Anthropic publicó hace tres días la primera actualización cuantificada sobre Project Glasswing. Los números del titular resetean lo que cada CISO debería estar haciendo este trimestre.
En aproximadamente un mes de uso de la coalición, Claude Mythos Preview surfaceó más de 10.000 vulnerabilidades de severidad alta o crítica en el software más usado de internet. La tasa de true-positive post-triage es 90,6 %. Cloudflare solo reportó unos 2.000 bugs, 400 altos o críticos. Mozilla fixeó 271 vulnerabilidades en Firefox 150 — diez veces lo que se encontró en Firefox 148. wolfSSL, una librería de criptografía corriendo en miles de millones de dispositivos, tuvo un path de falsificación de certificados identificado. En un banco partner, Mythos previno en tiempo real una transferencia fraudulenta de USD 1,5 millones. El UK AI Security Institute confirmó que Mythos completa autónomamente tareas de cyber-range nivel experto end-to-end.
Y la sola línea que todos están citando:
“El progreso en seguridad de software solía estar limitado por qué tan rápido podíamos encontrar vulnerabilidades. Ahora está limitado por qué tan rápido podemos parchearlas — los maintainers nos están pidiendo que vayamos más despacio porque no pueden parchear lo suficientemente rápido.”
El post que define el carril en X esta semana vino de @dannylivshits, ex-líder de red team GenAI de Meta: “10.000 vulnerabilidades críticas en 30 días. 75 parcheadas. Tu nueva superficie de ataque vive en el pipeline de parcheo. Planea para la filtración. Usa los próximos 90 días.” Ese encuadre — pipeline de parcheo como la nueva superficie de ataque — es el que tu equipo AppSec va a escuchar de cada dirección por el resto del año.
Para CISOs en LatAm y España, hay capas regulatorias adicionales. En México: la Resolución CONSAR sobre tecnología en AFOREs y los lineamientos de CNBV sobre riesgos tecnológicos en bancos. En Brasil: la LGPD Art. 46 sobre medidas de seguridad y la Resolução BCB 4658 para instituciones financieras. En España: el RD 311/2022 (ENS — Esquema Nacional de Seguridad) y la transposición de NIS2 en curso. La definición de “estado del arte” para identificación de vulnerabilidades sube en altura desde la publicación del reporte Glasswing. “No sabíamos” deja de ser una respuesta aceptable para tu regulador a partir de Q3.
Aquí está la pregunta de procurement que cada CISO, VP-AppSec, líder DevSecOps y arquitecto de seguridad de plataforma tiene sobre la mesa en el ciclo de presupuesto Q3: ¿qué hacemos con esto? Tres opciones están sobre la mesa, ninguna es obvia, y el SERP está lleno de explicadores pero vacío de una tabla de decisión. Esta es la tabla de decisión.
La tabla de decisión de 3 opciones
| Dimensión | Opción 1: Aplicar a la lista de espera del partner Glasswing | Opción 2: Desplegar Claude Security en beta pública | Opción 3: Esperar Mythos GA (julio) y reevaluar |
|---|---|---|---|
| Tiempo a primera señal | 4-8 semanas antes que GA | Esta semana | Después de julio-GA + 30-60 días de evaluación |
| Compromiso | Compartir hallazgos con coalición | API metered + seat licensing TBD | Ninguno |
| Integración con SAST/SCA existente | Coordinado por coalición; variable | Junto a Snyk / Semgrep / CodeQL / GitHub Advanced Security | Decidir post-GA |
| Riesgo de falso-positivo | Vetado por coalición (90,6 % TP rate baseline) | Beta — esperar ruido + spike de fatiga de alertas | Mitigado por SLA post-GA |
| Absorción de volumen de parches | Alto — coalición está enviando volumen serio | Alto — absorbes el salto 10x solo | Ninguno hasta que despliegues |
| Postura regulatoria / auditoría | Agrega atestación; algunas orgs necesitan revisión legal | Beta software en producción regulada = riesgo | Postura defensable “esperamos GA” |
| Costo sobre 12 meses | Compartido por coalición — compromiso no-monetario | $TBD; precios Anthropic usage-based | Ninguno hasta decisión |
| Headcount requerido | 1-2 ingenieros AppSec adicionales para absorber volumen | 2-3 ingenieros mínimo | 0 ahora |
| Buen fit para | F500 regulados, vendors de seguridad, equipos AppSec maduros | Equipos AppSec con SCA maduro ya en pie | Orgs compliance-gated, equipos sumergidos en backlog existente |
| Riesgo de no hacer nada | Coalición se cierra alrededor de ~52 partners; ventana se estrecha | Competidores ganan 5-6 semanas de ventaja en vuln-prevention | Trimestre de catch-up post-GA |
Tres de esas filas merecen más que una celda.
