explotar extensiones comprometidas, algo especialmente relevante para el ecosistema europeo de criptomonedas y fintech.
Para las empresas de software de la Unión Europea, el episodio añade presión en un escenario ya marcado por normativas cada vez más exigentes, como el Reglamento de Resiliencia Operativa Digital (DORA) o las normas sobre seguridad de redes y sistemas de información (NIS2). Adoptar herramientas de auditoría basadas en IA empieza a verse menos como una opción y más como un recurso necesario para mantener el nivel de protección esperado por reguladores y usuarios.
En el caso concreto de Firefox, navegador con una fuerte implantación en instituciones, administraciones y organizaciones que valoran el código abierto en España y otros países europeos, el mensaje que lanza Mozilla es doble: por un lado, reconocer que incluso los proyectos más auditados siguen escondiendo errores; por otro, dejar claro que poner a trabajar a la inteligencia artificial del lado de los defensores puede inclinar la balanza frente a los cibercriminales.
Mozilla insiste en que el objetivo no es alcanzar una seguridad perfecta —algo que considera irrealista— sino pasar de una especie de «empate permanente» con los atacantes a un escenario en el que los defensores empiecen a acumular ventaja. La compañía sostiene que con herramientas como Mythos, «los defensores finalmente tienen la oportunidad de ganar» de manera más contundente si logran integrar bien estos sistemas en sus procesos habituales de desarrollo y revisión.
El uso de Claude Mythos también apunta a un alivio parcial de un problema que afecta tanto a empresas europeas como a organizaciones globales: la escasez de investigadores de seguridad de élite. Localizar fallos críticos en grandes bases de código requiere tiempo y perfiles muy especializados, algo que muchas entidades no pueden conseguir con facilidad. La IA actúa aquí como un multiplicador de capacidad para equipos que ya estaban saturados.
En última instancia, la experiencia de Firefox 150 ilustra una transición en marcha hacia un modelo de ciberseguridad donde las auditorías impulsadas por inteligencia artificial se convierten en rutina, especialmente en proyectos de código abierto con millones de usuarios en Europa y fuera de ella. Para el usuario medio, puede que la actualización sea «una más» en el gestor de software, pero detrás hay un cambio de enfoque: máquinas revisando código a un ritmo inasumible para cualquier equipo humano, con el objetivo de tapar agujeros antes de que otros sistemas automáticos, menos benévolos, los encuentren.
Firefox 150 queda así como un hito simbólico de esta nueva etapa: una versión del navegador que incorpora cientos de correcciones fruto del trabajo conjunto entre ingenieros humanos e inteligencia artificial avanzada, en la que la seguridad deja de ser solo reacción y empieza a apoyarse en auditorías proactivas a gran escala, con un impacto directo sobre la protección de millones de usuarios europeos que utilizan el navegador a diario para navegar, trabajar o gestionar sus finanzas en línea.
