El correo electrónico y las hojas de cálculo no sobrevivirán a la era de Mythos
Por qué las organizaciones federadas son cada vez más vulnerables a los fallos de coordinación, y qué reveló la interrupción del servicio de julio de 2024.
14 de julio de 2026
·Blog
·Comunicaciones seguras
%3Aquality(100)&w=3840&q=75)
El problema no es la detección
En abril, Anthropic dio a conocer Claude Mythos y decidió no lanzarlo. La decisión en sí misma ya fue notable. Pero el motivo lo fue aún más.
Según las evaluaciones publicadas por Anthropic, Mythos es capaz de detectar y explotar de forma autónoma vulnerabilidades de día cero en todos los principales sistemas operativos y navegadores web. En pruebas controladas, convirtió las vulnerabilidades de los navegadores en exploits funcionales en el 72 % de los casos, frente a unas tasas de éxito prácticamente nulas de la generación anterior.
La tendencia general apunta en la misma dirección. Según datos independientes sobre inteligencia de amenazas, el tiempo medio que tardan los atacantes en burlar las defensas será de 29 minutos en 2026, lo que supone una mejora del 65 % con respecto a 2024, mientras que los ataques asistidos por IA se han disparado un 89 % interanual.
La mayor parte del debate se ha centrado en lo que significan estas cifras para la detección. Es lógico. La detección es importante.
Pero la detección ya no es el problema más difícil.
El mayor reto es de carácter operativo: cómo las organizaciones convierten una alerta en una acción coordinada en la que participan decenas, cientos o incluso miles de personas. Esa dimensión —las personas, las decisiones, las comunicaciones y las dependencias que rodean la respuesta ante incidentes— se ha mantenido unida discretamente durante años gracias al correo electrónico, las hojas de cálculo y las llamadas periódicas para informar del estado de la situación.
Esas herramientas no van a desaparecer. Lo que sí desaparece son los supuestos que las hacían viables.
La falta de coordinación
Cuando se produce un incidente grave, el proceso suele ser el de siempre. Se activa una alerta. Empiezan a llover los correos electrónicos. Aparece una hoja de cálculo. Se programa una reunión de coordinación permanente.
En poco tiempo, la respuesta aparece en cuatro sitios a la vez, y nadie sabe con certeza cuál de las versiones se ajusta a la realidad.
He visto cómo las iniciativas de respuesta a nivel mundial dependían de un único archivo de Excel. Tres personas lo actualizaban. Veinte se quedaban mirándolo fijamente. Todos esperaban que fuera exacto.
Nada de esto refleja una falta de competencia. Estos procesos se desarrollaron porque resultaban prácticos. Funcionaban lo suficientemente bien para el entorno al que se enfrentaban las organizaciones en aquel momento.
Cuando los plazos de corrección se prolongaban durante días o semanas, las dificultades eran manejables. Un informe de situación cuya elaboración llevaba seis horas resultaba molesto, pero no era un problema existencial. Las organizaciones disponían de tiempo suficiente para absorber los retrasos, conciliar las actualizaciones contradictorias y construir gradualmente un panorama operativo común.
Esas cifras están cambiando.
Cuando los atacantes pueden pasar de la intrusión a la escalada de privilegios en cuestión de minutos, un ciclo de coordinación que se mide en horas deja de ser un ciclo de coordinación. Se convierte en parte de la exposición.
El problema no es la vulnerabilidad en sí misma, sino la brecha entre el ritmo operativo y la respuesta de la organización.
Un proceso basado en listas de distribución de correo electrónico, la recopilación manual de información sobre el estado y reuniones periódicas nunca se diseñó para un entorno de amenazas que evoluciona a la velocidad de una máquina. Las mismas vulnerabilidades que antes permitían plazos de corrección de varios días pueden ahora ser aprovechadas como arma antes incluso de que el tercer destinatario haya abierto el correo electrónico.
No se trata de un escenario futuro hipotético. Las personas que desarrollan y estudian estos sistemas describen precisamente este cambio.
Al mismo tiempo, Mythos no fue el que inició esta tendencia. Simplemente hace que sea más difícil pasar por alto su evolución.
La advertencia que ya hemos recibido
Los defensas ya pudieron vislumbrar este futuro en julio de 2024.
