Mozilla ha dado un paso llamativo en la carrera por reforzar la seguridad de su navegador: una versión temprana de Claude Mythos Preview, el modelo de inteligencia artificial de Anthropic especializado en ciberseguridad, ha ayudado a localizar nada menos que 271 vulnerabilidades en Firefox. Todos estos fallos se han abordado en la versión 150 del navegador, en lo que supone una de las operaciones de saneamiento más intensas que se recuerdan en un gran proyecto de software abierto.
El volumen de errores detectados no implica que Firefox fuera un navegador descuidado o especialmente inseguro. Más bien deja claro que las nuevas herramientas de IA son capaces de revisar código a una escala y velocidad que desborda los métodos clásicos, apoyando a los equipos humanos en una tarea que, hasta ahora, dependía de muchos meses de trabajo de especialistas. La propia Mozilla insiste en que el papel de estos modelos no es mágico, pero sí lo bastante potente como para cambiar las reglas del juego.
271 vulnerabilidades en Firefox 150: qué ha pasado exactamente
Según ha explicado el CTO de Firefox, Bobby Holley, la revisión con Claude Mythos forma parte de un esfuerzo que el equipo viene realizando desde febrero para identificar vulnerabilidades de seguridad latentes en el navegador antes de que salgan a la luz. En esta evaluación inicial, Mythos Preview analizó código de Firefox 150, incluyendo componentes que aún no se habían publicado, y generó una avalancha de hallazgos que ha obligado a reorganizar prioridades internas.
En los boletines públicos de seguridad de Firefox 150 aparecen más de 40 identificadores CVE, aunque solo algunos fallos críticos están acreditados directamente al modelo de Anthropic. La cifra de 271 vulnerabilidades se refiere al conjunto de problemas descubiertos durante la auditoría automatizada, incluyendo errores que no necesariamente se traducen en un CVE independiente pero que sí afectan a la superficie de ataque del navegador.
Para hacerse una idea de la escala, Mozilla recuerda que una colaboración previa con Claude Opus 4.6 en Firefox 148 había permitido localizar 22 errores de seguridad relevantes. Con Mythos, el salto ha sido de unas doce veces más hallazgos en una sola tanda. La diferencia no está tanto en el tipo de vulnerabilidad, sino en la profundidad y el volumen de código inspeccionado y en la capacidad del sistema para razonar sobre patrones complejos.
Holley admite que, para un objetivo tan protegido como Firefox, un solo fallo grave de los detectados habría sido motivo de alerta roja en 2025. Encontrar cientos de ellos de golpe produce una sensación de vértigo, incluso en equipos veteranos, y abre el debate sobre si será posible mantener el ritmo de corrección que estas herramientas permiten alcanzar.
Una IA que revisa código como un experto… pero a escala de máquina
Hasta ahora, la búsqueda de fallos en navegadores como Firefox se apoyaba en una mezcla de herramientas automatizadas tradicionales (fuzzing, análisis estático) y revisiones manuales realizadas por investigadores de élite. Claude Mythos se sitúa en ese nivel alto de análisis, pero con la capacidad de recorrer enormes bases de código y de combinar pistas que, a una persona, le llevarían semanas o meses de trabajo.
Mozilla subraya un matiz importante: Mythos no está descubriendo una nueva clase de vulnerabilidades inaccesibles para los humanos. Según Holley, todos los fallos detectados podrían haber sido encontrados por un especialista bien formado con tiempo suficiente. Lo que cambia es la escala: una sola herramienta, con un acceso estructurado al código, puede localizar en unas semanas un volumen de errores que, en condiciones normales, se repartiría entre varios ciclos de desarrollo.
Esto encaja con las pruebas realizadas por otras compañías de seguridad que han experimentado con el modelo. Firmas como Palo Alto Networks señalan que Mythos es capaz de concentrar en tres semanas el equivalente a un año de pruebas de penetración en determinados entornos. Sin sustituir a los equipos humanos, multiplica su capacidad, algo especialmente relevante en un mercado donde los perfiles de alto nivel en ciberseguridad son escasos.
Además, el modelo no se limita a marcar líneas de código sospechosas. Las evaluaciones internas apuntan a que puede comprender la lógica de un fallo, proponer parches y, en algunos casos, incluso generar exploits funcionales que demuestran el impacto real de la vulnerabilidad. Esta doble cara —detectar y explotar— es la que hace que la comunidad de seguridad mire a Mythos con una mezcla de interés y preocupación.
