En la mitología de Silicon Valley, toda revolución tecnológica llega envuelta en una seductora promesa: el viejo orden desaparecerá en cuestión de años (o meses). Los ejemplos del pasado son abundantes: los motores de búsqueda de contenido reemplazarían a las bibliotecas; el comercio electrónico acabaría con las tiendas de compras físicas; la computación en la nube desplazaría a los servidores corporativos; y los ejemplos siguen.
Ahora se nos dice que la inteligencia artificial pronto podría volver innecesarios a ejércitos enteros de analistas de ciberseguridad, pues acaba de demostrar su capacidad para encontrar fallas de software de manera más rápida, más barata, y más eficiente que cualquier equipo humano.
Es una teoría elegante: limpia, lógica, casi irresistible.
Sin embargo, como ocurre con muchas teorías de esta naturaleza, empieza a tambalearse cuando se encuentra frente a frente con el mundo real.
En este caso, además, aparece una pregunta incómoda: si el miedo al nuevo riesgo digital dispara una ola de gasto defensivo, ¿quién gana realmente con la narrativa de la amenaza?
El Caso Mythos y la Nueva Realidad
Cuando en febrero pasado el experto informático contratado por Anthropic para someter a prueba sus modelos y comprobar si los hackers podrían utilizarlos para espionaje, robo o sabotaje tuvo a la vista los resultados, quedó impactado por las capacidades del nuevo modelo Mythos: resultó que era capaz de crear de forma autónoma potentes herramientas de intrusión, incluso contra Linux, el código abierto que sustenta la mayor parte de la informática moderna, y no solo eso. Mythos orquestó el equivalente digital de un robo bancario: sorteó los protocolos de seguridad y entró por la puerta principal de las redes, irrumpiendo en bóvedas digitales que le dieron acceso a sus tesoros en línea. En una prueba, incluso, habría intentado escapar de un entorno controlado y alcanzar por sí mismo el internet abierto.
La IA ya había abierto cerraduras, pero ahora podía llevar a cabo un atraco completo.
En los días siguientes, se siguieron descubriendo fallos críticos y de alta gravedad en los diversos sistemas que Mythos analizaba, el tipo de fallos que incluso habían permanecido desapercibidos durante décadas para los mejores hackers del mundo.
Se dieron cuenta entonces de que el mayor riesgo que suponía Mythos era para la ciberseguridad. Según se dijo, los esfuerzos que antes requerían semanas para identificar “vulnerabilidades de día cero” (se denominan así porque permanecen desconocidas para los defensores, quienes, por lo tanto, no tienen tiempo para solucionarlas una vez que aparecen) y escribir código para explotarlas, ahora pueden demandar tan solo una hora, o incluso minutos.
Ante esto, la dirección de Anthropic consideró que lanzar Mythos al mercado general, sin restricciones, suponía un riesgo demasiado grande. Previamente, informaron a altos funcionarios del gobierno estadounidense sobre todas las capacidades de Mythos Preview, incluidas sus aplicaciones cibernéticas tanto ofensivas como defensivas. El Secretario del Tesoro de Estados Unidos, Scott Bessent, y el presidente de la Reserva Federal, Jerome Powell, convocaron a líderes de Wall Street a una reunión en Washington. El mensaje: utilicen Mythos para descubrir sus puntos débiles… ¡ahora mismo!
Goldman Sachs Group Inc., Citigroup Inc., Bank of America Corp. y Morgan Stanley se encuentran entre las instituciones financieras que están probando la tecnología internamente, según informó Bloomberg News.
La decisión de Anthropic de retener para sí la “versión full” de Mythos podría ser recordada algún día como un temprano punto de inflexión: aquel momento en el cual la industria de la IA reconoció en voz baja que algunas de sus creaciones más poderosas podrían valer más como armas de ataque cibernético (o su contraparte, como instrumentos de defensa digital), que como productos utilitarios de consumo general.
Paralelamente, en su faz comercial, la historia más importante gira en torno a lo que Mythos podría estar significando para la industria de la ciberseguridad, valuada en cientos de miles de millones de dólares, y sostenida por una lógica tan antigua como rentable: cuanto mayor el miedo (y si es pánico, mejor), mayor el presupuesto.
