En el año 2014, el mundo descubrió Heartbleed, una vulnerabilidad crítica en OpenSSL, una pequeña pieza de software libre que protegía buena parte de las comunicaciones cifradas de Internet. Durante años, bancos, gobiernos, empresas tecnológicas y servicios digitales habían confiado en esa librería sin saber que contenía un fallo capaz de exponer contraseñas, claves privadas y datos sensibles. Lo inquietante no fue solo la gravedad del bug, sino la desproporción: una parte esencial de la seguridad global dependía de un proyecto mantenido por muy pocas personas y con recursos limitados.
Heartbleed dejó una lección incómoda: la infraestructura digital crítica no siempre está donde miran los consejos de administración ni los ministerios. A veces está en una librería invisible, en un repositorio open source, en una dependencia que nadie audita con suficiente profundidad. Claude Mythos actualiza esa misma lección para la era de la IA: la diferencia ya no está solo entre quien tiene el fallo y quien no lo tiene, sino entre quien dispone de herramientas para encontrarlo antes y quien espera a que otro lo descubra.
La aparición de Claude Mythos no es una noticia más sobre inteligencia artificial (IA). Es una advertencia estratégica. La compañía norteamericana Anthropic ha presentado un modelo capaz de identificar y explotar vulnerabilidades críticas en software, sistemas operativos y navegadores, pero su acceso inicial ha quedado limitado a un círculo reducido de grandes organizaciones, principalmente estadounidenses. Europa, mientras tanto, ha tenido que pedir información, acceso y visibilidad desde fuera. El episodio revela una fragilidad que va mucho más allá de la ciberseguridad. Pone en evidencia la distancia entre hablar de soberanía digital y disponer realmente de capacidades soberanas. Europa tiene regulación, fondos, agencias, universidades, centros de supercomputación, bancos, telecos y startups. Pero cuando aparece una tecnología de frontera con implicaciones directas para infraestructuras críticas, esos recursos no actúan todavía como una fuerza común.
Esa es la verdadera grieta que abre Claude Mythos. No solo muestra la dependencia europea respecto a Estados Unidos en IA avanzada, nube o ciberseguridad. También expone el riesgo de confundir estrategia industrial con concentración empresarial. En el sector de las telecomunicaciones, algunos directivos siguen presentando las fusiones como vía principal hacia la soberanía digital, cuando el caso Mythos demuestra que el desafío ya no se resuelve solo con operadores más grandes, sino con consorcios capaces de poner en común cómputo, datos, talento, infraestructuras críticas y capacidad defensiva.
Este post analiza esa contradicción: una Europa que proclama soberanía digital, pero que todavía responde de forma dispersa cuando una capacidad estratégica aparece fuera de sus fronteras. Claude Mythos no es solo un modelo de IA. Es un espejo de lo que Europa aún no ha sabido construir.
La noticia sobre el modelo de inteligencia artificial (IA) de frontera (frontier model) desarrollado por la compañía norteamericana Anthropic, Claude Mythos, presentó el lanzamiento de Project Glasswing como un punto de inflexión en ciberseguridad y soberanía digital. El texto principal de El Ecosistema Startup —“Claude Mythos: 40 empresas acceden, Europa excluida del modelo IA”— parte del anuncio de Anthropic del 7 de abril de 2026, cuando la compañía presentó Claude Mythos Preview dentro de Project Glasswing, una iniciativa destinada a dar acceso temprano a un modelo de IA avanzado a organizaciones que mantienen software e infraestructura crítica. Anthropic describe Glasswing como un programa para “asegurar el software crítico” y enumera como socios de lanzamiento a: Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, Linux Foundation, Microsoft, NVIDIA y Palo Alto Networks; además, afirma haber extendido el acceso a más de 40 organizaciones adicionales y haber comprometido hasta 100 millones de dólares en créditos de uso y 4 millones en donaciones a seguridad open source https://bit.ly/4dsuVzZ
El núcleo técnico de la noticia es que Mythos no se presenta como un chatbot público, sino como un modelo con capacidades muy avanzadas para encontrar y explotar vulnerabilidades de software. En su evaluación técnica, Anthropic afirma que Mythos Preview puede identificar y explotar vulnerabilidades zero-day en los principales sistemas operativos y navegadores web, que ha encontrado fallos sutiles y antiguos —incluido un bug de OpenBSD de 27 años ya parcheado— y que más del 99% de las vulnerabilidades detectadas seguían sin corregirse, por lo que la compañía no publicó detalles técnicos explotables. Anthropic también sostiene que el modelo puede trabajar sobre código abierto, software cerrado, binarios, pruebas de penetración y análisis de sistemas, lo que explica por qué no planea poner Claude Mythos Preview a disposición general https://bit.ly/48C4beD