Un punto que Mozilla ha querido dejar claro es que, durante esta colaboración, no se han identificado errores que queden fuera del alcance teórico de un investigador humano de élite. Es decir, la IA no está «inventando» nuevas formas de ataque, sino comprimiendo el trabajo intensivo de análisis en un periodo mucho más corto.
Firefox 150: una actualización masiva para los usuarios europeos
Todo este trabajo cristaliza para los usuarios en una actualización concreta: Firefox 150 llega con las 271 vulnerabilidades corregidas y se distribuye a escala global, también para España y el resto de Europa, a través de los canales habituales del navegador en escritorio y móvil. La recomendación de los equipos de seguridad es clara: actualizar cuanto antes.
La mayor parte de las vulnerabilidades se catalogan como fallos de memoria, errores lógicos y problemas de validación de entradas, categorías clásicas en navegadores modernos. Sin embargo, el hecho de que varios de los CVE más delicados reciban crédito explícito a Claude Mythos en los boletines oficiales ilustra hasta qué punto la IA ha intervenido en esta ronda de seguridad.
En Europa, donde los marcos regulatorios sobre ciberseguridad y protección de datos son especialmente exigentes, el caso de Firefox refuerza la idea de que herramientas avanzadas de auditoría automatizada pueden ayudar a cumplir plazos y exigencias normativas sin disparar los costes, y promover el uso de gestores de contraseñas para proteger mejor las credenciales críticas.
Para los usuarios finales, el impacto más inmediato no es visible en forma de nuevas funciones, sino de una reducción de la superficie de ataque que afecta directamente a extensiones, credenciales guardadas y acceso a monederos digitales. La propia Anthropic ha advertido de que Mythos es capaz de localizar y explotar vulnerabilidades de día cero en sistemas operativos y navegadores, el mismo entorno que utilizan monederos calientes y aplicaciones descentralizadas.
Project Glasswing: acceso limitado para una herramienta delicada
Precisamente por ese potencial ofensivo, Anthropic ha decidido mantener Claude Mythos bajo un acceso extremadamente restringido. El modelo se ofrece dentro de un programa controlado llamado Project Glasswing, enfocado a infraestructuras críticas y grandes empresas tecnológicas, entre las que se incluyen actores como Apple, Microsoft, Google, Amazon Web Services o la Fundación Linux.
La filosofía es sencilla: poner esta capacidad en manos de defensores cualificados antes de que llegue a actores maliciosos. El programa permite escanear grandes bases de código, sistemas operativos, navegadores y servicios en la nube para localizar vulnerabilidades de alto impacto, pero bajo condiciones contractuales y técnicas diseñadas para reducir el riesgo de abuso.
Incluso organismos de seguridad nacional de Estados Unidos, como la NSA, han empezado a probar Mythos en redes clasificadas para identificar puntos débiles en infraestructuras sensibles. En Europa, aunque muchos de estos acuerdos no se hagan públicos, es razonable pensar que grandes proveedores de servicios y empresas estratégicas estén explorando soluciones similares para cumplir con las exigentes normativas de ciberresiliencia.
El trasfondo es claro: la misma tecnología que refuerza un navegador como Firefox podría, en manos equivocadas, acelerar el desarrollo de exploits complejos. De ahí que Anthropic haya introducido salvaguardias específicas en Mythos y haya trasladado algunas de estas barreras a otros modelos de la familia Claude, como Opus 4.7, para evitar que se utilicen como asistentes directos en ciberataques.
En paralelo, también se han documentado incidentes que muestran las dificultades de mantener estas herramientas completamente acotadas: se ha sabido que personas no autorizadas llegaron a usar Mythos tras adivinar una URL de acceso, lo que ha intensificado el debate sobre cómo gestionar el despliegue de modelos con tanto poder ofensivo potencial.
Impacto en el código abierto y en la industria de la ciberseguridad
El caso de Firefox sirve de aviso para todo el ecosistema de software libre. Al ser proyectos abiertos, su código está disponible tanto para defensores como para atacantes, lo que convierte a herramientas como Mythos en un arma de doble filo. Mozilla, por tamaño y recursos, puede asumir una oleada de informes y convertirlos en parches, pero muchos proyectos más pequeños no están en esa situación, ni para realizar copias de seguridad.