Descubrir Fallas No Es lo Mismo que Proteger Empresas
A primera vista, podría disculparse a los inversores por suponer que sistemas como Mythos representan malas noticias para los grandes actores ya establecidos. Si Wall Street o el propio gobierno estadounidense pueden, mediante la utilización de Myhtos o modelos equivalentes, descubrir instantáneamente debilidades en código, escanear redes, simular ataques y exponer vulnerabilidades a velocidades vertiginosas ¿por qué seguirían pagando las corporaciones grandes sumas a proveedores de seguridad? ¿Por qué no dejar que los algoritmos hagan el trabajo?
La respuesta es una sola: descubrir vulnerabilidades no es lo mismo que construir y garantizar la seguridad de una empresa.
Encontrar el agujero en la pared es apenas el comienzo. Alguien todavía debe reforzar esa pared, vigilar intrusos, administrar identidades, parchear miles de sistemas sin paralizar operaciones, contener brechas activas, satisfacer reguladores, y responder cuando algo inevitablemente sale mal a las tres de la mañana.
Esa misión más amplia sigue siendo desordenada, continua, organizacionalmente compleja y profundamente humana. La IA puede acelerar el diagnóstico, pero el tratamiento todavía requiere de un perfecto sistema operativo de defensa.
Es aquí donde aparece el primer dato interesante: las herramientas que descubren problemas pueden abaratar una parte del trabajo, pero al mismo tiempo multiplican el volumen total de tareas posteriores. Lo que parecía sustitución puede terminar siendo expansión de demanda.
La Economía del Miedo Tecnológico
Los mercados conocen este mecanismo desde hace décadas. Cada vez que surge una nueva amenaza sistémica, aparecen dos tipos de ganadores: quienes la combaten y quienes venden la capacidad de combatirla.
Ocurrió con el ransomware, con el fraude digital, y con la privacidad de datos. Y podría ocurrir ahora con la IA ofensiva.
No hace falta imaginar una conspiración vulgar, con conciliábulos secretos en habitaciones oscuras. Basta con algo mucho más sofisticado y habitual: incentivos alineados. Las empresas de ciberseguridad no necesitan crear el riesgo, les alcanza con prosperar dentro de él.
Si cada avance como Mythos convence a directorios, bancos, empresas de servicios, hospitales, fabricantes y gobiernos de que están más expuestos que ayer, el resultado es previsible: más presupuesto, más compras urgentes, más contratos plurianuales y, por supuesto, menor resistencia al precio.
En Wall Street, eso tiene un nombre sencillo: cuenta de ganancias.
La Analogía Médica
Una comparación útil proviene de la medicina. Si un escáner revolucionario de repente fuera capaz de detectar diez veces más tumores que antes, los hospitales no se volverían obsoletos, sino más atareados. Más diagnósticos significarían más cirujanos, más especialistas, más planes de tratamiento, más urgencia y más gasto.
La ciberseguridad podría estar encaminándose por el mismo sendero.
Imaginemos a un banco global utilizando una herramienta similar a Mythos y descubriendo no ya diez vulnerabilidades, sino mil. Eso no reduciría la necesidad de protección; por el contrario, casi con certeza la aumentaría.
Los equipos de seguridad ya lidian con escasez de talento, fatiga de alertas, infraestructuras tecnológicas extensas, sistemas heredados y atrasos en la aplicación de parches. Si la IA comienza a revelar cantidades enormes de nuevas debilidades, muchas empresas necesitarán mayores presupuestos, más automatización y relaciones más profundas con los proveedores, simplemente para absorber la nueva carga de trabajo.
Es decir: cuanto mejor funciona el detector, más se llena la sala de emergencias.
Los Posibles Ganadores del Nuevo Escenario
Toda esta dinámica luce muy favorable para los líderes ya establecidos de la industria.
