Mythos no es un modelo más de inteligencia artificial. Se trata, si atendemos a la información disponible y a las reacciones que ha provocado, una herramienta capaz de identificar vulnerabilidades de día cero en sistemas operativos, navegadores e infraestructuras críticas a una escala que hasta ahora asociábamos a equipos humanos muy especializados, con mucho tiempo, mucho presupuesto y un altísimo nivel de conocimiento. Lo importante no es si Anthropic ha exagerado más o menos sus capacidades. Lo importante es que el umbral ha cambiado. La búsqueda de vulnerabilidades, que antes era una actividad artesanal escasa y costosa, comienza a convertirse en un proceso industrializable.

Cuando una actividad se industrializa, deja de depender de unos pocos expertos. Se vuelve más barato, más rápido y más distribuido. Y eso, en ciberseguridad, altera por completo el equilibrio. Atacar siempre ha sido más fácil que defender: sólo hay que encontrar una manera de entrar, mientras que defender requiere protegerlos a todos. Pero si la búsqueda de esa vía de entrada también puede automatizarse con modelos capaces de probar, iterar, encadenar fallos y generar hazañasentonces las organizaciones que no tienen acceso a herramientas equivalentes quedan en una posición simplemente inaceptable.

La búsqueda de vulnerabilidades, que antes era una actividad artesanal escasa y costosa, comienza a convertirse en un proceso industrializable

Por eso el debate sobre si las empresas europeas deberían tener acceso a Mythos, o a herramientas comparables, no es un capricho corporativo ni una petición de igualdad simbólica. Es una necesidad estratégica. Un banco europeo, una empresa energética, un operador de telecomunicaciones o una Administración Pública no pueden defenderse de un tipo de ataque que no pueden simular. No pueden evaluar su exposición frente a las capacidades que otros sí poseen. No pueden esperar a que un proveedor estadounidense les diga, cuando lo considere oportuno, qué vulnerabilidades ha encontrado en tecnologías que ellos también utilizan. En seguridad, depender de la cortesía de otro es una forma elegante de pedir impotencia.

La negativa de Washington a ampliar el acceso europeo, aunque sus propias agencias y empresas puedan utilizar la herramienta, revela algo profundamente incómodo en la relación transatlántica. Estados Unidos se presenta como un aliado, pero cada vez más actúa como dueño de las condiciones de seguridad de otros. La alianza funcionará mientras Europa acepte, alinee y acepte el papel de socio subordinado. Pero cuando aparece una tecnología crítica, de doble uso, capaz de alterar el equilibrio defensivo de sectores enteros, la respuesta no es la cooperación entre iguales, sino el control unilateral.

Estados Unidos se presenta como un aliado, pero cada vez más actúa como dueño de las condiciones de seguridad de otros.

Es comprensible que una herramienta como Mythos no pueda ponerse en circulación sin restricciones. Sería irresponsable. Pero, precisamente por eso, la cuestión no debería depender de una decisión administrativa de la Casa Blanca ni de los incentivos comerciales de una empresa privada. Si el argumento es que el acceso debe controlarse estrictamente, entonces crear mecanismos de acceso que sean controlados, auditados, monitoreados y limitados a usos defensivos. Lo que no es aceptable es que el control se traduzca en una frontera política: acceso para los nuestros, esperando a los demás.

Europa debería leer este episodio como lo que es: una advertencia. No basta con pedir acceso. Solicitar acceso es necesario a corto plazo, porque Las amenazas no van a esperar a que Bruselas complete otro ciclo de consultas. Pero la verdadera respuesta debe ser mucho más ambiciosa: desarrollar nuestra propia capacidad. Capacidad técnica, regulatoria, industrial y militar. Modelos europeos especializados en ciberdefensa, infraestructuras de evaluación, entornos seguros para uso de empresas críticas, colaboración obligatoria con mantenedores de software supervisión pública abierta y seria, no meros códigos voluntarios escritos por los mismos actores a quienes se pretende supervisar. De hecho, es precisamente ese factor, el código abierto, el que Europa naturalmente, según su filosofía, debería aprovechar tanto como sea posible.

La paradoja es evidente: la herramienta que mejor puede defender un sistema es también una herramienta que puede atacarlo. Pero esta paradoja no se resuelve negando el acceso a quienes deben defenderse. Se resuelve creando instituciones capaces de gestionar las tecnologías de doble uso con criterios democráticos, transparentes y proporcionados. Europa lleva años regulando tecnologías que no controla. Quizás sea hora de controlar algunas de las tecnologías que regula.

El caso Mythos debería poner fin a una peligrosa ingenuidad: la de creer que la alianza con Estados Unidos equivale automáticamente a seguridad compartida. Esto ya no es así, ni en la ciberseguridad ni en la seguridad convencional. En un mundo donde la inteligencia artificial convierte la ciberseguridad en una carrera de velocidad, el aliado que te impide correr no te protege: te deja atrás. Y cuando hablamos de bancos, infraestructuras críticas y servicios esenciales, quedarse atrás no es una opción estratégica. Es una vulnerabilidad.

***Enrique Dans es profesor de Innovación en IE University.