La colaboración entre Mozilla y Anthropic ha destapado una cantidad inusual de vulnerabilidades críticas en Firefox, cambiando de golpe la conversación sobre la seguridad de los navegadores web. Lo que hasta hace poco parecía ciencia ficción —una IA capaz de revisar un código masivo y encontrar errores que se han escapado durante años— empieza a ser una realidad operativa.
En pocas semanas de pruebas internas, el modelo Mythos de Anthropic fue capaz de detectar cientos de fallos que habían pasado desapercibidos para ingenieros, herramientas de auditoría tradicionales y sistemas de fuzzing. Entre ellos había errores enterrados desde hace más de 10 o incluso 20 años, algunos en componentes tan delicados como el sandbox del navegador.
Un salto cuantitativo y cualitativo en detección de fallos
Según la documentación compartida por Mozilla, la llegada de Mythos marcó un salto de más de diez veces en el número de vulnerabilidades detectadas frente a los modelos anteriores de Anthropic. En ciclos previos de desarrollo, herramientas como Claude Opus 4.6 habían localizado unas pocas decenas de bugs críticos; con Mythos, la cifra se disparó hasta las 271 vulnerabilidades confirmadas en una sola ronda de análisis de Firefox.
Ese cambio también se refleja en las cifras de mantenimiento del navegador: solo en abril de 2026 Firefox llegó a publicar 423 correcciones de errores, frente a las 31 registradas en el mismo mes de 2025. No todas esas correcciones proceden directamente de Mythos, pero Mozilla vincula buena parte del aumento a la nueva forma de trabajar con la inteligencia artificial.
Los ingenieros de la organización han insistido en que no se trata de vulnerabilidades «imposibles» para un experto humano, sino de un problema de escala. Un investigador de primer nivel habría podido encontrar muchas de ellas, pero no con la velocidad ni el volumen que permite un modelo que recorre millones de líneas de código y propone casos de prueba de manera sistemática.
En este contexto, responsables técnicos como Bobby Holley, CTO de Mozilla, y Brian Grinstead, ingeniero distinguido, describen la experiencia con frases contundentes: la dinámica de la búsqueda de errores ha cambiado en cuestión de meses, gracias a modelos más capaces y a un ajuste fino en la forma de integrarlos en los flujos internos de seguridad.
Para quienes siguen la evolución de la ciberseguridad en Europa, este giro tiene implicaciones evidentes: proyectos de código abierto o empresas europeas con recursos limitados podrían apoyarse en técnicas similares para elevar su nivel de protección a estándares que hace unos años estaban reservados a grandes tecnológicas.
Vulnerabilidades críticas: del sandbox a los errores de HTML
Uno de los aspectos que más ha llamado la atención a la comunidad es que Mythos logró identificar fallos de alta gravedad en el sandbox de Firefox, el mecanismo que actúa como «capa de aislamiento» para limitar los daños cuando un proceso del navegador se ve comprometido. Tocar esta parte del sistema no es precisamente sencillo.
Mozilla explicó que, para destapar este tipo de debilidades, la IA tuvo que recorrer un proceso de varios pasos: generar un parche para el navegador, aplicar ese cambio en una versión instrumentada y, a continuación, intentar explotar la parte más protegida del software sobre ese código modificado. Es una secuencia que exige combinar creatividad, precisión y una validación muy estricta.
La dificultad se mide también en términos económicos. El programa de recompensas de Mozilla llega a ofrecer hasta 20.000 dólares a quienes consigan descubrir un fallo en el sandbox de Firefox, la cifra más alta de su esquema de bug bounties. Aun así, el equipo reconoce que el volumen de problemas de sandbox que Mythos está sacando a la luz supera con creces lo que se conseguía históricamente con investigadores humanos.
Más allá del sandbox, la IA también ha sacado a relucir bugs especialmente longevos en otras áreas críticas del navegador. Entre los ejemplos que la propia Mozilla ha dado a conocer figura un error de unos 15 años en la interpretación de un elemento HTML, asociado al manejo del elemento <legend>, y otro fallo en el motor XSLT con alrededor de dos décadas en el código, capaz de provocar condiciones de memoria peligrosas en circunstancias muy específicas.
Este tipo de vulnerabilidades, que combinan una alta complejidad técnica con un impacto potencial para millones de usuarios, son especialmente delicadas para mercados como el español y el europeo, donde Firefox mantiene una base de usuarios relevante en entornos domésticos, educativos y de administración pública.
