Anthropic anunció Mythos Preview el 7 de abril, pero luego dijo que no lo lanzaría. El modelo detectó miles de vulnerabilidades hasta entonces desconocidas, creó cadenas de exploits funcionales sin ayuda humana y sacó a la luz errores que habían pasado desapercibidos tras 27 años de revisión manual en OpenBSD.

Ya lo sabes. Tu bandeja de entrada lleva semanas llena de mensajes al respecto. Todo el mundo habla de lo que supone Mythos para la superficie de ataque.

Casi nadie habla de lo que esto supone para la recuperabilidad.

Esa es la conversación que hay que mantener, porque cambia de un plumazo el debate en la junta, el debate sobre el presupuesto y el debate sobre los seguros.

Mythos no es un caso aislado. Cinco meses antes del anuncio de Mythos Preview, Anthropic reveló la primera campaña de espionaje orquestada por IA. Un grupo afiliado al Estado chino utilizó Claude Code como motor operativo, dirigiéndose a unas 30 organizaciones. La IA gestionó entre el 80 y el 90 % del trabajo de forma autónoma. Dos meses antes, Anthropic documentó a un ciberdelincuente que utilizaba Claude Code para llevar a cabo operaciones de extorsión de datos contra 17 organizaciones de los sectores gubernamental, sanitario y de servicios de emergencia.

Anthropic prevé que otros laboratorios alcancen capacidades ofensivas equivalentes en un plazo de entre 6 y 18 meses. Además, los investigadores del Instituto Alan Turing han señalado la rapidez con la que los modelos controlados pueden copiarse, modificarse o desprotegerse una vez que capacidades similares lleguen a los ecosistemas públicos.

Si en los documentos que presentas al consejo de administración sigues planteando la IA de vanguardia como una amenaza futura, es hora de actualizar esas diapositivas de PowerPoint. La tecnología ya existe. La única variable es el tiempo que tardará en generalizarse.

La respuesta de Mythos tiene un punto ciego

El debate posterior a Mythos ha seguido un patrón previsible. Si la IA acorta los plazos de los ataques, los defensores necesitan una detección acelerada por la IA, alertas más rápidas y respuestas más automatizadas.

Esa lógica es correcta, dentro de lo que cabe. La detección es importante. La rapidez es importante. Nadie está reinventando la rueda con este tipo de consejos.

Pero la mayor parte del debate gira en torno a dos variables: la rapidez con la que pueden actuar los atacantes y la rapidez con la que los defensores pueden detectarlos. La hipótesis de trabajo subyacente es que reducir la brecha de detección permite mantener a flote la empresa.

Hemos estado presentes cuando esa suposición se ha desmentido.

El equipo de recuperación de Fenix24 ha observado cómo organizaciones con centros de operaciones de seguridad (SOC) consolidados, una sólida cobertura de EDR y una detección rápida seguían sin funcionar durante semanas. Aunque la detección funcionó según lo previsto, Active Directory quedó inutilizado, las copias de seguridad fueron cifradas, las cadenas de dependencia no estaban claras y nadie podía afirmar con certeza qué era lo que había que restablecer primero ni cuánto tiempo llevaría.

El Instituto de Seguridad de la IA del Reino Unido evaluó a Mythos de forma independiente y determinó que había completado una simulación de intrusión en la red corporativa de 32 pasos en 3 de cada 10 intentos, un hito que ningún modelo anterior había alcanzado. El AISI también señaló que las evaluaciones se llevaron a cabo en entornos simplificados, sin defensas por capas ni personal de respuesta.

Bruce Schneier calificó a Mythos de «inevitable y previsible» y argumentó que las verdaderas lecciones no han cambiado. Las organizaciones siguen necesitando una buena arquitectura, el principio del privilegio mínimo, una documentación adecuada y pruebas continuas. Bain se expresó en términos similares, señalando que las propias pruebas de AISI revelaron que Mythos no podía ejecutar de forma fiable ataques autónomos contra defensas bien reforzadas y que la mayoría de las empresas deberían empezar por resolver los problemas antiguos.