Si modelos similares empiezan a utilizarse de forma habitual, no bastará con localizar más vulnerabilidades: hará falta capacidad humana y económica para corregirlas. En Europa, donde buena parte de las infraestructuras digitales se apoyan en componentes de código abierto, el reto pasa por combinar estas auditorías avanzadas con programas de financiación y apoyo a los mantenedores, para que el volumen de hallazgos no termine por desbordarlos.
En palabras de Mozilla, la industria ha vivido durante años en una especie de “empate” constante entre atacantes y defensores. La aparición de IAs capaces de revisar código con este nivel de detalle podría inclinar por fin la balanza hacia el lado defensivo, siempre que se logre cerrar la brecha entre los fallos que detectan las máquinas y los que son capaces de gestionar los equipos humanos.
Al mismo tiempo, los expertos recuerdan que eliminar por completo las vulnerabilidades sigue siendo un objetivo irrealista. Lo que sí parece alcanzable es reducir el tiempo medio en el que un fallo pasa de ser desconocido a estar parcheado, especialmente en software crítico como navegadores, sistemas operativos y servicios de infraestructura en la nube.
En este escenario, la falta de investigadores de alto nivel se convierte en un cuello de botella. La apuesta de Mozilla al trabajar con Claude Mythos apunta a un modelo mixto en el que las IAs cubren parte del trabajo intensivo de búsqueda y los humanos se centran en priorizar, validar y desplegar soluciones. Más cooperación que confrontación entre personas y máquinas.
La nueva carrera: IAs defensoras frente a ataques asistidos por IA
Más allá del caso concreto de Firefox, lo que asoma es una carrera a dos bandas en ciberseguridad: defensas impulsadas por IA frente a ataques también asistidos por IA. Si Claude Mythos es capaz de encontrar cientos de vulnerabilidades en software muy auditado, nada impide que tecnologías parecidas se utilicen para rastrear objetivos menos protegidos, desde pequeñas webs hasta aplicaciones empresariales.
Anthropic reconoce que Mythos puede identificar y explotar vulnerabilidades de día cero en los principales sistemas operativos y navegadores cuando se le pide, una capacidad que, trasladada a manos maliciosas, podría reducir drásticamente el tiempo necesario para encontrar un vector de ataque viable. Por eso el modelo no se ha liberado al público y su uso está rodeado de precauciones.
Para la industria europea —incluyendo entidades financieras, proveedores de servicios digitales y administraciones públicas— la lección es evidente: ignorar estas nuevas herramientas no es una opción. La cuestión ya no es si se van a usar IAs en ciberseguridad, sino quién las tendrá primero y con qué grado de control y supervisión.
Mozilla plantea un escenario en el que la clave no es enfrentar humanos contra máquinas, sino combinar fortalezas: reducir la distancia entre lo que detecta una IA y lo que puede gestionar un equipo humano, recortando así la tradicional ventaja del atacante. Si localizar una vulnerabilidad deja de ser un proceso lento y caro, se dificulta que un mismo fallo permanezca años sin descubrir, como ha ocurrido en muchas piezas de software heredado.
Al final, lo que ha ocurrido con Firefox 150 funciona casi como un anticipo de lo que viene: navegadores, sistemas y servicios sometidos a auditorías continuas por modelos especializados, actualizaciones de seguridad más frecuentes y un debate abierto sobre cómo equilibrar los beneficios de estas IAs con el riesgo de que se conviertan en la herramienta favorita de los atacantes.
Todo apunta a que el hallazgo de 271 vulnerabilidades en Firefox gracias a Claude Mythos marcará un antes y un después en la manera de entender la seguridad del software: una etapa en la que las IAs pasan de ser curiosidades técnicas a convertirse en piezas centrales de la defensa digital, mientras empresas, organismos públicos y proyectos de código abierto —en España, en Europa y en el resto del mundo— se ven obligados a adaptar procesos, recursos y políticas para convivir con auditorías automatizadas capaces de encontrar en semanas lo que antes tardaba años en salir a la luz.
from Actualidad Gadget https://ift.tt/jUnWiQr
via IFTTT
