Zendoric
← Volver al día · 28 de junio de 2026

Mythos y Fable: cuando EE.UU. aplica controles de exportación del siglo XX a modelos de IA del siglo XXI

🕒 Publicado en Zendoric: 28 de junio de 2026 · 09:00

El gobierno de EE.UU. ordenó a Anthropic el 12 de junio cortar el acceso a sus modelos Mythos 5 y Fable 5 para cualquier ciudadano no estadounidense, en todo el mundo. Un analista del Bulletin of the Atomic Scientists desmonta por qué esa lógica, heredada del control de armamento físico, choca con la naturaleza del software.

Por Zendoric · 28 de junio de 2026.

El 12 de junio de 2026, Anthropic comunicó que el gobierno de Estados Unidos le había ordenado suspender el acceso a sus dos últimos grandes modelos de lenguaje —Mythos 5 y Fable 5— para cualquier ciudadano no estadounidense, independientemente de dónde resida. La medida tiene un alcance inusualmente amplio: ni siquiera los propios empleados de Anthropic que no tengan nacionalidad estadounidense pueden interactuar con esos sistemas. Hasta ese momento, Mythos llevaba varias semanas disponible para un grupo selecto de usuarios —en parte no divulgados— con el objetivo específico de escanear sistemas digitales a gran velocidad para detectar vulnerabilidades explotables. Fable, su versión pública etiquetada como 'segura para uso general', había sido liberada recientemente para el gran público.

La orden gubernamental se apoyó en autoridades de seguridad nacional para imponer lo que funcionalmente son controles de exportación, aunque sin proporcionar una justificación explícita. Anthropic sí aportó su propia lectura: el gobierno habría detectado un método para eludir las salvaguardas de Fable mediante un 'jailbreak', es decir, un prompt diseñado para circunvalar los filtros del chat. La compañía, sin embargo, considera que esa vulnerabilidad es menor y fácilmente replicable con otras herramientas públicas ya existentes. En un gesto poco habitual para una empresa que trata de mantener buenas relaciones con Washington, Anthropic declaró públicamente que 'no cree que el hallazgo de un jailbreak potencialmente estrecho deba ser motivo para retirar un modelo comercial desplegado ante cientos de millones de personas'.

El análisis publicado por Justin Sherman, fundador y CEO de Global Cyber Strategies y profesor adjunto, en el Bulletin of the Atomic Scientists disecciona por qué esta lógica regulatoria tiene pies de barro. El argumento central es estructural: los controles de exportación fueron diseñados principalmente para bienes físicos —armas, componentes de microelectrónica avanzada, sistemas de radar—, cuyo robo o transferencia ilícita requiere operaciones en el mundo físico. Un adversario que quiera replicar un caza furtivo necesita los planos, sí, pero también las capacidades de fabricación. Una copia robada es solo una copia. Un modelo de IA, en cambio, puede ser exfiltrado a través de ciberespacio, copiado a coste marginal virtualmente nulo y distribuido con una velocidad que ningún control logístico puede interceptar.

La paradoja del caso Fable/Mythos es especialmente aguda: Fable ya era público. Pretender que China —con el aparato de inteligencia que tiene— no había accedido a él, lo había descargado y había comenzado a testear sus límites antes de que se emitiese la orden de suspensión es, en palabras del propio Sherman, 'implausible'. La medida puede dificultar el acceso continuado de otros actores, pero los adversarios más sofisticados ya habrían completado rondas importantes de prueba y replicación. Y para aquellos que no lo hayan hecho, el camino habitual —empresas pantalla, personas que simulan ser ciudadanos estadounidenses, insiders bajo presión o incentivos económicos— sigue igualmente abierto mientras haya nacionales estadounidenses con acceso al sistema.

Aquí radica otra grieta del enfoque: restringir el acceso a nacionales estadounidenses no elimina la amenaza del insider. Los nacionales de EE.UU. también pueden representar riesgos de seguridad interna, y en ausencia de regulaciones de gobernanza corporativa sólidas —controles de acceso internos, requisitos de divulgación, políticas de prueba previa al lanzamiento—, la restricción de nacionalidad se convierte en un filtro administrativo más que en una barrera de seguridad real.

El coste geopolítico de la medida es potencialmente alto. El AI Security Institute del Reino Unido —organismo de evaluación de seguridad de IA, con personal no estadounidense— había accedido a Mythos Preview en abril para evaluar sus capacidades en ciberseguridad. Ahora quedaría excluido. En un momento en que un número creciente de profesionales europeos de defensa y seguridad —no solo activistas de derechos digitales— están argumentando que Europa necesita independencia tecnológica respecto a Estados Unidos, cortar a los aliados más próximos del acceso a modelos clave de IA refuerza exactamente ese argumento. La consecuencia a largo plazo que Sherman señala es delicada: empujar a socios estratégicos a buscar proveedores alternativos que, en ausencia de opciones europeas maduras, podrían ser chinos. Eso no fortalece la seguridad nacional de EE.UU.; la debilita.

Lo que el análisis propone no es inacción ante riesgos reales. La capacidad de un modelo como Mythos —diseñado para identificar vulnerabilidades en sistemas digitales a escala— en manos de actores hostiles es una preocupación legítima y seria. Pero la respuesta más efectiva, según el argumento desarrollado, pasa por tres vías distintas a la del control de exportaciones. Primera: elevar el umbral de ciberseguridad, incluyendo pruebas rigurosas antes del lanzamiento, controles de acceso internos estrictos y mecanismos de divulgación responsable de vulnerabilidades —marcos que el gobierno de EE.UU. ya aplica en otros contextos—. Segunda: regulación de gobernanza comprensiva para todas las empresas de IA que operen en el país, con requisitos de 'conoce a tu cliente' para rastrear quién usa y quién suministra estos modelos. Tercera: definir un umbral proporcional: si cualquier jailbreak, por menor que sea, puede desencadenar una orden de retirada de un modelo, todos los modelos de IA del país serían candidatos, porque ningún sistema es impermeable al error humano o a la evolución de las técnicas de ataque.

Este episodio importa más allá del caso concreto de Anthropic. Representa un uso de autoridades de seguridad nacional para imponer controles de tipo exportación sobre un modelo de IA comercial de gran escala. La señal que envía al sector es ambivalente: por un lado, normaliza la intervención gubernamental directa sobre el acceso a modelos específicos; por otro, lo hace sin el andamiaje regulatorio que daría coherencia, proporcionalidad y previsibilidad a esas decisiones. Anthropic cumplió la orden pero marcó su desacuerdo públicamente. Esa tensión entre cumplimiento y disconformidad refleja algo más amplio: la industria de la IA avanzada y los marcos legales heredados aún no hablan el mismo idioma, y las consecuencias de esa brecha van a seguir siendo visibles.

Fuentes y referencias