El “Mythos” de Anthropic ha provocado una reacción en el mercado relacionada con la ciberseguridad. ¿Es esto una oportunidad para vender productos relacionados con la inteligencia artificial, o simplemente una reacción exagerada del mercado?

La caída de los precios de las acciones relacionadas con la ciberseguridad el viernes pasado no se debió a resultados financieros o a datos macroeconómicos, sino a materiales filtrados que se relacionaban con el modelo “Claude Mythos” de Anthropic, que aún no había sido lanzado. Lo que realmente causó ese descenso de precios no fue simplemente la existencia de un sistema más eficiente, sino la posibilidad de que la inteligencia artificial pudiera avanzar en el análisis de códigos, en la detección de vulnerabilidades y en otros aspectos relacionados con el proceso de ataque, más rápidamente de lo que el sistema defensivo pueda adaptarse.

Comiencen por explicar lo que realmente ocurrió. Según…FortunaSe trataba de una memoria caché del sistema de gestión de contenidos que estaba configurada incorrectamente. En esa memoria caché se encontraban los materiales de un sitio web de tipo “Anthropic”, donde se hacía referencia a un modelo llamado “Claude Mythos”. También se mencionaba un nivel de capacidad más alto, denominado “Capybara”. El detalle más importante no era el aspecto relacionado con la marca comercial. Lo importante era el texto filtrado, que describía un “cambio significativo” en las capacidades de codificación, razonamiento y seguridad cibernética. Además, se señalaba explícitamente la posibilidad de que los datos pudieran ser utilizados de forma indebida en el ciberespacio.

Palo Alto Networks cayó aproximadamente un 6.1% el 27 de marzo. CrowdStrike también bajó en torno al 5.2%, mientras que Zscaler descendió en unos 5.8%. Fortinet también experimentó una fuerte caída en sus valores, lo que hizo que varias empresas importantes en el campo de la ciberseguridad fueran algunas de las compañías que registraron las mayores pérdidas ese día dentro del índice S&P 500. El mercado no consideró este escándalo como un problema específico de una sola empresa, sino como una señal más generalizada para todo el sector.

A continuación, ¿qué es Mythos? En esta etapa, no se trata de un producto completamente público y comercializado, con especificaciones claras y transparentes. Parece ser un modelo inacabado, cuya existencia se hizo evidente antes de lo que Anthropic pretendía.Informes de seguimiento de FortuneParece que Capybara describe una clase de sistemas que superan en nivel de calidad al sistema actual de Anthropic. Por su parte, Anthropic confirmó que existe un modelo más avanzado que se encuentra en fase de prueba preliminar. Además, indicaron que el error se debió a un error humano.

Lo que inquietó a los inversores fue la forma en que se presentaba el informe. Los materiales filtrados no parecían ser simplemente un anuncio rutinario sobre un producto nuevo. En ellos se destacaba el riesgo cibernético a corto plazo, y se sugería que algunas organizaciones deberían familiarizarse con este modelo lo antes posible, para que los defensores pudieran prepararse adecuadamente. Esa presentación del informe implicaba una preocupación más inmediata: la automatización, la escalabilidad y la eficiencia en cuanto al costo de las actividades ofensivas podrían surgir antes de lo que muchos esperaban.

Las acciones relacionadas con la ciberseguridad han disminuido significativamente. Esto se debe, en parte, a que los inversores comenzaron a preocuparse de que las capacidades ofensivas basadas en la inteligencia artificial pudieran desarrollarse más rápido de lo que los sistemas defensivos pueden seguirle el paso. Durante años, los proveedores de soluciones de seguridad han argumentado que, aunque las amenazas evolucionan constantemente, la telemetría, la automatización, la velocidad de respuesta y la amplitud de las plataformas utilizadas permiten que los defensores mantengan su competitividad. Sin embargo, el filtrado de información por parte de Mythos ha perturbado esa narrativa. Si los modelos avanzados pueden mejorar significativamente la comprensión del código, así como el análisis de las vulnerabilidades y otros aspectos relacionados con las capacidades ofensivas, surge la pregunta de si las capacidades de los atacantes podrían superar la velocidad con la que los productos defensivos pueden ser comercializados.

Esa preocupación se convirtió rápidamente en un problema de valoración.MarketWatchSe argumenta que el problema no se reduce simplemente a si Anthropic podrá competir directamente con los proveedores de soluciones de seguridad. Lo más importante es que la IA puede transformar la forma en que se crea, se distribuye y se obtiene el valor de la ciberseguridad. Para aquellos desarrolladores de software que tienen una gran reputación, esa incertidumbre puede tener efectos negativos en su negocio.

