Anthropic amplía Mythos: 150 nuevas organizaciones con acceso a IA para detectar vulnerabilidades
Qué está pasando
Anthropic amplía el acceso a Mythos, su sistema de inteligencia artificial para encontrar vulnerabilidades de seguridad en software, de aproximadamente 50 a 150 organizaciones. Las empresas que ya participaron en el programa encontraron miles de vulnerabilidades en sus propios productos. El programa hasta ahora era cerrado; esta expansión representa una apertura significativa.
Por qué importa ahora
La velocidad de descubrimiento de vulnerabilidades cambió. Los sistemas de IA detectan fallas en el software que tus proveedores usan antes de que los equipos de seguridad tradicionales las vean. El tiempo entre que una vulnerabilidad existe y que alguien la encuentra se está comprimiendo. Los plazos de actualización que acordaste con tu equipo de TI probablemente ya no sean suficientes.
Quién está expuesto
Personas
Indirectamente. Las aplicaciones que usas diariamente podrían tener vulnerabilidades descubiertas por sistemas como Mythos. La velocidad de corrección depende de si el fabricante participa en programas de este tipo.
Organizaciones
Cualquier empresa que use software de terceros —lo que significa prácticamente todas— está en un entorno donde las fallas se descubren más rápido que antes. Si tus proveedores no tienen procesos activos de respuesta a vulnerabilidades, el riesgo acumulado en tus sistemas crece.
Riesgo principal
Que tus proveedores descubran vulnerabilidades y no tengan un proceso claro para notificarte ni para parchear a tiempo, y que tú no tengas un proceso para aplicar actualizaciones según su criticidad.
Señales de alerta
- Contratos de software sin cláusulas de notificación de vulnerabilidades
- Actualizaciones aplicadas en ventanas fijas cada varios meses, sin criterio de prioridad
- Sin inventario de qué versiones de software corren en los sistemas de la empresa
Qué hacer hoy
Para personas
Mantén tus aplicaciones actualizadas. Las actualizaciones automáticas son la defensa más sencilla ante vulnerabilidades que herramientas como Mythos descubren.
Para organizaciones
Pregunta a TI: ¿cuánto tiempo pasa entre que un proveedor publica un parche y que nosotros lo aplicamos? Si la respuesta es semanas o meses, hay un problema. Establece criterios: parches críticos en 72 horas, los demás en plazo definido.
Controles GRC que aplica
- Gestión de vulnerabilidades
- Gestión de parches
- Gestión de riesgos de terceros
- Inventario de activos de software
Decisión recomendada
Revisar el proceso de gestión de parches. Si no existe criterio de priorización por severidad, establecerlo. Incluir en contratos con proveedores una cláusula de notificación de vulnerabilidades con plazo de respuesta.