Tienen razón… pero aún falta un aspecto fundamental.

Recuperación.

La detección te indica que algo está sucediendo. La recuperación determina si la empresa se recupera. El sector sigue tratando estos aspectos como cuestiones independientes. En un incidente real, se trata de partes secuenciales de un mismo suceso. Y, desde hace años, la segunda parte ha recibido menos financiación y se ha sometido a menos pruebas que la primera.

Los entornos reforzados encarecen la tarea a los atacantes, pero si no has puesto a prueba tu capacidad de recuperación, es posible que no sepas de qué lado de esa línea te encuentras hasta que llegue el peor momento posible.

Ya no hay margen para fingir que la recuperación se resolverá por sí sola.

Ahora es más fácil mantener tres conversaciones a la vez

Mythos abre una oportunidad en la que resulta más fácil promover la inversión en recuperación de lo que lo ha sido en años. Estas son las conversaciones que hay que impulsar ahora mismo.

La conversación en la junta directiva

Antes, los consejos de administración solían preguntar: «¿Pueden nuestras herramientas detectar el ataque?». Ahora quieren saber: «¿Podrá la empresa recuperarse?».

Este cambio abre la puerta a un debate que la mayoría de los programas de seguridad han estado evitando. La mayoría de los equipos de seguridad pueden informar sobre los indicadores de detección. Sin embargo, son muchos menos los que pueden informar sobre los indicadores de recuperación con la misma seguridad.

Si nunca has puesto a prueba tu tiempo de recuperación en un escenario realista (compromiso de Active Directory, ataques a las copias de seguridad, deterioro de las comunicaciones), dilo y propone la prueba. Los consejos de administración responden mejor a un mensaje del tipo «hemos identificado esta deficiencia y así es como podemos subsanarla» que al descubrimiento de la deficiencia durante un incidente real.

La charla sobre seguros

Las aseguradoras de ciberseguros se interesan cada vez más por la capacidad de recuperación, y no solo por los controles de prevención. Los cuestionarios de solicitud empiezan a indagar sobre la viabilidad de las copias de seguridad, los tiempos de recuperación operativos (RTO) probados y la secuencia de recuperación.

Si puede demostrar una capacidad de recuperación contrastada (copias de seguridad inmutables, restauración validada, dependencias mapeadas y un tiempo de recuperación cuantificado), estará en una posición más sólida en lo que respecta a la cobertura, las primas y las exclusiones. Si no puede hacerlo, los actuarios de la aseguradora reflejarán esa incertidumbre en el precio de su póliza.

Además, varias aseguradoras están empezando a exigir pruebas de recuperación como condición para la cobertura, y no solo pruebas de los procesos de copia de seguridad. Si se acerca la fecha de renovación, un informe de recuperación contrastado tiene más valor que un panel de control con todo en verde.

El debate sobre la regulación

Las normas de divulgación de la SEC ya exigen que los incidentes de ciberseguridad de importancia significativa se notifiquen en un plazo de cuatro días hábiles. ¿Con qué rapidez se puede determinar la importancia significativa cuando los sistemas están inactivos y la información es incompleta?

La DORA (dirigida a cualquier entidad con exposición al sector financiero de la UE) va más allá, ya que exige a las organizaciones que demuestren su resiliencia operativa digital mediante pruebas basadas en escenarios. La capacidad de recuperación se recoge expresamente en el reglamento, no se da por sentada.

La tendencia es clara en todas las jurisdicciones. Los organismos reguladores están pasando de preguntar «¿tenías un plan?» a «¿lo has probado y puedes demostrar los resultados?». Un plan de restablecimiento del servicio (RTO) documentado que nunca se ha validado se está convirtiendo en un riesgo tanto normativo como operativo.

¿Y ahora qué?