271 vulnerabilidades frente a 22: Mythos cambia la escala del problema
Los datos que han trascendido de la colaboración entre Mozilla y Anthropic permiten trazar una comparación clara: con una generación anterior de modelos de Anthropic se localizaron 22 vulnerabilidades críticas en un ciclo de revisión; con Mythos, la cifra ascendió a 271 fallos registrados y verificados.
De ese conjunto, la gran mayoría correspondía a vulnerabilidades de alta gravedad, con un número menor catalogado como de severidad moderada o baja. En la práctica, esto se traduce en que muchos de esos errores podían explotarse mediante comportamientos aparentemente inocuos del usuario, como visitar una página web especialmente preparada.
Mozilla detalla que las vulnerabilidades abarcaban desde fallos de parsing de HTML hasta problemas en mecanismos de sandboxing, pasando por condiciones de carrera asociadas a la comunicación entre procesos. Algunos errores permitían, por ejemplo, manipular contadores de referencia en IndexedDB para tratar de escapar de las restricciones del sandbox.
La organización reconoce que muchos de estos bugs habrían seguido latentes durante años sin la ayuda de la IA. En un ecosistema donde los navegadores son la puerta de entrada a servicios bancarios, trámites administrativos o herramientas empresariales en toda la Unión Europea, reducir esa ventana de exposición resulta clave para contener el riesgo.
Ante este escenario, voces del sector de la ciberseguridad señalan que la capacidad de análisis masivo de Mythos representa un cambio estructural: lo que antes exigía semanas o meses de auditoría manual por parte de especialistas, ahora puede comprimirse en días de análisis automatizado apoyado en modelos avanzados.
Un proceso híbrido: la IA encuentra errores, los humanos los corrigen
Pese a los avances, Mozilla ha dejado claro que no delega en la inteligencia artificial la corrección automática de las vulnerabilidades. Mythos se encarga de rastrear el código, identificar patrones sospechosos y proponer parches, pero el último tramo del trabajo sigue recayendo en ingenieros de carne y hueso.
En la práctica, el procedimiento es el siguiente: la IA genera un informe detallado de cada fallo, con descripciones técnicas y casos de prueba reproducibles; a partir de ahí, un desarrollador humano escribe el parche definitivo y otro ingeniero se encarga de revisarlo. Este paso doble de supervisión intenta reducir el riesgo de introducir nuevos errores a la hora de corregir los antiguos.
Los responsables de Firefox reconocen que, hoy por hoy, no han encontrado una manera fiable de automatizar el despliegue de parches generados íntegramente por IA. Prefieren utilizar el código sugerido por Mythos como referencia, como una especie de borrador que acelera el trabajo, pero no como solución cerrada lista para llegar al usuario final.
Esta distinción ayuda a separar dos debates que a menudo se mezclan. Por un lado, la IA se muestra muy eficaz para ampliar el «radar» de los equipos de seguridad, reducir falsos positivos y priorizar hallazgos. Por otro, su capacidad para producir automáticamente código de calidad industrial sigue siendo limitada y requiere supervisión intensiva.
En términos organizativos, esto apunta a un futuro inmediato en el que la seguridad se apoya en un modelo mixto: la inteligencia artificial se encarga de hacer el trabajo pesado de exploración y generación de hipótesis, mientras que los especialistas humanos toman las decisiones críticas sobre qué se corrige, cómo y en qué orden.
Así funciona el pipeline de seguridad con Mythos en Firefox
Para llegar a este punto, Mozilla no se limitó a entregar su código a un modelo y esperar resultados. La organización montó un pipeline de auditoría que integra Mythos con su infraestructura existente de pruebas automatizadas y fuzzing, distribuyendo la carga de trabajo entre múltiples máquinas y entornos de prueba.
El proceso se apoya en la arquitectura modular de Firefox: esta estructura por componentes facilita que la IA analice bloques de código bien delimitados, ejecute casos de prueba específicos y devuelva informes que luego pueden ser validados de manera más ágil por los equipos humanos.
Mythos actúa como un auditor exhaustivo que revisa millones de líneas de código, genera inputs maliciosos o extremos y observa cómo responde el navegador. Cuando detecta un comportamiento anómalo —un desbordamiento, una corrupción de memoria, una condición de carrera— lo documenta y propone una línea de corrección.
