AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

**Expertos en ciberseguridad piden al Gobierno que retire las restricciones de exportación sobre Claude Fable 5 y Mythos 5 de Anthropic**

admin

### 1. Introducción

En un contexto de creciente preocupación por el control internacional de tecnologías de inteligencia artificial avanzada, un grupo de más de 50 expertos en ciberseguridad ha solicitado al Gobierno estadounidense que reconsidere las recientes restricciones de exportación impuestas sobre los modelos Claude Fable 5 y Mythos 5 desarrollados por Anthropic. Esta petición, formalizada a través de una carta abierta, pone de relieve un debate estratégico sobre la seguridad, la innovación y la competitividad global en el sector de la inteligencia artificial, con importantes implicaciones para la comunidad profesional de la ciberseguridad.

### 2. Contexto del Incidente o Vulnerabilidad

El Gobierno de Estados Unidos, a través del Departamento de Comercio y bajo el amparo de la normativa EAR (Export Administration Regulations), implementó a finales de mayo de 2024 una serie de restricciones que limitan la exportación de modelos avanzados de inteligencia artificial, incluyendo Claude Fable 5 y Mythos 5 de Anthropic. La medida, orientada a evitar la proliferación de modelos generativos avanzados en manos de actores estatales considerados adversarios, se justifica desde la óptica de la seguridad nacional y la protección de tecnologías sensibles.

Sin embargo, el sector de la ciberseguridad y la inteligencia artificial ha manifestado preocupación ante el potencial impacto negativo de estas restricciones sobre la investigación, la colaboración internacional y la capacidad de respuesta ante amenazas globales. La carta abierta, firmada por profesionales de renombre de empresas como Google, Meta, Microsoft, OpenAI y diversas universidades, urge a revisar la medida por considerarla contraproducente y poco alineada con las mejores prácticas de gestión de riesgos tecnológicos.

### 3. Detalles Técnicos (CVE, vectores de ataque, TTP MITRE ATT&CK, IoC…)

Aunque la restricción no responde a la explotación de una vulnerabilidad específica (no se ha asignado un CVE concreto), sí afecta al uso, entrenamiento y compartición internacional de modelos de lenguaje de última generación. Claude Fable 5 y Mythos 5, ambos basados en arquitecturas transformer optimizadas para tareas de generación, análisis y síntesis de lenguaje natural, presentan capacidades avanzadas que pueden emplearse tanto para ciberdefensa como para el desarrollo de ataques sofisticados (ingeniería social automatizada, spear phishing, generación de código malicioso, evasión de sistemas de detección, etc.).

En cuanto a TTPs (Tactics, Techniques and Procedures) según la matriz MITRE ATT&CK, estos modelos podrían ser aprovechados por actores maliciosos para:
– **Reconocimiento automatizado** (TA0043): Generación de perfiles de objetivos y scraping de datos públicos.
– **Ingeniería social avanzada** (T1566): Personalización de campañas de phishing o smishing con textos generados en tiempo real.
– **Evasión de defensa** (TA0005): Automatización de respuestas para sortear filtros de correo o sistemas de detección basados en reglas.
– **Desarrollo de malware asistido por IA** (T1608): Sugerencias contextuales para la escritura de exploits o payloads.

No se han identificado IoC (Indicadores de Compromiso) específicos relacionados con los modelos en sí, pero la restricción busca evitar precisamente la proliferación incontrolada de estas capacidades.

### 4. Impacto y Riesgos

El principal riesgo señalado por los expertos es la desaceleración de la innovación en ciberseguridad aplicada a inteligencia artificial debido a la ralentización del intercambio académico, la investigación colaborativa y el desarrollo de soluciones defensivas. Además, la fragmentación en el acceso a modelos avanzados podría favorecer la aparición de mercados paralelos y la proliferación de versiones no auditadas o incluso modelos comprometidos. Desde una perspectiva económica, se estima que el sector de la IA generativa podría perder hasta un 18% de su valor en el mercado internacional si se consolida una política de restricciones generalizadas.

Por otra parte, la medida genera un efecto paradójico: mientras limita el acceso legítimo a investigadores y profesionales de la ciberseguridad, no impide necesariamente que actores maliciosos desarrollen o accedan a modelos equivalentes a través de ingeniería inversa, leaks o plataformas alternativas.

### 5. Medidas de Mitigación y Recomendaciones

Los firmantes de la carta proponen como alternativa la implementación de controles de uso y compartición basados en acuerdos internacionales, auditorías técnicas y mecanismos de seguimiento, en vez de restricciones estrictas de exportación. Recomiendan:
– Fortalecer la colaboración público-privada en la evaluación de riesgos asociados a modelos de IA.
– Desarrollar estándares internacionales de compartición segura (en línea con iniciativas como la NIS2 y el GDPR).
– Fomentar la transparencia mediante la publicación de informes de auditoría y la promoción de modelos de IA verificables.
– Establecer mecanismos de reporte y respuesta ante el uso indebido de modelos avanzados.
– Favorecer el desarrollo de frameworks de gobernanza y compliance adaptados a la IA generativa.

### 6. Opinión de Expertos

Según Alex Stamos, ex-CISO de Facebook y co-firmante de la carta, “la seguridad colectiva depende de la capacidad de los defensores de analizar y anticipar el uso malicioso de modelos avanzados. Restringir el acceso a estos modelos impide un desarrollo defensivo eficaz y nos deja más expuestos ante amenazas emergentes”. Otros expertos, como Bruce Schneier, insisten en la importancia de una regulación inteligente que no sacrifique la innovación ni frene la cooperación internacional.

### 7. Implicaciones para Empresas y Usuarios

Para las empresas, especialmente aquellas con operaciones internacionales o equipos de ciberseguridad distribuidos, estas restricciones suponen barreras adicionales para la adopción de soluciones avanzadas de IA, la formación de profesionales y la participación en proyectos colaborativos. Los usuarios y clientes finales pueden verse afectados indirectamente por la disminución de la eficacia en la detección y mitigación de amenazas basadas en IA, lo que repercute tanto en la protección de datos personales (GDPR) como en la resiliencia operativa (NIS2).

### 8. Conclusiones

La carta abierta firmada por expertos en ciberseguridad evidencia la necesidad de equilibrar la protección de tecnologías sensibles con la promoción de la innovación y la colaboración internacional. Las restricciones de exportación sobre Claude Fable 5 y Mythos 5 de Anthropic, lejos de garantizar la seguridad, podrían debilitar la capacidad defensiva global y obstaculizar el desarrollo de medidas proactivas frente a amenazas emergentes. El debate sigue abierto y requiere la participación activa de todos los actores del ecosistema de ciberseguridad.

(Fuente: www.darkreading.com)