El modelo que sucederá al Mythos será mejor en todos los aspectos.

Esa es la trayectoria que todos los laboratorios pioneros han publicado en los últimos tres años, y nada en Mythos sugiere que la curva se esté aplanando. Anthropic decidió no publicar esta. El próximo laboratorio que alcance una capacidad equivalente podría tomar una decisión diferente. O la capacidad se filtra. O se reproduce de forma independiente. La cuestión de la contención es interesante, pero no es la que debería quitarte el sueño.

Cuando la capacidad ofensiva se convierte en un producto básico y se automatiza, hay que preguntarse: «¿Qué pasa después de que nos ataquen?».

Las organizaciones que sabrán gestionar bien esta nueva fase son aquellas que abordan la recuperación como una disciplina de ingeniería con el mismo rigor que aplican a la detección y la respuesta. Ese es el factor diferenciador. De hecho, siempre lo ha sido. Mythos y la IA de vanguardia simplemente han eliminado la última excusa razonable para no actuar en consecuencia.

Resiliencia y recuperación en un mundo tras Mythos

La mayoría de las hipótesis sobre la resiliencia y la capacidad de recuperación fracasan cuando se produce un ataque real.

• Resulta que las «copias de seguridad inmutables» no son tan inmutables después de todo.
• No solo se pierden los datos, sino que también se destruye la infraestructura.
• Una identificación insuficiente de los activos y las dependencias provoca días o semanas de inactividad.
• Los RTO y los RPO no son realistas.

Los analistas lo analizan todo en lo que respecta al futuro de la resiliencia. ¿Quieres conocer el plan para diseñar y poner en práctica una verdadera ciberresiliencia? Descarga el nuevo informe de validación técnica de Omdia: «Diseña y pon en práctica la resiliencia con Fenix24».

Averigua cuál es tu situación antes de que se produzca una filtración

Fenix24 ha desarrollado nuestras evaluaciones, nuestras herramientas y nuestro programa de ciberresiliencia a partir de los patrones que hemos observado en más de 1.000 casos de violaciones de seguridad.

Nuestra evaluación de resiliencia se ha creado porque las evaluaciones de seguridad estándar no abordan lo que realmente importa durante un ataque de ransomware. No necesitas una auditoría superficial de las defensas perimetrales o las herramientas de detección. Necesitas saber si tu empresa sobrevivirá a su peor día. Gracias a Argos99, nuestra plataforma de resiliencia de nivel empresarial, esta evaluación te ofrece una visibilidad sin igual sobre:

Resistencia de las copias de seguridad. ¿ Son capaces tus copias de seguridad de resistir a un atacante que haya analizado el entorno y disponga de credenciales con privilegios? ¿Puedes restaurar los datos a partir de ellas cuando el resto del entorno se vea comprometido?

Mapeo de dependencias y secuencia de recuperación. ¿Dispones de un modelo actualizado que refleje qué elementos dependen de cuáles? ¿Y el orden de recuperación se basa en esas relaciones o en suposiciones que nadie ha comprobado?

Recuperación de la infraestructura de identidades. ¿Podrías reconstruir Active Directory desde cero? ¿Cuánto tiempo llevaría? ¿Tu equipo sería capaz de llevar a cabo ese proceso bajo presión?

Capacidad de recuperación operativa. ¿ Es capaz el equipo de planificar y llevar a cabo la recuperación con comunicaciones limitadas e información incompleta? ¿Se ha calculado cuánto tiempo lleva hacerlo?

Análisis de las deficiencias en la recuperación. ¿En qué puntos fallan los planes? ¿Qué deficiencias suponen un mayor riesgo? ¿Qué es lo que hay que solucionar primero?

¿Listo para poner a prueba su capacidad de recuperación? Solicite hoy mismo su evaluación de resiliencia. Póngase en contacto con nosotros llamando al 423.305.7890 o enviando un correo electrónico a info@fenix24.com.