La última gran revisión de Mozilla Firefox ha llegado con una sorpresa mayúscula entre bastidores: el navegador ha tenido que parchear 271 vulnerabilidades de seguridad tras someter su código a un análisis intensivo con Claude Mythos, el modelo de inteligencia artificial especializado en ciberseguridad de Anthropic. Lejos de ser un simple experimento, el caso se está tomando como un posible punto de inflexión en cómo se protegen las grandes aplicaciones conectadas a Internet.
Mozilla lleva años presumiendo de que Firefox es uno de los navegadores de código abierto más auditados y sólidos, pero la colaboración con Anthropic ha mostrado que todavía había una cantidad considerable de fallos latentes. La buena noticia es que se han corregido antes de que pudieran ser aprovechados; la inquietud viene de comprobar hasta qué punto la superficie de ataque seguía escondiendo puntos débiles que ni las pruebas manuales ni las técnicas clásicas de análisis habían detectado.
Firefox 150: una actualización marcada por 271 vulnerabilidades corregidas
Según ha explicado Bobby Holley, CTO de Mozilla, el trabajo se enmarca en una colaboración directa con Anthropic dentro de Project Glasswing, el programa restringido con el que la compañía de IA permite a socios tecnológicos analizar software crítico. En el caso de Firefox, el escaneo se centró en el código fuente del navegador, con especial atención a componentes sensibles como el motor de renderizado, el sandbox y las capas de aislamiento de procesos.
Holley reconoce que, históricamente, el sector ha asumido que eliminar por completo los exploits era un objetivo poco realista. La estrategia pasaba por dificultar al máximo los ataques mediante capas de defensa en profundidad, sandboxing y lenguajes más seguros como Rust, pero siempre aceptando que alguna brecha acabaría apareciendo. El hallazgo masivo de Mythos refuerza esa idea, pero a la vez muestra que la balanza puede empezar a moverse a favor de los defensores.
El propio CTO señala que un solo fallo de la categoría de los encontrados habría sido motivo de alerta roja en 2025 para un objetivo muy protegido. De ahí el vértigo que, según Mozilla, se ha extendido por otros equipos de seguridad cuando han visto el número total de vulnerabilidades destapadas de golpe, un escenario que pone a prueba la capacidad de reacción de cualquier organización.
De Opus a Mythos: salto de escala en la auditoría con IA
La colaboración entre Mozilla y Anthropic no empieza con Mythos. Meses antes, la fundación había probado Claude Opus 4.6, otro modelo avanzado de Anthropic, para revisar una versión anterior del navegador. Aquella primera prueba concluyó con la corrección de 22 problemas de seguridad en Firefox 148, algunos de ellos de gravedad alta, y ya entonces se consideró un resultado notable.
La llegada de Claude Mythos Preview ha supuesto, sin embargo, un salto de escala de unas doce veces en número de vulnerabilidades detectadas. Mientras Opus 4.6 localizó un par de decenas de fallos, Mythos ha destapado 271 y, en pruebas internas, ha llegado a generar más de 180 exploits funcionales que demuestran la explotabilidad real de los errores. En términos de productividad de auditoría, es una mejora difícil de ignorar.
Desde Mozilla subrayan que el modelo de Anthropic ha alcanzado un desempeño equiparable al de investigadores humanos de élite. Lo relevante, matizan, no es que descubra tipos de vulnerabilidad totalmente nuevos, sino que es capaz de localizar de forma sistemática muchos de los problemas que un experto también podría encontrar, pero en un tiempo muy inferior y a una escala prácticamente inasumible para equipos manuales.
Un punto que la organización insiste en destacar es que no se ha detectado ninguna vulnerabilidad que estuviera fuera del alcance de un buen investigador humano. Esto encaja con la visión de Mozilla, que no cree que la IA vaya a sacar de la nada formas de ataque que desafíen por completo la comprensión actual de la seguridad; más bien, amplifica el trabajo que ya se sabe hacer, pero sin las limitaciones de tiempo, cansancio o recursos.
Para una aplicación compleja y modular como Firefox, diseñada precisamente para que humanos puedan razonar sobre sus distintas piezas, este enfoque tiene sentido. Lo que cambia no es tanto la naturaleza de los errores como la capacidad de descubrir muchos más en menos tiempo, algo clave para un navegador que sirve de puerta de entrada a miles de servicios y aplicaciones, incluidas plataformas financieras, herramientas de trabajo remoto o servicios públicos en línea en la Unión Europea.