Sobre riesgo de falso-positivo (fila 4). La tasa de true-positive 90,6 % es la baseline de coalición después de triage humano — significando que los equipos SOC partner están absorbiendo la labor de triage. Cuando Claude Security beta aterrice dentro de tu propio SDLC, tú absorbes la labor de triage. Planea para 8-12 % de overhead de falso-positivo en tu ventana inicial de 30 días, lo cual se traduce en horas-ingeniero reales cada día si tu base de código es grande. La mitigación: stage el rollout a uno o dos servicios primero, instrumenta la tasa de falso-positivo honestamente, y solo expande después de que el costo de revisión-humana-por-hallazgo caiga bajo un umbral aceptable.
Sobre absorción de volumen de parches (fila 5). La historia del throttle de maintainers es el canario. Microsoft ya declaró públicamente que los volúmenes de parche tendran tendencia más grande por un tiempo. Si tu equipo actualmente absorbe 50-100 vulnerabilidades altas/críticas por trimestre, prepárate para un aumento 5-10x bajo escaneo Mythos-class sostenido. Eso no es un problema de tooling; es un problema de headcount. La conversación con CFO pertenece al ciclo de presupuesto FY27, no FY28.
Sobre la fila del riesgo de no-hacer-nada. “No sabíamos” está volviéndose una defensa de auditoría más débil rápidamente. Una vez que Mythos GA aterrice en julio y la tecnología esté ampliamente disponible, el estándar implícito de cuidado para tu programa de seguridad sube un escalón. Los reguladores (CNBV, CONSAR, SUSEP, Banco de España, CNMV) y los demandantes de clase ambos trabajan hacia atrás desde lo que era razonablemente disponible.
Cómo elegir: 5 preguntas para correr con tu equipo esta semana
1. ¿Cuál es tu velocidad actual de parcheo de vulnerabilidades críticas? Si estás parcheando vulnerabilidades críticas dentro de 14 días actualmente, tienes capacidad de absorción para considerar Opción 2 (beta de Claude Security) seriamente. Si tu promedio es 60+ días, la secuencia racional es Opción 3 (esperar GA) más una conversación inmediata de contratación sobre capacidad de absorción.
2. ¿Es tu stack AppSec existente suficientemente maduro para coexistir con otro scanner? El output Mythos-class va junto a Snyk, Semgrep, CodeQL, GitHub Advanced Security, Checkmarx — no como reemplazo. Si tu equipo actualmente está corriendo 1 herramienta SAST y forcejeando, capear con Claude Security beta crea más volumen de alerta del que tu proceso de triage puede manejar.
3. ¿Tienes un entorno de producción regulada que prohíba software beta? Banca, salud, defensa, infraestructura crítica típicamente tienen políticas escritas contra el despliegue de tooling beta contra código de producción. En LatAm: la Resolução BCB 4658 (Brasil) y la Circular Única de Bancos (México) explícitamente requieren documentación de gestión de riesgos para software no-GA en producción crítica. En España: el ENS bajo categoría ALTA prohíbe beta sin evaluación de riesgo formal. Si Opción 2 está off the table por razones de compliance, Opción 1 (lista de espera) y Opción 3 (esperar GA) son tus únicas opciones.
4. ¿Está tu presupuesto FY27 cerrado, o hay un suplemento Q3? Tanto Opción 1 como Opción 2 requieren headcount AppSec para absorber el volumen de hallazgos. Si tu presupuesto FY27 está cerrado y tu CFO no tiene apetito de suplementario, Opción 3 es la única respuesta honesta — y el próximo ciclo de planeación es cuando lo arreglas.
5. ¿Eres un vendor de seguridad o un cliente de uno? Vendors de seguridad deberían aplicar a Opción 1 incondicionalmente — la posición de coalición es estratégica para cualquier empresa cuyo producto se superponga con la capacidad de Mythos.
