El riesgo oculto de Claude Mythos: cómo los modelos de IA baratos y potentes amenazan la seguridad de las criptomonedas

El lanzamiento de Claude Mythos por parte de Anthropic marca un punto de inflexión en la intersección entre inteligencia artificial y criptomonedas. La empresa ha puesto a disposición pública Fable 5, la primera versión de su modelo más avanzado, diseñado para analizar código con una precisión sin precedentes. Sin embargo, lo que para muchos es un avance técnico, para el ecosistema cripto representa una amenaza potencialmente disruptiva. La capacidad de este modelo para identificar vulnerabilidades críticas en software de importancia sistémica —más de 10.000 fallos de alta gravedad detectados en pruebas internas— no solo demuestra su potencia, sino que también abre la puerta a un escenario donde actores malintencionados podrían aprovecharlo para explotar protocolos con un esfuerzo mínimo. Aunque Anthropic insiste en que Fable 5 incluye salvaguardas que redirigen consultas sensibles a modelos más controlados como Claude Opus 4.8, la realidad es que el genio ya está fuera de la botella: la barrera de entrada para encontrar y explotar fallos en contratos inteligentes se ha desplomado.

La preocupación no es teórica. En abril de 2026, los robos en criptomonedas alcanzaron los 629,7 millones de dólares, la cifra más alta desde febrero de 2025. Analistas vincularon directamente este aumento con el uso de herramientas de IA para identificar y aprovechar vulnerabilidades en protocolos DeFi. Simon Dedic, fundador de Moonrock Capital, advirtió en redes sociales que el costo y la habilidad necesarios para descubrir fallos explotables en contratos inteligentes "se reducirán básicamente a cero" con la llegada de Fable 5. Esta afirmación no es una exageración: modelos de IA avanzados pueden analizar miles de líneas de código en segundos, detectar patrones de vulnerabilidades conocidas y sugerir exploits con una precisión que antes requería equipos de auditores especializados. Para proyectos no auditados o con código heredado, esto significa que serán blanco fácil de ataques automatizados, incluso si son pequeños o poco conocidos. La lógica es simple: si el esfuerzo para intentar un exploit es mínimo, los atacantes probarán suerte en cada protocolo disponible, multiplicando el riesgo para todo el ecosistema.

La paradoja de la accesibilidad: democratización del riesgo vs. democratización de la seguridad

Anthropic presenta Fable 5 como un modelo "seguro para uso general", con mecanismos de filtrado que desvían consultas sobre ciberseguridad a versiones más restringidas del sistema. Sin embargo, esta estrategia choca con la naturaleza misma de los modelos de lenguaje: su capacidad para generalizar y adaptarse. Un atacante con conocimientos básicos de programación podría reformular preguntas o usar técnicas de ingeniería inversa para eludir los controles, especialmente si el objetivo es explotar una vulnerabilidad conocida. La historia reciente muestra que los atacantes suelen ser creativos a la hora de burlar las restricciones técnicas. Además, incluso si los modelos redirigen consultas directas sobre exploits, la información necesaria para diseñarlos —como patrones de código vulnerable o técnicas de ataque comunes— sigue accesible en foros públicos, documentación técnica y repositorios de código abierto. En otras palabras, las salvaguardas son un parche, no una solución definitiva.

El verdadero problema no es solo la existencia de herramientas potentes, sino su accesibilidad. Antes, explotar un fallo en un contrato inteligente requería no solo conocimientos avanzados de programación y seguridad, sino también acceso a recursos computacionales significativos y tiempo para analizar el código manualmente. Ahora, cualquier persona con un navegador y una conexión a internet puede cargar un contrato en un modelo de IA, pedirle que lo revise en busca de vulnerabilidades y recibir un informe detallado en minutos. Esto nivela el campo de juego de una manera peligrosa: los atacantes ocasionales, que antes no tenían los recursos para competir con equipos de hackers profesionales, ahora pueden lanzar ataques con una probabilidad de éxito mucho mayor. Para los protocolos DeFi, esto significa que la superficie de ataque se ha expandido exponencialmente, abarcando no solo a los grandes jugadores, sino también a proyectos emergentes o comunidades con recursos limitados para auditorías.