La noticia interpreta ese acceso restringido como una brecha de soberanía digital para Europa: mientras grandes tecnológicas y entidades financieras estadounidenses forman parte del círculo inicial de Glasswing, no consta una disponibilidad equivalente para gobiernos, bancos o instituciones europeas. Reuters informó el 29 de abril de 2026 de que Mythos estaba disponible solo para bancos estadounidenses seleccionados y de que Michael Theurer, supervisor jefe del Bundesbank, pidió que la Comisión Europea y los gobiernos europeos solicitasen formalmente acceso a Anthropic o a la administración estadounidense. Reuters también recogió que, sin acceso directo, los bancos europeos no pueden probar qué vulnerabilidades sería capaz de identificar Mythos en sus propios sistemas bit.ly/3PnOPE1, https://bit.ly/48HIV7g
La reacción europea no se limita al Bundesbank. Reuters publicó que Anthropic estaba en conversaciones con la Comisión Europea sobre sus distintos modelos, incluidos los de ciberseguridad, que todavía no estaban disponibles en la UE, y que el portavoz comunitario Thomas Regnier confirmó que Anthropic se había comprometido con el código de buenas prácticas de IA de propósito general de la Unión. En paralelo, el Parlamento Europeo registró la pregunta escrita E-001575/2026, titulada “Claude Mythos and the cybersecurity risks facing the EU”, en la que varios eurodiputados preguntan a la Comisión qué estrategia de ciberseguridad aplicará, cómo apoyará una capacidad soberana europea de investigación avanzada de vulnerabilidades y cómo adaptará el marco legislativo europeo ante modelos con capacidades ofensivas https://bit.ly/4wp6LyW
Alemania aparece en la noticia como uno de los países más activos. Reuters informó el 21 de abril de que el presidente del Bundesbank, Joachim Nagel, pidió acceso amplio a Mythos para mantener un terreno de juego equilibrado y evitar usos indebidos, al considerar que el modelo podría identificar y explotar rápidamente vulnerabilidades en software de instituciones financieras. Por su parte, Heise recogió que la BSI alemana, presidida por Claudia Plattner, estaba en contacto con Anthropic y que esperaba “upheavals” (convulsiones) o fuertes cambios en la gestión de vulnerabilidades y en el panorama de amenazas; la BSI también admitió que todavía no había podido probar directamente Mythos, aunque sí había obtenido información en conversaciones con desarrolladores de Anthropic https://bit.ly/48C5fPF
El texto también incorpora el factor político estadounidense. El enlace abreviado de TNW —bit.ly/4esHfCf— redirige a una pieza de The Next Web que afirma que la Casa Blanca de Trump se opuso al plan de Anthropic de ampliar el acceso a Mythos a unas 70 organizaciones adicionales. Según esa información, basada en Bloomberg y en el Wall Street Journal, la objeción se apoyaba en dos argumentos: riesgos de seguridad por posible uso indebido y preocupación por la capacidad de cómputo necesaria para atender a más organizaciones sin perjudicar el uso gubernamental del modelo. La formulación prudente no es que exista un “veto formal a Europa”, sino que la administración Trump ha frenado o cuestionado una expansión del acceso y que Europa seguía fuera del círculo principal de uso https://bit.ly/3OLvkoO
Otro elemento que contextualiza la tensión con Washington es la designación de Anthropic como “supply chain risk” (riesgo de la cadena de suministro) por parte del Departamento de Defensa estadounidense. Mayer Brown resumió que el 27 de febrero del 2026 Trump ordenó a agencias federales dejar de usar tecnología de Anthropic y que el secretario de Defensa Pete Hegseth designó a Anthropic como riesgo de cadena de suministro, en el marco de una disputa sobre los límites de uso de Claude en vigilancia doméstica masiva y sistemas de armas autónomas. Este punto no demuestra por sí solo una exclusión específica de Europa de Glasswing, pero sí ayuda a explicar por qué el despliegue de Mythos quedó atrapado entre seguridad nacional, política industrial y control del acceso https://bit.ly/48HK3I2
La agenda europea del 4 de mayo de 2026 refuerza esa lectura. Bloomberg informó el 30 de abril de que los ministros de Finanzas de la eurozona discutirían los retos planteados por Mythos con supervisores bancarios, y el 4 de mayo publicó que los ministros europeos estaban presionando a Anthropic para que empresas locales pudieran ver o evaluar el modelo, con el fin de no quedar expuestas a ataques digitales ni rezagadas frente a competidores estadounidenses. La agenda oficial del Eurogrupo de ese día no menciona Mythos por su nombre, pero sí incluye una discusión sobre banca transfronteriza, escala bancaria e inversiones tecnológicas frente a competidores internacionales https://bit.ly/4un1uG1
