La ciberseguridad se está convirtiendo en uno de los campos donde antes se nota la escalada real de capacidades de la Inteligencia Artificial. Y esta semana, dos de las compañías más observadas del sector han dejado claro que quieren jugar un papel central en esa nueva fase. Primero fue Anthropic con Claude Mythos Preview y su iniciativa Project Glasswing. Después ha llegado OpenAI con GPT-5.4-Cyber y una ampliación de su programa Trusted Access for Cyber (TAC). Las dos propuestas comparten una idea de fondo: la IA ya puede ayudar de forma muy seria a defender software e infraestructuras críticas. Pero la forma en que cada empresa quiere desplegar esa capacidad es bastante distinta.
OpenAI presentó el 14 de abril una versión de GPT-5.4 entrenada específicamente para usos defensivos de ciberseguridad y diseñada para ser más permisiva en tareas legítimas de análisis, investigación y respuesta. Según la compañía, GPT-5.4-Cyber baja el umbral de rechazo en trabajos defensivos y añade capacidades útiles para flujos avanzados, incluida la ingeniería inversa de binarios para analizar software compilado sin necesidad de acceder al código fuente. Al mismo tiempo, OpenAI amplía TAC para miles de defensores individuales verificados y cientos de equipos responsables de proteger software crítico.
La importancia del anuncio no está solo en el modelo. También está en la estrategia. OpenAI sostiene que no quiere decidir de forma arbitraria quién puede defender sistemas y quién no, sino construir un acceso escalonado basado en verificación de identidad, señales de confianza y uso legítimo. En su planteamiento, la ciberseguridad es un ámbito dual use, así que el riesgo no depende únicamente del modelo, sino también de quién lo utiliza, desde qué entorno y con qué controles.
OpenAI apuesta por acceso verificado; Anthropic, por acceso mucho más restringido
Aquí aparece la primera gran diferencia con Anthropic. Claude Mythos Preview, presentado el 7 de abril, no se ha abierto al público general ni siquiera con verificación amplia. Anthropic lo ha encuadrado dentro de Project Glasswing, una iniciativa para ayudar a asegurar software crítico y preparar a la industria ante el aumento del riesgo cibernético impulsado por IA. La compañía describe Mythos como su modelo más capaz hasta la fecha en tareas de seguridad ofensiva y defensiva y ha optado por una distribución mucho más limitada, enfocada a partners y actores de confianza mientras sigue discutiendo sus implicaciones con gobiernos y con la industria.
Esa diferencia es importante para entender el momento del mercado. Anthropic ha puesto el acento en la contención y en el carácter especialmente sensible de estas capacidades. OpenAI, en cambio, defiende que sus salvaguardas actuales permiten un despliegue más amplio de los modelos generales y que los modelos ciberespecíficos más permisivos pueden abrirse de forma progresiva a defensores verificados. En otras palabras, las dos compañías aceptan que la IA cibernética es peligrosa y útil a la vez, pero una prioriza un acceso muy estrecho y la otra intenta construir un sistema más escalable de acceso confiable.
El contraste se aprecia también en el discurso público. Anthropic ha vinculado Mythos y Glasswing a la necesidad de asegurar software e infraestructuras muy críticas y ha insistido en que estas capacidades tienen implicaciones de seguridad nacional. OpenAI, sin negar ese riesgo, subraya más la necesidad de democratizar el acceso defensivo a actores legítimos, incluidos equipos pequeños, defensores open source y organizaciones fuera del círculo de grandes proveedores. Esa diferencia puede acabar influyendo mucho en qué ecosistema atrae a más investigadores, más equipos de seguridad y más proveedores especializados.
Dos visiones sobre cómo desplegar la IA de ciberseguridad
OpenAI estructura su estrategia en tres principios: acceso democratizado, despliegue iterativo e inversión en resiliencia del ecosistema. La compañía recuerda que desde 2023 ha impulsado un programa de subvenciones para ciberseguridad, que en 2025 empezó a incorporar salvaguardas específicas en sus modelos y que este año reforzó su propuesta con Codex Security. En el propio anuncio, OpenAI asegura que Codex Security ha contribuido a corregir más de 3.000 vulnerabilidades críticas y altas, además de muchas otras de menor severidad, y que ha alcanzado a más de 1.000 proyectos open source mediante sus iniciativas de apoyo.
Eso da bastante contexto al lanzamiento de GPT-5.4-Cyber. OpenAI no lo presenta como un producto aislado, sino como una capa más dentro de una estrategia defensiva más amplia: dar mejores herramientas a quienes ya protegen sistemas reales y hacerlo al mismo ritmo que aumentan las capacidades del modelo. Reuters resumía hoy ese movimiento como una respuesta directa al lanzamiento de Mythos por parte de Anthropic, en una carrera cada vez más visible por liderar la IA aplicada a ciberdefensa.
Anthropic, por su parte, ha preferido situar a Mythos dentro de un marco más excepcional. Su documentación pública sobre Project Glasswing lo presenta como un esfuerzo para asegurar “el software más crítico del mundo” y preparar a la industria para las prácticas que harán falta a medida que la IA mejore en tareas de ciberataque y ciberdefensa. Esa formulación sugiere un enfoque más orientado a la protección de infraestructuras y actores de alto valor que a una apertura gradual y masiva. Para un medio de Inteligencia Artificial, esta diferencia es probablemente la más importante: OpenAI parece querer construir un mercado de acceso verificado; Anthropic, de momento, sigue comportándose más como si estuviera gestionando una capacidad excepcional.
A corto plazo, eso deja una conclusión bastante clara. OpenAI quiere que la IA defensiva sea más utilizable por más equipos, siempre que estén verificados. Anthropic quiere avanzar, pero con un perímetro mucho más estrecho. Ninguna de las dos posturas elimina el dilema central de esta tecnología: cuanto más útil es para encontrar y corregir vulnerabilidades, más útil puede resultar también para quien quiera explotarlas. Lo que cambia es la forma de gestionar ese riesgo. Y ahí, por ahora, OpenAI y Anthropic están enseñando dos filosofías distintas de despliegue.
Preguntas frecuentes
¿Qué es GPT-5.4-Cyber y en qué se diferencia de GPT-5.4?
Es una variante de GPT-5.4 ajustada específicamente para usos defensivos de ciberseguridad. OpenAI afirma que reduce el umbral de rechazo en tareas legítimas de seguridad y añade capacidades avanzadas como análisis de binarios para ingeniería inversa.
¿Quién puede usar el nuevo modelo de OpenAI para ciberseguridad?
No está abierto al público general. OpenAI lo desplegará primero para proveedores de seguridad, organizaciones y grupos de investigación verificados dentro de los niveles más altos de su programa Trusted Access for Cyber.
¿Qué es Claude Mythos Preview de Anthropic?
Es el modelo más avanzado de Anthropic en tareas cibernéticas ofensivas y defensivas, presentado dentro de Project Glasswing. La compañía no lo ha lanzado públicamente y mantiene un acceso mucho más restringido que OpenAI.
¿Cuál es la principal diferencia entre OpenAI y Anthropic en ciberseguridad con IA?
OpenAI apuesta por ampliar el acceso defensivo mediante verificación y niveles de confianza. Anthropic, en cambio, mantiene Mythos dentro de un despliegue más limitado y controlado, con un énfasis mayor en la contención del riesgo.