Protocolos no auditados: el eslabón más débil en la cadena de seguridad

Uno de los efectos más inmediatos de la llegada de modelos como Fable 5 será la exposición de protocolos no auditados. En el ecosistema cripto, la auditoría de contratos inteligentes es un proceso costoso y especializado, que solo pueden permitirse proyectos con financiación significativa o respaldo institucional. Muchos protocolos pequeños, especialmente aquellos en cadenas alternativas o en fases tempranas de desarrollo, operan sin auditorías completas debido a limitaciones presupuestarias. Con herramientas como Fable 5, cualquier persona puede analizar su código en busca de vulnerabilidades comunes, como reentrancy attacks, overflows o fallos en la lógica de acceso. Esto convierte a estos protocolos en blancos prioritarios para atacantes, que pueden probar exploits conocidos en cuestión de minutos y repetirlos en múltiples forks o clones del proyecto.

La dinámica recuerda a la era de las ICOs en 2017, cuando cientos de proyectos recaudaron millones de dólares sin auditorías adecuadas, solo para ser pirateados poco después de su lanzamiento. La diferencia ahora es la escala: la automatización permite que un solo atacante pruebe docenas de protocolos en paralelo, aumentando la probabilidad de éxito y reduciendo el riesgo para el atacante. Incluso proyectos que han sido auditados podrían verse afectados si sus contratos incluyen dependencias vulnerables o patrones de código heredados que no fueron detectados en auditorías anteriores. La presión sobre los equipos de desarrollo para adoptar herramientas de análisis automatizado de código —como Slither, MythX o CertiK— se intensificará, pero la realidad es que muchos proyectos no tendrán los recursos para implementarlas a tiempo.

El impacto en los usuarios: ¿cómo proteger sus activos en un mundo con IA barata para exploits?

Para los usuarios de criptomonedas, el mensaje es claro: la era de la "seguridad por oscuridad" ha terminado. Antes, la mayoría de los ataques se centraban en protocolos conocidos o con alto valor locked, porque el esfuerzo requerido para encontrar y explotar vulnerabilidades era alto. Ahora, con herramientas como Fable 5, incluso protocolos pequeños y poco conocidos pueden ser atacados, simplemente porque el costo de intentarlo es mínimo. Esto significa que los usuarios deben adoptar un enfoque más proactivo y conservador en la gestión de sus activos. Las recomendaciones de Simon Dedic —revocar permisos de wallets, retirar fondos de protocolos no auditados y mover criptomonedas a carteras de hardware— no son exageradas, sino necesarias en este nuevo panorama.

La revocación de permisos de wallets es un paso crítico, especialmente para usuarios que interactúan con múltiples protocolos DeFi. Muchos ataques recientes han explotado permisos excesivos otorgados a contratos inteligentes, permitiendo a los atacantes mover fondos sin necesidad de autorización adicional. Herramientas como Revoke.cash o Tenderly pueden ayudar a identificar y revocar estos permisos de manera segura. Además, los usuarios deberían considerar la posibilidad de retirar sus fondos de protocolos con liquidez baja o sin auditorías recientes, especialmente si no están dispuestos a asumir el riesgo de un exploit. Las carteras de hardware, aunque no son infalibles, siguen siendo la opción más segura para almacenar grandes cantidades de criptomonedas, ya que reducen la exposición a ataques en línea.

Otra estrategia clave es diversificar los activos y evitar concentrar fondos en un solo protocolo o cadena. En un entorno donde los ataques pueden ser automatizados y replicados rápidamente, la diversificación no solo reduce el riesgo de pérdida total, sino que también limita el impacto de un posible exploit. Los usuarios también deberían estar atentos a las actualizaciones de seguridad de los protocolos que utilizan y seguir fuentes confiables de información, como foros oficiales, cuentas verificadas de desarrolladores o alertas de equipos de seguridad como Immunefi. La transparencia y la comunicación proactiva por parte de los proyectos serán más importantes que nunca en este nuevo escenario.

El futuro de la auditoría automatizada: ¿solución o carrera armamentística?

Anthropic no es la única empresa que está desarrollando modelos de IA capaces de analizar código en busca de vulnerabilidades. Competidores como Mistral AI, Google DeepMind y Meta también han lanzado herramientas similares, aunque con enfoques distintos. Algunas, como los modelos de Mistral, están diseñadas específicamente para ayudar a los desarrolladores a escribir código más seguro, mientras que otras, como los de Anthropic, se centran en la detección de fallos en código existente. Lo que está claro es que la auditoría automatizada de contratos inteligentes está en auge, y que los proyectos que no adopten estas herramientas quedarán en desventaja competitiva.

