Andrea MartínezAnthropic se convirtió esta semana en uno de los temas más buscados en Estados Unidos, impulsado por una serie de novedades que van desde el lanzamiento de nuevos modelos de inteligencia artificial hasta una controversia con el Departamento de Defensa y una valuación que supera los 800.000 millones de dólares. Pero más allá de los titulares financieros, lo que más debería importarles a las empresas que usan estas herramientas es una pregunta más práctica: ¿son realmente seguras para sus datos?
El 16 de abril de 2026, Bloomberg reveló que los propios ingenieros de seguridad de Anthropic descubrieron que un modelo experimental interno, denominado "Mythos", era capaz de comprometer sistemas informáticos modernos. La empresa decidió no lanzarlo al público. Días después, el CEO Dario Amodei se reunió con la Casa Blanca para discutir una disputa con el Pentágono, que había vetado el uso de sus modelos en algunos contratos gubernamentales.
Para las pequeñas y medianas empresas que han adoptado herramientas de IA como Claude para redactar textos, analizar datos o automatizar tareas, estas noticias son una señal de alerta que merece atención.
Qué reveló el caso Mythos sobre los riesgos de la IA
Que una empresa de IA descubra vulnerabilidades en sus propios modelos y decida no publicarlos es, en realidad, buena noticia en términos de responsabilidad. Pero también confirma algo que los especialistas en ciberseguridad llevan años advirtiendo: los modelos de lenguaje grandes (LLMs) no son simplemente software neutro; pueden ser entrenados —o manipulados mediante "jailbreaking"— para generar instrucciones que faciliten ataques informáticos.
Para una empresa que usa IA para interactuar con sus bases de datos, sus sistemas de CRM o sus correos corporativos, esto tiene implicaciones concretas. Si un modelo puede ser manipulado por un actor externo para extraer información o generar código malicioso, los controles de acceso de esa empresa necesitan ser revisados.
Las tres preguntas que toda empresa debe hacerse antes de adoptar IA
Según la guía de gestión de riesgos de IA del Instituto Nacional de Estándares y Tecnología (NIST), cualquier organización que integre modelos de IA en sus operaciones debe responder tres preguntas fundamentales:
1. ¿Dónde van sus datos? Cuando usted introduce información en una herramienta de IA —texto de contratos, datos de clientes, correos internos— ¿esos datos se usan para entrenar futuros modelos? ¿Están cifrados en tránsito y en reposo? Las políticas de uso de datos de Anthropic permiten a las empresas con cuentas "Team" y "Enterprise" optar por no compartir datos para entrenamiento, pero esta opción debe activarse explícitamente.
2. ¿Qué permisos tiene la IA en sus sistemas? Con el lanzamiento de "Routines" de Claude Code el 14 de abril de 2026 —automatizaciones programadas que se ejecutan en la infraestructura de Anthropic— la IA ya no es solo una herramienta de consulta. Es un agente que puede ejecutar tareas en su nombre. Para cumplir con regulaciones como HIPAA (salud), SOX (finanzas) o CCPA (datos personales de californianos), las empresas deben saber exactamente qué acciones puede tomar la IA de forma autónoma.
3. ¿Qué pasa si la IA falla? En abril de 2026, usuarios de Claude en VentureBeat reportaron degradación del rendimiento: el modelo fallaba en seguir instrucciones complejas con mayor frecuencia. Para empresas que han integrado IA en flujos de trabajo críticos —respuesta a clientes, análisis legal, generación de reportes financieros— un fallo no anunciado puede tener consecuencias operativas serias. ¿Tiene su empresa un plan de contingencia?
El escenario de riesgo específico para las pymes
Para una empresa mediana con 10 a 200 empleados, el riesgo no es que Anthropic lance un modelo peligroso. El riesgo real es más cotidiano:
- Fuga de datos por accidente: un empleado pega un contrato confidencial en una herramienta de IA sin saber que los datos pueden ser usados para entrenamiento
- Dependencia excesiva: si un proveedor de IA cambia su política, sus precios o es bloqueado (como ocurrió con el Pentágono), los flujos de trabajo que dependían de él se interrumpen
- Automatizaciones sin supervisión: las nuevas funciones de agentes de IA que ejecutan tareas de forma autónoma requieren políticas internas claras sobre qué pueden y no pueden hacer
Ninguno de estos riesgos requiere que un modelo sea malicioso. Basta con que las políticas internas no estén al día.
Cómo un especialista en IT puede ayudar a su empresa hoy
Un consultor o especialista en tecnología de la información puede evaluar qué herramientas de IA está usando su empresa, cómo están configuradas y qué riesgos de cumplimiento normativo presenta cada una.
Concretamente, un especialista IT puede: revisar las políticas de privacidad de los proveedores de IA que su empresa usa, establecer controles de acceso para evitar que datos sensibles lleguen a modelos externos, diseñar políticas internas de uso aceptable de IA para sus empleados, y evaluar si las automatizaciones basadas en IA cumplen con las regulaciones aplicables a su sector.
La noticia de Anthropic esta semana no es una alarma de emergencia, pero sí es un buen recordatorio de que adoptar IA sin una revisión técnica y legal adecuada puede generar vulnerabilidades que tardan meses en detectarse.
Si su empresa está usando herramientas de IA y quiere asegurarse de que lo hace de forma segura, Expert Zoom le conecta con especialistas en tecnología de la información disponibles para una consulta en su idioma. También puede leer nuestra guía sobre cómo las pequeñas empresas en EE. UU. deben abordar el cumplimiento normativo con IA en 2026.