La interrupción global provocada por CrowdStrike suele recordarse como una actualización de software defectuosa con consecuencias inusualmente graves. Sin embargo, lo que realmente puso de manifiesto fue algo más fundamental: muchas organizaciones se vieron obligadas a coordinar complejas labores de recuperación mientras parte de su infraestructura habitual de comunicaciones y de TI no estaba disponible.
Durante horas —y, en algunos casos, días—, los equipos distribuidos tuvieron que tomar decisiones cruciales sin poder acceder a los sistemas de los que solían depender.
Algunas organizaciones se adaptaron sorprendentemente bien. Ya contaban con arquitecturas de comunicación capaces de llegar a las personas a través de canales independientes de los sistemas que habían fallado. Recopilaron informes estructurados sobre la situación en lugar de basarse en respuestas por correo electrónico de formato libre. Mantuvieron la coordinación durante todo el proceso de recuperación, en lugar de tener que volver a establecer la visión de la situación al inicio de cada llamada.
Otros tuvieron dificultades porque su modelo de coordinación dependía precisamente de los sistemas que ya no estaban disponibles.
La lección no tenía mucho que ver con CrowdStrike en concreto.
Fue una advertencia sobre lo que ocurre cuando la coordinación operativa se convierte en el eslabón más débil.
Dónde se rompe primero la coordinación
Las organizaciones federadas se enfrentan a la versión más aguda de este reto.
Gobiernos nacionales con jurisdicciones autónomas. Redes sanitarias formadas por instituciones independientes. Grupos de servicios financieros con entidades afiliadas. Organizaciones multinacionales que operan a través de estructuras regionales semiindependientes.
Estos entornos comparten una característica común: la autoridad está distribuida.
La sede central puede tener visibilidad, pero un control limitado. Las entidades individuales pueden tener autoridad, pero una visibilidad limitada más allá de sus propios límites. A menudo, los mecanismos informales cubren las lagunas entre ambas, y es precisamente por eso por lo que las cadenas de correo electrónico, las hojas de cálculo y las llamadas periódicas se convierten en el método de coordinación por defecto.
En un entorno de amenazas cada vez más dinámico, esas lagunas resultan cada vez más difíciles de tolerar.
Construyendo para la Era del Mito
Los requisitos para abordarlos no son especialmente complicados.
En primer lugar, la capa de coordinación no puede depender de los sistemas que están siendo objeto de un ataque.
En segundo lugar, los informes de estado deben estar bien estructurados. Los mensajes de difusión generan ambigüedad, y la ambigüedad sale cara cuando cada minuto cuenta.
En tercer lugar, los responsables de la toma de decisiones a nivel ejecutivo y gubernamental necesitan sistemas de comunicación fiables que sigan estando disponibles incluso cuando no se pueda confiar en la infraestructura principal.
Nada de esto se puede poner en marcha en medio de un incidente. La arquitectura tiene que estar ya establecida antes de que comience el suceso.
Los marcos normativos, como la Directiva NIS2, ya apuntan en esta dirección a través de requisitos relacionados con la respuesta coordinada, la resiliencia y la continuidad de los servicios esenciales. En muchos aspectos, la normativa se está adaptando a las circunstancias que las organizaciones ya están viviendo.
El riesgo radica en dar por sentado que basta con cumplir la normativa.
Hay organizaciones que cumplen todos los requisitos de información y, aun así, se dan cuenta de que su modelo de coordinación se viene abajo ante la presión. Una arquitectura puede superar una auditoría y, al mismo tiempo, fallar ante un incidente.
Esa distinción es ahora más importante que antes.
La verdadera pregunta
El correo electrónico y las hojas de cálculo no se han convertido de repente en malas herramientas. Simplemente se han vuelto lentas.
Durante años, las organizaciones pudieron compensar esa limitación porque el entorno de amenazas evolucionaba con la suficiente lentitud como para adaptarse a ella.
Cada vez más, esa suposición ya no se cumple.
CrowdStrike ha revelado lo que ocurre cuando la coordinación se complica. Mythos apunta hacia un futuro en el que la coordinación se convertirá en el factor determinante.
La cuestión ya no es si las organizaciones pueden detectar un ataque.
La cuestión es si serán capaces de coordinar una respuesta antes de que el atacante logre su objetivo.