Al mismo tiempo, la atención se dirige hacia las posibles migraciones en la cadena de valor. Los inversores ya no están seguros de que el futuro grupo de ingresos relacionado con la defensa cibernética permanecerá bajo el control de los proveedores de soluciones de seguridad independientes. Si los proveedores de servicios y las plataformas en la nube integran funcionalidades como la revisión de códigos, la detección de anomalías, las correcciones automatizadas y la simulación de ataques más profundamente en su infraestructura, algunas de las capacidades que ahora se venden como productos de seguridad independientes podrían convertirse en funcionalidades nativas de dichas plataformas con el paso del tiempo. Esto no significa que los proveedores tradicionales pierdan su relevancia de inmediato. Sin embargo, significa que el mercado debe reconsiderar dónde reside realmente el poder de precios duradero.

También es importante destacar que este “escapo de información” hizo que los riesgos cibernéticos asistidos por la IA parecieran ser algo real y operativo, en lugar de algo teórico.AxiosSe informó que los especialistas en políticas y inteligencia artificial consideraban que Mythos era algo preocupante, no porque generara código más elegante, sino porque los sistemas agentes avanzados podrían permitir actividades ofensivas a gran escala con alta precisión. La preocupación no se limita a los actores externos; también incluye el uso indebido de la tecnología por parte de los sistemas internos, desde las “AI ocultas” hasta los agentes mal gestionados que están conectados a sistemas sensibles.

Sin embargo, la opinión del mercado está dividida. Los que son contrarios a esta tecnología sostienen que Mythos ha revelado un problema estructural: la IA se está convirtiendo en una herramienta que puede reemplazar al trabajo humano en ciertas tareas ofensivas. Si esto es cierto, las empresas podrían necesitar reconstruir sus sistemas de seguridad del código, controles de identidad, permisos y arquitecturas de gobernanza y respuesta relacionadas con la IA, más rápidamente de lo que se esperaba. Al mismo tiempo, las líneas de productos tradicionales enfrentarán presiones en cuanto a su posicionamiento y ritmo de desarrollo.

El grupo más constructivo considera que se trata de una reacción excesiva.Barron’sY…MarketWatchAmbos argumentaron que la inteligencia artificial ofensiva más avanzada puede aumentar, y no reducir, la necesidad de gastos en seguridad. En ese sentido, la filtración de información no destruye la teoría cibernética. Por el contrario, acelera el cambio hacia una defensa basada en la inteligencia artificial, así como hacia medidas de seguridad de identidad, protección de códigos y automatización de las respuestas.

¿Qué sucederá a continuación?

Lo que suceda a continuación podría determinar si la caída de valor ocurrida el viernes pasado fue simplemente una reacción motivada por los titulares de los medios de comunicación, o si se trata del comienzo de un proceso más amplio de ajuste en las valoraciones de las empresas relacionadas con la ciberseguridad. El próximo ciclo de resultados será un test importante. Es poco probable que los inversores estén satisfechos con solo las advertencias sobre los riesgos relacionados con la inteligencia artificial. Querrán que los equipos directivos expliquen, de manera práctica, cómo las amenazas relacionadas con la inteligencia artificial se traduce en planes de producto, demandas de clientes y asignación de presupuesto. Si los ejecutivos pueden describir los peligros, pero no pueden mostrar un camino claro para la monetización, la presión sobre las valoraciones podría persistir.

También es importante saber dónde se destinan realmente los recursos de seguridad en las empresas. Si los presupuestos continúan orientándose hacia aspectos como la seguridad de identidades, la seguridad del código, la respuesta a amenazas en puntos finales y el uso de IA en la gestión de la seguridad, entonces los proveedores independientes de servicios de ciberseguridad podrían seguir siendo los principales beneficiarios de estos recursos. Pero si más capacidades defensivas se integran en la infraestructura en la nube y en las plataformas de modelado, es probable que el mercado siga asignando más valor a las empresas que se encuentran en posiciones más altas en la cadena de suministro. La dirección en la que se destinan estos recursos será crucial para determinar cómo el sector se diferenciará de ahora en adelante.

Otra cuestión es la velocidad de ejecución de los proyectos relacionados con la inteligencia artificial. El mercado observará si los desarrolladores de tecnologías de IA o los proveedores de soluciones cibernéticas están mejor preparados para convertir las soluciones defensivas en productos reales y que puedan ser implementados en la práctica. En mi opinión, esta caída reciente parece ser un cambio en los precios causado por factores externos a corto plazo. Pero también representa el inicio de un proceso de selección más significativo a medio plazo. La volatilidad a corto plazo probablemente no haya terminado, pero la necesidad de invertir en seguridad cibernética sigue siendo importante. Las empresas que enfrentan ataques más intensos probablemente no reduzcan su gasto en defensa. La pregunta más importante es: ¿qué empresas están en posición de aprovechar ese dinero invertido?