Del modelo ofensivo al intento de ventaja defensiva
Durante años, la seguridad del software se ha movido en un equilibrio incómodo entre atacantes y defensores. La superficie de ataque de un navegador moderno es tan amplia que resulta imposible cubrirla por completo con las herramientas tradicionales, lo que ha dado a los atacantes una ventaja asimétrica: solo necesitan encontrar una brecha bien situada para conseguir su objetivo.
Mozilla admite que su estrategia se ha apoyado en una combinación de defensa en profundidad, sandboxing estricto y uso intensivo de Rust para minimizar ciertas familias de errores. A eso se suman técnicas como el fuzzing, que somete el código a entradas aleatorias para forzar fallos inesperados. Sin embargo, el propio equipo de Firefox reconoce que hay zonas del código mucho más difíciles de fuzzear, lo que deja huecos de cobertura que pueden ser aprovechados por atacantes pacientes.
El uso de una IA como Claude Mythos introduce una pieza nueva en ese tablero. A diferencia de las pruebas aleatorias o de las revisiones manuales, el modelo es capaz de razonar sobre el código fuente, identificar patrones sospechosos y proponer exploits que demuestran si un fallo es realmente crítico. De este modo, se reduce la dependencia exclusiva de equipos humanos muy especializados, que son escasos y no dan abasto para la cantidad de software que hay que revisar.
Para Mozilla, esto abre la puerta a cerrar poco a poco la brecha entre los errores que pueden detectar las máquinas y los que consiguen localizar los expertos humanos. Si el coste de encontrar vulnerabilidades cae de forma drástica para los defensores, desaparece parte de la ventaja estructural que tenían quienes atacan, acostumbrados a dedicar meses de trabajo a cazar un solo fallo rentable.
Holley admite que el impacto inicial de ver tantos errores a la vez fue poco menos que un terremoto interno, pero sostiene que, una vez pasado el susto, la sensación es positiva: si se consiguen priorizar recursos y centrar esfuerzos en corregir lo que la IA saca a la luz, los defensores pueden empezar a jugar con las mismas armas. Eso sí, siempre y cuando existan equipos capaces de absorber el volumen de resultados y traducirlos en parches efectivos.
Riesgos de una IA de seguridad tan potente: doble filo evidente
En paralelo al entusiasmo moderado de Mozilla, buena parte del sector de la ciberseguridad europea observa con atención el potencial de abuso de herramientas como Claude Mythos. El mismo sistema que permite encontrar fallos en Firefox podría emplearse, en manos inadecuadas, para automatizar el descubrimiento de vulnerabilidades en sistemas operativos, hot wallets, aplicaciones descentralizadas o servicios críticos de infraestructura.
Anthropic es consciente de ese riesgo y, de hecho, mantiene Mythos bajo un acceso muy limitado a través de Project Glasswing. Grandes tecnológicas como Apple, Microsoft, Google, Amazon Web Services, la Fundación Linux o la propia Mozilla forman parte de ese círculo, que utiliza el modelo para auditar software propio y, en algunos casos, infraestructuras estratégicas. La idea es controlar de cerca qué se analiza y con qué objetivos.
Informes recientes apuntan a que, en pruebas controladas, Claude Mythos ha llegado a identificar y explotar vulnerabilidades de día cero en sistemas ampliamente utilizados, desde navegadores hasta sistemas operativos. Incluso se ha documentado que puede realizar operaciones cibernéticas complejas de forma bastante autónoma, como simulaciones de intrusión en redes corporativas en varias etapas.
Estas capacidades han despertado el interés no solo de empresas, sino también de gobiernos y agencias de inteligencia. En Estados Unidos, por ejemplo, se ha informado de que la Agencia de Seguridad Nacional ha llegado a ejecutar Mythos en redes clasificadas, a pesar de las reservas públicas sobre el uso de herramientas de este tipo en contextos bélicos o de vigilancia.
Para Europa, donde el debate sobre la regulación de la IA y la protección de datos es especialmente intenso, casos como el de Firefox y Mythos ofrecen munición a todas las partes: por un lado, muestran el valor de una IA bien gobernada para proteger a millones de usuarios; por otro, ponen de relieve la necesidad de asegurar que este tipo de modelos no acaban alimentando nuevas generaciones de ataques automatizados a gran escala.
Impacto en el ecosistema de software abierto y en los usuarios europeos
Firefox ocupa una posición particular en el panorama de navegadores. Aunque ha perdido cuota frente a Chromium y derivados, sigue siendo una pieza clave en entornos donde se valora el software libre y la privacidad, como muchas administraciones públicas europeas, instituciones académicas y usuarios avanzados en sistemas GNU/Linux.