El correo electrónico y las hojas de cálculo no sobrevivirán a la era de Mythos
Por qué las organizaciones federadas son cada vez más vulnerables a los fallos de coordinación, y qué reveló la interrupción del servicio de julio de 2024.
14 de julio de 2026
·Blog
·Comunicaciones seguras
%3Aquality(100)&w=3840&q=75)
El problema no es la detección
En abril, Anthropic dio a conocer Claude Mythos y decidió no lanzarlo. La decisión en sí misma ya fue notable. Pero el motivo lo fue aún más.
Según las evaluaciones publicadas por Anthropic, Mythos es capaz de detectar y explotar de forma autónoma vulnerabilidades de día cero en todos los principales sistemas operativos y navegadores web. En pruebas controladas, convirtió las vulnerabilidades de los navegadores en exploits funcionales en el 72 % de los casos, frente a unas tasas de éxito prácticamente nulas de la generación anterior.
La tendencia general apunta en la misma dirección. Según datos independientes sobre inteligencia de amenazas, el tiempo medio que tardan los atacantes en burlar las defensas será de 29 minutos en 2026, lo que supone una mejora del 65 % con respecto a 2024, mientras que los ataques asistidos por IA se han disparado un 89 % interanual.
La mayor parte del debate se ha centrado en lo que significan estas cifras para la detección. Es lógico. La detección es importante.
Pero la detección ya no es el problema más difícil.
El mayor reto es de carácter operativo: cómo las organizaciones convierten una alerta en una acción coordinada en la que participan decenas, cientos o incluso miles de personas. Esa dimensión —las personas, las decisiones, las comunicaciones y las dependencias que rodean la respuesta ante incidentes— se ha mantenido unida discretamente durante años gracias al correo electrónico, las hojas de cálculo y las llamadas periódicas para informar del estado de la situación.
Esas herramientas no van a desaparecer. Lo que sí desaparece son los supuestos que las hacían viables.
La falta de coordinación
Cuando se produce un incidente grave, el proceso suele ser el de siempre. Se activa una alerta. Empiezan a llover los correos electrónicos. Aparece una hoja de cálculo. Se programa una reunión de coordinación permanente.
En poco tiempo, la respuesta aparece en cuatro sitios a la vez, y nadie sabe con certeza cuál de las versiones se ajusta a la realidad.
He visto cómo las iniciativas de respuesta a nivel mundial dependían de un único archivo de Excel. Tres personas lo actualizaban. Veinte se quedaban mirándolo fijamente. Todos esperaban que fuera exacto.
Nada de esto refleja una falta de competencia. Estos procesos se desarrollaron porque resultaban prácticos. Funcionaban lo suficientemente bien para el entorno al que se enfrentaban las organizaciones en aquel momento.
Cuando los plazos de corrección se prolongaban durante días o semanas, las dificultades eran manejables. Un informe de situación cuya elaboración llevaba seis horas resultaba molesto, pero no era un problema existencial. Las organizaciones disponían de tiempo suficiente para absorber los retrasos, conciliar las actualizaciones contradictorias y construir gradualmente un panorama operativo común.
Esas cifras están cambiando.
Cuando los atacantes pueden pasar de la intrusión a la escalada de privilegios en cuestión de minutos, un ciclo de coordinación que se mide en horas deja de ser un ciclo de coordinación. Se convierte en parte de la exposición.
El problema no es la vulnerabilidad en sí misma, sino la brecha entre el ritmo operativo y la respuesta de la organización.
Un proceso basado en listas de distribución de correo electrónico, la recopilación manual de información sobre el estado y reuniones periódicas nunca se diseñó para un entorno de amenazas que evoluciona a la velocidad de una máquina. Las mismas vulnerabilidades que antes permitían plazos de corrección de varios días pueden ahora ser aprovechadas como arma antes incluso de que el tercer destinatario haya abierto el correo electrónico.
No se trata de un escenario futuro hipotético. Las personas que desarrollan y estudian estos sistemas describen precisamente este cambio.
Al mismo tiempo, Mythos no fue el que inició esta tendencia. Simplemente hace que sea más difícil pasar por alto su evolución.
La advertencia que ya hemos recibido
Los defensas ya pudieron vislumbrar este futuro en julio de 2024.