El reframe “el pipeline de parcheo es la nueva superficie de ataque”
Lo más consecuente del encuadre de @dannylivshits no son los números. Es que el modelo de amenaza se invirtió. Por 25 años, AppSec asumió atacante tiene tiempo limitado para encontrar una vuln; defensor tiene meses para parchear. Project Glasswing invierte ambas mitades.
El lado del atacante: cualquier adversario sofisticado ahora tiene acceso a capacidad Mythos-class dentro de 12-18 meses (equivalentes open-source ya se están prototipando; actores estatales desplegarán más rápido). Tiempo-para-encontrar colapsa de meses a días.
El lado del defensor: el tiempo-para-parchear es esencialmente sin cambios. El throughput de maintainers es humano-limitado. La triage AppSec interna es humano-limitada. La ventana de despliegue de parches — staging, regression test, CAB, push a producción — es proceso-limitada.
La implicación CISO: window-of-exposure se vuelve la métrica que importa. No el conteo de vulnerabilidades, no la distribución de severidad, no el mean-time-to-patch por sí solo. El número para poner en el dashboard del board este trimestre es el intervalo de tiempo entre cuándo una vulnerabilidad crítica en nuestro código de producción es descubrible por una herramienta Mythos-class y cuándo nuestro parche está en producción. Cualquier cosa sobre 30 días es ahora un riesgo estructural que necesitas o cerrar o documentar por qué no puedes.
Qué significa esto para ti
Si eres CISO de un banco mexicano supervisado por CNBV o de un banco español bajo Banco de España
Opción 1 — aplicar a lista de espera Glasswing — esta semana. Incluso si beta en producción está off the table, la participación en la coalición misma es una postura defensable ante regulador. Documentas adresamiento activo de riesgo sin desplegar código beta. Paralelo, arranca la conversación de headcount con el CFO para FY27.
Si eres VP-AppSec en una empresa mediana de rápido crecimiento en LatAm
Opción 2 — Claude Security beta — empezar en 1-2 servicios no-críticos. La curva de aprendizaje se paga sola una vez que Mythos GA esté ampliamente disponible. Pero sé honesto sobre la carga de triage y planea headcount en consecuencia.
Si eres líder DevSecOps en un SaaS de 50-200 personas en España
Opción 1 o Opción 2, dependiendo de tu velocidad de parcheo. Bajo 14-días: Opción 2. Arriba: Opción 1 (lista de espera) y en Q3 adicionalmente trabajar en velocidad de parcheo.
Si eres CISO en infraestructura crítica (energía, telecomunicaciones, agua) en LatAm
Opción 1 — lista de espera — inmediatamente. La transposición de NIS2 en España y los lineamientos de operadores críticos en México y Brasil están en interpretación de “estado del arte” en movimiento — la participación en coalición Glasswing es la documentación más limpia de que estás trabajando al estado del arte. La opción 2 está off the table por razones de compliance.
Qué esta tabla de decisión no puede decirte
No puede decirte si Mythos GA realmente sale en julio. Anthropic ya ha movido fechas de roadmap. Planea con posibilidad de 30-60 días de retraso.
No puede darte precios. Anthropic no ha revelado pricing de Claude Security. Planea para una estructura típica de Anthropic basada en uso con licencia floor por seat.
No puede sustituir al consultor de compliance NIS2 y AI Act. Esta tabla es heurística de procurement, no consejería regulatoria. Una vez que tomes una decisión, pasa el lenguaje de cláusula por tu equipo de compliance interno.
La conclusión
Project Glasswing no es el décimo anuncio de Mythos — es el primer cuantificado. 10.000 vulnerabilidades, 90,6 % true-positive rate, maintainers pidiendo ritmo. Eso cambia el estándar de cuidado. Toma la decisión en Q3, no en Q4.
Si estás construyendo el músculo de seguridad de IA en tu equipo — desde threat model hasta vendor risk hasta compliance regulatoria — nuestro Ciberseguridad IA PYMES recorre la disciplina end-to-end.
Fuentes
- Project Glasswing: An initial update — Anthropic, 22 de mayo 2026
- UK AI Security Institute — Claude Mythos Cyber Evaluation
- Forrester — Project Glasswing: las 10 consecuencias sobre las que nadie está escribiendo aún
- CCN-CERT — España, ENS y NIS2
- CNBV México — Circular Única de Bancos y riesgo tecnológico
- Xataka — Análisis sobre IA en ciberseguridad
- Genbeta — Vulnerabilidades y parcheo en cadena de suministro
