Firefox convirtió en noticia global un problema que parecía sepultado en las capas más viejas de la web: un fallo activo durante dos décadas, detectado cuando la inteligencia artificial empezó a revisar código con una velocidad inédita. Mozilla afirmó que Claude Mythos permitió mirar donde los métodos tradicionales ya no alcanzaban, expuso defectos que sobrevivieron a años de auditorías, y obligó a la industria a reconocer que la defensa digital entró en una fase acelerada, más prometedora y más peligrosa.
El caso central no es solo una hazaña técnica
El material base fue publicado por Liam “Akiba” Wright, periodista y editor de CryptoSlate especializado en tecnología, activos digitales, inteligencia artificial y seguridad emergente. Su pieza original, titulada “Firefox finds 20 year old bug and patches 14 months of fixes in 30 days using Anthropic’s Mythos AI”, parte de una señal contundente: Mozilla logró condensar en abril un volumen de correcciones que antes habría requerido más de un año de trabajo ordinario.
El caso central no es solo una hazaña técnica. Es una advertencia estratégica sobre el poder de los modelos de frontera aplicados a ciberseguridad. En Firefox 150, Mozilla incorporó arreglos para 271 vulnerabilidades identificadas durante una evaluación inicial con Claude Mythos Preview. En abril, el total de correcciones de seguridad vinculadas al navegador llegó a 423, una cifra que, según la reconstrucción de CryptoSlate, equivale aproximadamente a los 420 arreglos acumulados durante los 14 meses anteriores. Esa compresión temporal redefine la noción de riesgo: lo que antes dormía en el código ahora puede aparecer en días.
Lee también: Cualquiera pueda descargarlo: DeepSeek V4 el futuro de la IA
El salto no ocurrió de manera aislada
Uno de los ejemplos más inquietantes fue el bug 2025977, una falla de XSLT de unos 20 años en la que llamadas reentrantes a key() podían provocar una reorganización de tabla hash, liberar memoria de respaldo y dejar un puntero crudo todavía en uso.
Mozilla también divulgó un error de 15 años en el elemento HTML legend, activado por una coreografía precisa de casos límite. Ambos episodios revelan que los navegadores maduros no están libres de defectos antiguos; apenas habían mantenido zonas oscuras donde ni los fuzzers ni las revisiones humanas llegaron con suficiente profundidad.
Mozilla afirmó que Claude Mythos abrió otra escala
El salto no ocurrió de manera aislada. Mozilla venía de colaborar con Anthropic en el uso de Opus 4.6, experiencia que derivó en 22 fallos sensibles corregidos en Firefox 148. Luego, Mozilla afirmó que Claude Mythos abrió otra escala operativa porque el modelo no solo sugería hipótesis: podía producir pruebas reproducibles, descartar falsos positivos y alimentar un ciclo de clasificación, duplicación, seguimiento y parcheo. En lenguaje de seguridad, la diferencia entre ruido y señal cambió de categoría.
La infraestructura fue decisiva. El equipo de Mozilla construyó un harness sobre su sistema de fuzzing, distribuyó tareas en máquinas virtuales efímeras y asignó objetivos por archivo. Ese método permitió que el modelo razonara sobre zonas específicas del código, generara casos de prueba y validara hipótesis dinámicas. La empresa reconoció que los intentos tempranos con modelos como GPT-4 o Sonnet 3.5 resultaban prometedores, pero difíciles de escalar por la abundancia de reportes plausibles y erróneos. Con Mythos, el problema dejó de ser encontrar indicios y pasó a ser absorber resultados.
Lee también: Irán ha desarrollado nanofármacos para el tratamiento del cáncer.
CISA mantiene desde 2021 su catálogo de vulnerabilidades
Anthropic, por su parte, presentó Project Glasswing como una respuesta defensiva a una capacidad que considera de alto impacto. La compañía sostiene que Claude Mythos Preview halló miles de vulnerabilidades de día cero en sistemas operativos, navegadores y software crítico, aunque más del 99% no puede describirse todavía porque no ha sido corregido. El programa incluye acceso limitado para grandes actores tecnológicos, hasta 100 millones de dólares en créditos de uso y 4 millones en donaciones para seguridad de código abierto. La lógica es clara: entregar primero la herramienta a defensores antes de que capacidades similares circulen entre atacantes.
Expertos y organismos del sector leen el episodio como una aceleración inevitable. CISA mantiene desde 2021 su catálogo de vulnerabilidades explotadas conocidas para empujar parches urgentes en agencias federales, mientras Google Threat Intelligence Group registró 75 vulnerabilidades de día cero explotadas en 2024. La lectura técnica es consistente: el tiempo entre descubrimiento, publicación y abuso se estrecha. Si la IA reduce el costo de encontrar fallos, también obliga a reducir el tiempo de corrección, distribución e instalación de actualizaciones.
Mozilla afirmó que Claude Mythos puede fortalecer a los defensores
El debate ético es más incómodo. Mozilla afirmó que Claude Mythos puede fortalecer a los defensores, pero también muestra cómo un atacante con acceso semejante podría rastrear código abierto, encadenar errores y preparar exploits con menos personal especializado. Anthropic decidió no liberar Mythos Preview de forma general precisamente por ese filo doble. La pregunta deja de ser si la inteligencia artificial encontrará vulnerabilidades; la cuestión es quién las verá primero, quién tendrá capacidad de corregirlas y quién quedará expuesto por falta de recursos.
Para el ecosistema abierto, el problema es estructural. Firefox cuenta con equipos, procesos y disciplina para convertir hallazgos masivos en parches. Muchos proyectos críticos dependen de mantenedores voluntarios, presupuestos mínimos y cadenas de dependencia invisibles para el usuario común. Si modelos avanzados empiezan a revelar fallos enterrados en bibliotecas, compiladores, protocolos y herramientas abandonadas, la brecha entre quienes pueden responder y quienes apenas pueden sobrevivir podría ampliarse. La seguridad ya no dependerá solo de descubrir errores, sino de financiar el mantenimiento que permite cerrarlos.
Una tecnología capaz de alterar el equilibrio entre ataque y defensa
El episodio de Firefox marca un antes y un después porque combina tres señales: un bug de 20 años, una ola de parches sin precedentes y una tecnología capaz de alterar el equilibrio entre ataque y defensa. La buena noticia es que los defectos parecen finitos y detectables. La mala es que el reloj se aceleró para todos.
En la nueva etapa, actualizar no será una recomendación técnica, sino una forma básica de supervivencia digital para usuarios, empresas, gobiernos y comunidades de software. Quien tarde en parchear navegará con una deuda invisible, acumulada durante años, pero cobrable en minutos por modelos que ya aprendieron a mirar profundo y actuar con precisión quirúrgica.
