Todo directorio que aún trate la ciberseguridad como un asunto técnico delegable debería considerar el caso Mythos y Fable como una alarma. El 12 de Junio de 2026, el gobierno de EE.UU. ordenó suspender el acceso mundial a Fable de Anthropic, un modelo Mythos con restricciones de uso, invocando seguridad nacional.
Columnas al director
Mythos es la clase de modelos de IA más avanzada de Anthropic. Mythos 5, y su antecesor Mythos Preview, descubren y explotan vulnerabilidades de software a una velocidad y escala sin precedentes. En pocas semanas, los cerca de 50 socios del Proyecto Glasswing, iniciativa de ciberseguridad impulsada por Anthropic, hallaron más de diez mil vulnerabilidades críticas o de alta severidad en el software que sostiene a internet: Cloudflare reportó 2.000 hallazgos y Mozilla corrigió 271 en Firefox. El cuello de botella ya no es encontrar las fallas, sino corregirlas a una velocidad nunca antes vista en la industria. La brecha entre descubrimiento y corrección de vulnerabilidades abre una ventana que los atacantes saben aprovechar.
Glasswing explica por qué esto le importa al directorio: entrega a los defensores una ventaja asimétrica para parchar su software antes de que la IA se vuelva en su contra. Un banco incluso detectó y frenó una transferencia fraudulenta de US$1,5 millones, pero esa ventaja es frágil. La suspensión de acceso a Fable, por otro lado, demostró que el acceso a modelos de GenAI avanzados puede esfumarse por una decisión soberana ajena. Hoy la estrategia de ciberseguridad corporativa depende también de la geopolítica.
Columnas al director
Lo que está en juego es la ciberguerra. Cuando una capacidad ciberofensiva se controla como un arma de exportación, ningún país ni empresa queda al margen. Los estados adversarios y crimen organizado no respetan controles, y la infraestructura crítica de todas las naciones (energía, banca, telecomunicaciones, salud y agua) se vuelve el campo de batalla. La pregunta para cada directorio ya no es si será atacado, sino cuán rápido podrá detectar, resistir y recuperarse.
Chile es especialmente vulnerable. Arrastramos una baja madurez en ciberseguridad justo cuando estrenamos un marco legal robusto: la Ley 21.663, Marco de Ciberseguridad e Infraestructura Crítica, que define a los Operadores de Importancia Vital (OIV); la Ley 21.719 de Protección de Datos, vigente desde diciembre de 2026; la Ley 21.459 de Delitos Informáticos; y la Ley 20.393 de responsabilidad penal y prevención de delitos de las personas jurídicas.
Columnas al director
La norma exige cumplimiento, pero la capacidad real de defenderse no se improvisa. El trasfondo es lo alarmante: estamos ante una capacidad cibernética tan potente que ya se gestiona como materia de guerra. La misma capacidad de GenAI que ayuda a proteger, en manos adversarias abre vulnerabilidades de seguridad. Sin un indicador de su capacidad de resiliencia (ICR) y una medida de pérdida máxima (VaR: Value at Risk) será casi imposible enfocar las inversiones y esfuerzos en ciberseguridad para el directorio.
El mensaje para los directorios es urgente: la ciberseguridad es una responsabilidad indelegable del gobierno corporativo, con exposición legal de la propia empresa bajo la Ley 20.393. Es urgente invertir en madurez, talento y resiliencia, diversificar proveedores y mejorar el gobierno de la ciber-resiliencia (ICR) y el riesgo de pérdida máxima (VaR). La velocidad en que avanza la IA ya cambió las reglas del juego; el directorio que no lo asuma, terminará respondiendo por ello.
Columnas al director