En ese contexto, el descubrimiento de 271 vulnerabilidades puede leerse de dos maneras. Por un lado, confirma que incluso proyectos de código abierto muy auditados pueden esconder un número elevado de fallos, sencillamente porque la base de código es enorme y la revisión manual no llega a todas partes. Por otro, demuestra que el modelo de desarrollo abierto facilita que herramientas externas, incluidas IA avanzadas, puedan inspeccionar el código y contribuir a mejorar su seguridad.
Mozilla reconoce que, con la ayuda de Mythos, ahora tiene una larga lista de tareas pendientes para reforzar la seguridad de su aplicación estrella. Para los usuarios finales en España y el resto de Europa, la recomendación es sencilla: mantener el navegador actualizado para beneficiarse de estos parches. La versión 150 no solo corrige los fallos detectados, sino que mantiene el ritmo de mejoras en rendimiento, compatibilidad y funciones como el sandboxing o la gestión de permisos de red local.
Además, el caso de Firefox puede servir de precedente para otros proyectos de código abierto que se utilizan a diario en empresas, organismos públicos o servicios críticos. Herramientas ampliamente desplegadas —servidores web, librerías criptográficas, frameworks de desarrollo— podrían beneficiarse de auditorías similares con IA, algo especialmente relevante en la Unión Europea, donde las directivas sobre ciberseguridad y resiliencia digital son cada vez más exigentes.
El reto, como admite la propia Mozilla, es que muchos de estos proyectos no cuentan con los recursos humanos ni económicos suficientes para absorber el caudal de hallazgos que un modelo como Mythos puede generar. Ahí es donde entran en juego tanto las fundaciones de software libre como las políticas públicas de apoyo a la seguridad del código abierto, un tema que en Bruselas ya se ha puesto sobre la mesa a raíz de incidentes como Log4Shell.
Una nueva fase en la relación entre humanos e IA en ciberseguridad
Más allá de la anécdota de las 271 vulnerabilidades, lo que plantea el caso de Firefox es un cambio de enfoque en la relación entre investigadores humanos e IA en ciberseguridad. En lugar de contraponer una cosa a la otra, Mozilla apuesta por un modelo en el que los modelos avanzados amplían la capacidad de los equipos de seguridad, sin sustituir su criterio ni su experiencia.
La organización describe a Claude Mythos como una especie de investigador de seguridad incansable, capaz de revisar grandes cantidades de código, proponer explotaciones y señalar patrones de riesgo. A su lado, los especialistas humanos siguen siendo responsables de priorizar, confirmar, corregir y decidir qué cambios se introducen en el producto final.
Esta visión colaborativa tiene implicaciones directas para el mercado europeo de ciberseguridad, donde ya operan empresas y centros de investigación que experimentan con IA para auditorías de código, análisis de malware o detección de intrusiones. Si los resultados de Mozilla se replican en otros proyectos, puede que veamos cómo los tiempos de reacción frente a fallos críticos se acortan y cómo la presión sobre equipos de seguridad saturados se reduce, al menos en parte.
Al mismo tiempo, la experiencia de Anthropic y Mozilla deja clara la importancia de evaluar de nuevo los métodos con los que se mide el rendimiento de los modelos de IA en tareas de seguridad. La propia Anthropic ha admitido que muchos de los benchmarks actuales ya se han quedado cortos para valorar las capacidades reales de sus sistemas más recientes, lo que obliga a diseñar pruebas más exigentes y representativas.
Si algo parecen tener claro tanto Mozilla como Anthropic es que, por ahora, no existe un sustituto completo para el juicio humano en la gestión de riesgos. La IA acelera y amplía la búsqueda de problemas, pero la decisión de qué se corrige, cómo se hace y con qué calendario sigue dependiendo de equipos de personas que tienen que equilibrar seguridad, impacto en el usuario y recursos disponibles.
Todo apunta a que la publicación de Firefox 150 con parches para 271 vulnerabilidades marcadas por Claude Mythos será recordada como el momento en que la ciberseguridad dio un paso serio hacia la automatización inteligente. El navegador de Mozilla se convierte así en un caso de estudio sobre cómo integrar IA de alto nivel en el ciclo de desarrollo y mantenimiento de un producto crítico, sin perder de vista los riesgos asociados ni la necesidad de un control humano estrecho. Para usuarios, desarrolladores y responsables de políticas en España y Europa, la lección es clara: la inteligencia artificial ya no es solo un concepto futurista, sino una herramienta que empieza a reequilibrar la balanza en una batalla que llevaba décadas inclinada del lado de los atacantes.