La interrupción global provocada por CrowdStrike suele recordarse como una actualización de software defectuosa con consecuencias inusualmente graves. Sin embargo, lo que realmente puso de manifiesto fue algo más fundamental: muchas organizaciones se vieron obligadas a coordinar complejas labores de recuperación mientras parte de su infraestructura habitual de comunicaciones y de TI no estaba disponible.
Durante horas —y, en algunos casos, días—, los equipos distribuidos tuvieron que tomar decisiones cruciales sin poder acceder a los sistemas de los que solían depender.
Algunas organizaciones se adaptaron sorprendentemente bien. Ya contaban con arquitecturas de comunicación capaces de llegar a las personas a través de canales independientes de los sistemas que habían fallado. Recopilaron informes estructurados sobre la situación en lugar de basarse en respuestas por correo electrónico de formato libre. Mantuvieron la coordinación durante todo el proceso de recuperación, en lugar de tener que volver a establecer la visión de la situación al inicio de cada llamada.
Otros tuvieron dificultades porque su modelo de coordinación dependía precisamente de los sistemas que ya no estaban disponibles.
La lección no tenía mucho que ver con CrowdStrike en concreto.
Fue una advertencia sobre lo que ocurre cuando la coordinación operativa se convierte en el eslabón más débil.
Dónde se rompe primero la coordinación
Las organizaciones federadas se enfrentan a la versión más aguda de este reto.
Gobiernos nacionales con jurisdicciones autónomas. Redes sanitarias formadas por instituciones independientes. Grupos de servicios financieros con entidades afiliadas. Organizaciones multinacionales que operan a través de estructuras regionales semiindependientes.
Estos entornos comparten una característica común: la autoridad está distribuida.
La sede central puede tener visibilidad, pero un control limitado. Las entidades individuales pueden tener autoridad, pero una visibilidad limitada más allá de sus propios límites. A menudo, los mecanismos informales cubren las lagunas entre ambas, y es precisamente por eso por lo que las cadenas de correo electrónico, las hojas de cálculo y las llamadas periódicas se convierten en el método de coordinación por defecto.
En un entorno de amenazas cada vez más dinámico, esas lagunas resultan cada vez más difíciles de tolerar.
Construyendo para la Era del Mito
Los requisitos para abordarlos no son especialmente complicados.
En primer lugar, la capa de coordinación no puede depender de los sistemas que están siendo objeto de un ataque.
En segundo lugar, los informes de estado deben estar bien estructurados. Los mensajes de difusión generan ambigüedad, y la ambigüedad sale cara cuando cada minuto cuenta.
En tercer lugar, los responsables de la toma de decisiones a nivel ejecutivo y gubernamental necesitan sistemas de comunicación fiables que sigan estando disponibles incluso cuando no se pueda confiar en la infraestructura principal.
Nada de esto se puede poner en marcha en medio de un incidente. La arquitectura tiene que estar ya establecida antes de que comience el suceso.
Los marcos normativos, como la Directiva NIS2, ya apuntan en esta dirección a través de requisitos relacionados con la respuesta coordinada, la resiliencia y la continuidad de los servicios esenciales. En muchos aspectos, la normativa se está adaptando a las circunstancias que las organizaciones ya están viviendo.
El riesgo radica en dar por sentado que basta con cumplir la normativa.
Hay organizaciones que cumplen todos los requisitos de información y, aun así, se dan cuenta de que su modelo de coordinación se viene abajo ante la presión. Una arquitectura puede superar una auditoría y, al mismo tiempo, fallar ante un incidente.
Esa distinción es ahora más importante que antes.
La verdadera pregunta
El correo electrónico y las hojas de cálculo no se han convertido de repente en malas herramientas. Simplemente se han vuelto lentas.
Durante años, las organizaciones pudieron compensar esa limitación porque el entorno de amenazas evolucionaba con la suficiente lentitud como para adaptarse a ella.
Cada vez más, esa suposición ya no se cumple.
CrowdStrike ha revelado lo que ocurre cuando la coordinación se complica. Mythos apunta hacia un futuro en el que la coordinación se convertirá en el factor determinante.
La cuestión ya no es si las organizaciones pueden detectar un ataque.
La cuestión es si serán capaces de coordinar una respuesta antes de que el atacante logre su objetivo.
%3Aquality(100)&w=3840&q=75)