CrowdStrike Holdings Inc. ha construido una franquicia formidable en seguridad de endpoints mediante su plataforma Falcon y una red de telemetría que abarca millones de dispositivos. Palo Alto Networks Inc. combina firewalls, seguridad en la nube, operaciones de seguridad y amplio alcance corporativo. Fortinet Inc. sigue siendo una fuerza poderosa en defensa de redes. Zscaler Inc. está profundamente integrada en el auge de las arquitecturas zero-trust. Microsoft Corporation, casi silenciosamente, se ha convertido en uno de los mayores proveedores de seguridad del mundo gracias a la atracción gravitacional de su ecosistema empresarial.
Cuando las amenazas se aceleran en velocidad y complejidad, los usuarios suelen migrar hacia la escala y la confianza. Buscan proveedores con océanos de datos, plataformas integradas, y ejércitos de equipos probados de respuesta a incidentes y capacidad de automatizar múltiples capas de defensa.
En un entorno así, la IA podría fortalecer a las plataformas de ciberseguridad más grandes, mucho más de lo que las debilita, y así consolidar un mercado donde los grandes jugadores se agigantan en proporción directa al aumento del miedo y las vulnerabilidades.
Los proveedores de seguridad están cada vez mejor posicionados para vender copilotos de IA para centros de operaciones de seguridad, caza autónoma de amenazas, gestión predictiva de vulnerabilidades y respuesta automatizada a incidentes.
En otras palabras, la IA no es simplemente algo que les sucede a las empresas de ciberseguridad. Se está convirtiendo rápidamente en algo que ellas pueden empaquetar, valorar y vender.
No Todos Ganarán
Por supuesto, eso no significa que todos resulten ganadores.
Empresas muy especializadas en soluciones puntuales, enfocadas principalmente en pentesting (utilización de especialistas que intentan hackear una red, sistema o aplicación para descubrir sus puntos flacos antes que los atacantes reales) realizado por humanos, escaneo independiente de vulnerabilidades, auditorías repetitivas de código o consultoría de bajo valor, podrían enfrentar una presión muy concreta si la IA puede realizar esas tareas más rápido y a menor costo.
Las ofertas comoditizadas siempre han sido vulnerables cuando llega la automatización, y esta ola podría no ser la excepción.
En contraste, plataformas diversificadas con amplias suites de productos, relaciones sólidas con clientes y capacidad de integrar IA en flujos de trabajo existentes podrían emerger más fuertes que antes.
Como suele ocurrir en los mercados, la innovación no elimina necesariamente a los incumbentes, sino que termina aniquilando a los pequeños competidores.
Lecciones del Pasado y Riesgos del Futuro
Existe un claro precedente para este patrón. El ransomware no destruyó a los proveedores de ciberseguridad, sino que alimentó la demanda por ellos. Cada gran escalada en amenazas digitales —desde olas de phishing hasta intrusiones estatales y errores de configuración en la nube— históricamente ha incrementado el gasto en defensa, en lugar de eliminarlo.
El riesgo cibernético impulsado por la IA podría seguir el mismo libreto, solo que a un ritmo mucho más veloz.
Las implicancias macroeconómicas son serias. Si sistemas como Mythos reducen drásticamente el costo y la habilidad que los hackers necesitan para atacar la infraestructura digital, entonces bancos, empresas de servicios domiciliarios e industriales, hospitales, fabricantes, firmas logísticas y gobiernos podrían estar entrando en una era de gasto exponencial en ciberseguridad, transformándose aún más en parte del costo estructural de hacer negocios.
Conclusión
Para los inversores, eso cambia por completo el marco de análisis. La pregunta central quizá ya no sea si la IA amenaza a las empresas de ciberseguridad, sino al revés: la IA ampliándoles su mercado direccionable, profundizando la dependencia de sus clientes y convirtiendo, en definitiva, a la defensa digital en uno de los gastos recurrentes definitorios de la era digital.
Durante años, la suposición dominante fue que la inteligencia artificial automatizaría y reemplazaría a los guardianes. La posibilidad emergente es más inquietante, y también más rentable.
Podría obligar a cada empresa a contratar más de ellos, y en mayor escala. Si esto resulta cierto, entonces los verdaderos ganadores de la revolución de la IA quizá no sean las máquinas que rompen las cerraduras.
Tal vez sean, una vez más, quienes venden las llaves, las alarmas… y la necesidad de comprarlas.