En paralelo, la propia IA filtra buena parte de los falsos positivos que históricamente saturaban a los equipos de seguridad. Antes, muchas herramientas generaban tantos avisos poco útiles que el tiempo dedicado a revisar informes superaba con creces los beneficios. Con los modelos actuales, una parte de este cribado se realiza de manera automática.
El resultado ha sido un esfuerzo colectivo considerable: más de un centenar de personas de Mozilla han participado en la corrección de las vulnerabilidades detectadas, con parches distribuidos en varias versiones del navegador (incluidas ediciones intermedias como 149.0.2, 150.0.1 o 150.0.2) para cerrar huecos cuanto antes.
Ventaja defensiva y riesgo de doble uso en ciberseguridad
La irrupción de herramientas como Mythos plantea una cuestión de fondo: ¿estas capacidades inclinarán la balanza a favor de quienes defienden sistemas o de quienes buscan romperlos? Ni Mozilla ni Anthropic ofrecen una respuesta cerrada, pero sí apuntan a algunos elementos clave.
Por un lado, responsables como Dario Amodei, CEO de Anthropic, sostienen una visión relativamente optimista. Su argumento es que existe un número limitado de errores por descubrir en un código dado, y que si las nuevas herramientas se gestionan con responsabilidad, podrían permitir «limpiar» gran parte de esas vulnerabilidades acumuladas a lo largo de los años.
Por otro lado, expertos y responsables de seguridad de Mozilla advierten que los mismos métodos que permiten encontrar vulnerabilidades para corregirlas pueden ser replicados con fines ofensivos, como campañas de extensiones maliciosas. Aunque Anthropic ha mantenido Mythos en un programa de acceso restringido y aplica políticas de divulgación responsable, nada garantiza que actores maliciosos no estén experimentando con técnicas parecidas.
En la práctica, esto significa que la carrera entre atacantes y defensores entra en una fase nueva. Si una organización puede usar IA avanzada para descubrir cientos de errores en cuestión de días, un grupo con motivaciones delictivas podría intentar emplear modelos similares para localizar fallos explotables en aplicaciones, servicios financieros o infraestructuras críticas.
Para el tejido empresarial europeo —incluidas startups, pymes tecnológicas y compañías consolidadas de software—, la señal es clara: no basta con desarrollar «código razonablemente seguro». La ventaja competitiva pasará cada vez más por tener procesos de detección y parcheo más rápidos que los de la competencia (y que los de posibles atacantes).
Impacto para empresas y desarrolladores en España y Europa
En mercados como España o el conjunto de la UE, donde las regulaciones en materia de ciberseguridad se están endureciendo con normas como NIS2 y el futuro Cyber Resilience Act, el caso de Firefox y Mythos funciona casi como un adelanto de lo que se espera del sector.
Muchas empresas europeas, especialmente las de tamaño medio, funcionan con equipos de seguridad reducidos que tienen dificultades para revisar grandes bases de código con el nivel de detalle que exigen las auditorías modernas. La experiencia de Mozilla sugiere que apoyarse en modelos de IA especializados podría convertirse en una pieza clave para cumplir con los estándares regulatorios.
Para startups y desarrolladores que construyen productos digitales en España, integrar auditorías con IA en el ciclo de vida del software empieza a verse menos como una opción y más como una necesidad. No se trata solo de evitar incidentes, sino de demostrar a clientes, inversores y socios que existen procesos robustos de detección y corrección de vulnerabilidades.
Eso pasa, entre otras cosas, por replantear la arquitectura de los productos para facilitar el análisis automatizado, aislar componentes críticos (autenticación, manejo de datos sensibles, APIs expuestas) y preparar pipelines de integración continua donde cada cambio de código pueda ser sometido a una revisión de seguridad asistida por IA.
También obliga a pensar en los riesgos de doble uso de estas herramientas: cualquier organización que maneje datos especialmente sensibles tendrá que valorar no solo cómo se beneficia de la IA, sino también cómo protege sus propios modelos, pipelines y hallazgos frente a accesos no autorizados.
Lo que ha ocurrido con Mythos y Firefox muestra que la inteligencia artificial ya no es un elemento marginal en la seguridad del software, sino una pieza central que redefine tanto la forma de encontrar errores como el equilibrio entre quienes protegen sistemas y quienes tratan de vulnerarlos.
