Mythos Provoca Subida de Acciones de Ciberseguridad, HACK Sube un 17% en Mayo

A principios de mayo, Anthropic lanzó Mythos, un modelo de IA capaz de encontrar vulnerabilidades de forma autónoma y ejecutar intrusiones completas en la red. La primera reacción del mundo de la seguridad fue que la industria sería trastornada.

Dos semanas después, los números cuentan una historia diferente.

Cifras Clave

Al 21 de mayo, tres ETFs principales de ciberseguridad mostraron el siguiente rendimiento en mayo:

  • HACK (Amplify Cybersecurity): +17,27%, su mayor ganancia mensual desde su creación en noviembre de 2014
  • BUG (Global X Cybersecurity): +26,14%, su mayor ganancia mensual desde su creación en octubre de 2019
  • CIBR (First Trust NASDAQ): Participando en el repunte

Las acciones individuales fueron aún más dramáticas:

  • Fortinet (FTNT): +54,19%
  • CrowdStrike (CRWD): +45,85%
  • Akamai (AKAM): +39,40%
  • Palo Alto Networks (PANW): +37,55%
  • Zscaler (ZS): +33,49%
  • SailPoint (SAIL): +31,17%

Doce acciones en la cartera de BUG han subido más del 20% este mes.

Por Qué se Invirtió el Guión

Antes del lanzamiento de Mythos, la narrativa del mercado era: el descubrimiento de vulnerabilidades es el foso de las empresas de seguridad, y la IA industrializando ese proceso llenaría el foso. Sonaba razonable, pero omitió la segunda mitad—los defensores también obtuvieron la misma arma.

Anthropic dio acceso temprano a Mythos a cuatro empresas estadounidenses: Apple, Amazon, JPMorgan Chase y Palo Alto Networks. La última integró Mythos en su proceso de escaneo de vulnerabilidades de productos, descubriendo 75 vulnerabilidades en un mes—siete veces la tasa habitual.

CrowdStrike está haciendo algo similar. El consenso en la comunidad de seguridad es que si puedes usar Mythos, los atacantes eventualmente tendrán su propia versión. Mistral ya está negociando con bancos europeos alternativas, y OpenAI ha dado GPT-5.5-Cyber a grandes bancos como BBVA. Digerir la herramienta temprano significa asegurar una ventaja de tiempo de 3 a 5 meses.

La respuesta corporativa fue más directa: aumento de presupuesto.

El Aumento de Presupuesto Fue Subestimado

Los resultados de las pruebas del UK AI Security Institute indicaron: "Mythos puede realizar de forma autónoma la toma completa de una red interna empresarial con una tasa de éxito del 30%; los expertos humanos tardan 20 horas en hacer lo mismo."

Para los CIO, esta cifra no es sobre si subcontratar la seguridad a la IA, sino: "Mañana el enemigo usará esto, debo agregar personal y dinero ahora."

En las llamadas de resultados de mayo de todas las empresas de seguridad que cotizan en bolsa, las declaraciones de los CEOs fueron notablemente similares: los presupuestos de los clientes se expanden, los ciclos de renovación se alargan y las tasas de actualización de paquetes aumentan.

Como dijo un análisis de Benzinga directamente: "AI gets better at finding vulnerabilities. Vulnerability discovery was the moat." El foso ciertamente se derrumbó. Pero los clientes no ahorraron dinero; aumentaron el gasto—la segunda mitad inesperada de la historia.

La Historia Aún No Termina

A corto plazo, es una situación de ganar-ganar: las empresas de IA venden herramientas, las empresas de seguridad venden defensas.

A medio plazo, dos variables siguen sin resolverse. Primero, Mythos actualmente solo está disponible para cuatro empresas. Una vez que se expanda a 50 o 500, la curva de costos de los atacantes caerá primero. Si las acciones de ciberseguridad pueden seguir subiendo entonces es incierto. Segundo, las altas valoraciones actuales se basan en el miedo de los clientes. Si ocurren una o dos intrusiones a gran escala del nivel de Mythos en los próximos seis meses, las valoraciones podrían duplicarse o colapsar—Wall Street votará con dinero.

Por ahora, la respuesta del mercado es: Mythos no es la parca de la ciberseguridad, sino su estimulante.

Fuentes: Claude Mythos Was Supposed To Kill Cyber Stocks: Now Record High - Akamai Technologies, Global X Cybersecurity ETF (Benzinga); Anthropic's Mythos set off a cybersecurity 'hysteria.' Experts say the threat was already here (CNBC); CocoLoop; UK AI Security Institute Mythos Capability Assessment