Sin embargo, este avance también plantea una pregunta incómoda: ¿estamos entrando en una carrera armamentística donde los atacantes y los defensores se superan constantemente? Los modelos de IA que detectan vulnerabilidades pueden ser utilizados por proyectos para auditar su propio código antes de lanzarlo, pero también pueden ser usados por atacantes para encontrar fallos antes de que los defensores los detecten. Esto crea un ciclo donde la seguridad se vuelve efímera: lo que hoy es seguro, mañana podría ser vulnerable si un modelo de IA descubre un nuevo tipo de fallo. Para romper este ciclo, será necesario desarrollar modelos que no solo detecten vulnerabilidades, sino que también sugieran parches o soluciones en tiempo real, integrando la corrección dentro del flujo de desarrollo.

Otra tendencia emergente es el uso de IA para la generación de código seguro desde cero. Proyectos como GitHub Copilot y herramientas similares ya están ayudando a los desarrolladores a escribir código con menos errores, pero su adopción en el ecosistema cripto aún es limitada. Si estas herramientas logran madurar, podrían reducir significativamente la cantidad de vulnerabilidades introducidas en los contratos inteligentes desde su diseño. Sin embargo, el desafío sigue siendo garantizar que el código generado por IA sea realmente seguro y no introduzca nuevos tipos de fallos. La combinación de auditorías automatizadas, generación de código seguro y educación continua para desarrolladores podría ser la clave para mitigar los riesgos en un futuro cercano.

El papel de las plataformas y reguladores: ¿quién debe proteger a los usuarios?

Ante la creciente amenaza que representan los modelos de IA para la seguridad cripto, surge una pregunta fundamental: ¿quién es responsable de proteger a los usuarios? Las plataformas DeFi, que operan sin intermediarios tradicionales, han argumentado históricamente que la responsabilidad recae en los usuarios, quienes deben investigar y entender los riesgos antes de interactuar con un protocolo. Sin embargo, en un entorno donde incluso los expertos pueden pasar por alto vulnerabilidades detectables por IA, esta postura se vuelve insostenible. Las plataformas deberían adoptar medidas proactivas, como la implementación obligatoria de auditorías automatizadas antes del lanzamiento de nuevos contratos, y la publicación transparente de los resultados de estas auditorías.

Los reguladores también tienen un papel que desempeñar, aunque su intervención plantea desafíos. Por un lado, podrían exigir que los protocolos DeFi implementen herramientas de análisis de código basadas en IA como parte de sus requisitos de licencia o registro. Por otro, una regulación demasiado estricta podría sofocar la innovación en un sector que aún está en fase de experimentación. Un enfoque equilibrado podría incluir la creación de estándares técnicos para la auditoría automatizada, junto con incentivos para que los proyectos adopten estas prácticas sin imponer cargas burocráticas excesivas. Organizaciones como la SEC en Estados Unidos o la ESMA en Europa podrían emitir guías claras sobre cómo integrar estas herramientas en los procesos de desarrollo y despliegue de contratos inteligentes.

El desafío más grande, sin embargo, podría ser la educación. Muchos usuarios de criptomonedas aún no comprenden completamente los riesgos asociados con los contratos inteligentes o las limitaciones de las auditorías tradicionales. Campañas de concienciación que expliquen cómo funcionan las herramientas de IA para detectar vulnerabilidades, y cómo los usuarios pueden protegerse, serán esenciales para reducir el impacto de los exploits en el futuro. Plataformas como Coinbase o Binance ya han comenzado a integrar alertas de seguridad y herramientas de análisis en sus interfaces, pero la adopción generalizada aún está lejos de ser una realidad.

¿Hacia un ecosistema cripto más seguro o hacia un futuro de exploits automatizados?

La liberación de modelos como Fable 5 de Anthropic es un recordatorio de que la innovación tecnológica no siempre viene acompañada de un aumento proporcional en la seguridad. En el caso de las criptomonedas, la llegada de herramientas de IA baratas y potentes para encontrar exploits podría ser el detonante de una nueva ola de ataques automatizados, donde incluso los proyectos más pequeños sean blanco de actores malintencionados. Sin embargo, también abre la puerta a soluciones innovadoras, como la auditoría automatizada en tiempo real, la generación de código seguro y la educación proactiva de los usuarios.

El futuro del ecosistema cripto dependerá en gran medida de cómo respondan los diferentes actores: los desarrolladores, que deberán adoptar herramientas de seguridad más avanzadas; las plataformas, que tendrán que priorizar la transparencia y la protección de los usuarios; los reguladores, que deberán encontrar un equilibrio entre innovación y seguridad; y los propios usuarios, que deberán adoptar prácticas más conservadoras en la gestión de sus activos. Una cosa es clara: el statu quo ya no es viable. El ecosistema debe evolucionar para enfrentar los riesgos de un mundo donde la IA ha democratizado el acceso a herramientas de explotación, o enfrentará consecuencias graves en términos de confianza y adopción masiva.