Para startups, la pieza de Ecosistema Startup traduce el caso Mythos en una advertencia práctica: las empresas jóvenes que dependen de AWS, Azure, Google Cloud, SaaS críticos, librerías open source o infraestructura bancaria podrían operar sobre capas de software donde algunos actores con acceso a Mythos detecten antes vulnerabilidades relevantes. La recomendación del texto no es esperar a una solución regulatoria, sino reforzar la postura defensiva mediante auditoría de dependencias, revisión de proveedores, planes de respuesta a incidentes, arquitectura zero-trust, autenticación multifactor, monitorización continua, documentación de seguridad para due diligence y diversificación de proveedores. Esa parte es una guía operativa de gestión de riesgo para founders, no una prueba de que una startup concreta esté ya comprometida https://bit.ly/3RiEJVs
En cuanto al AI Act, la lectura más exacta es que la regulación europea puede imponer obligaciones a proveedores de modelos de propósito general y, en especial, a modelos con riesgo sistémico, pero no concede automáticamente acceso europeo a un modelo privado estadounidense. La Comisión explica que los proveedores de modelos de propósito general con riesgo sistémico deben evaluar y mitigar riesgos, realizar evaluaciones, documentar y reportar incidentes graves y garantizar la ciberseguridad del modelo y de su infraestructura. Esa regulación puede servir para supervisar modelos que se coloquen en el mercado europeo, pero no resuelve por sí misma el problema geopolítico de quién recibe acceso temprano a una herramienta restringida como Mythos https://bit.ly/3RkSPpi
Sobre el supuesto incidente de acceso no autorizado, el resumen debe ser cauteloso. El texto de Ecosistema Startup hablaba de un posible grupo de Discord y lo trataba como no verificado oficialmente en comunicados de Anthropic o Glasswing. TNW, citando informaciones previas, sí habla de usuarios no autorizados en un foro privado que habrían accedido a Mythos, pero reconoce que los detalles seguían siendo poco claros. Por tanto, lo verificable es que hubo reportes periodísticos de acceso no autorizado, no una confirmación pública detallada de Anthropic sobre un incidente concreto de Discord https://bit.ly/48I3Ve9
En conjunto, la noticia sostiene que Claude Mythos concentra tres debates a la vez: seguridad informática, competencia tecnológica y soberanía digital. El hecho comprobado es que Anthropic ha lanzado un programa restringido, Project Glasswing, alrededor de un modelo con capacidades avanzadas de detección y explotación de vulnerabilidades; que el acceso inicial está concentrado en grandes organizaciones, principalmente estadounidenses; que bancos y supervisores europeos han pedido visibilidad o acceso; y que la Casa Blanca ha objetado una ampliación del despliegue por razones de seguridad y cómputo. La conclusión más precisa, sin exagerar, es que Europa no tiene un acceso comparable al de los participantes iniciales de Glasswing y que esa asimetría ha provocado presión institucional europea, especialmente desde el Bundesbank, supervisores bancarios, eurodiputados y ministros de Finanzas.
La noticia de Claude Mythos muestra una debilidad europea que no consiste solo en “no tener ese modelo concreto”, sino en no tener todavía una arquitectura común suficientemente rápida para responder cuando una capacidad estratégica aparece fuera de Europa. Según Anthropic, Project Glasswing da acceso a Claude Mythos Preview a socios seleccionados para encontrar y corregir vulnerabilidades en sistemas fundacionales que representan una parte muy amplia de la superficie global de ataque; Anthropic también dice que no prevé hacer el modelo disponible de forma general. Eso convierte el acceso en un activo escaso, no en una herramienta SaaS convencional (software como servicio) https://bit.ly/4uwYOGb
El dato decisivo es que Mythos no es únicamente una mejora incremental en análisis de código. El propio equipo de red-teaming de Anthropic afirma que el modelo puede ayudar a encontrar y explotar vulnerabilidades sofisticadas, incluso con usuarios no expertos, y que en pruebas internas desarrolló exploits funcionales en escenarios donde modelos anteriores apenas tenían éxito. Por eso la cuestión europea no es retórica: si una tecnología así se distribuye primero entre un círculo limitado de entidades estadounidenses, quienes quedan fuera no solo pierden una ventaja comercial, sino capacidad temprana de diagnóstico sobre infraestructuras críticas.
La Comisión Europea ya está en contacto con Anthropic y ha recibido información técnica sobre las capacidades y riesgos de Mythos, según declaró el comisario Valdis Dombrovskis el 4 de mayo de 2026. Reuters también informó de que, hasta ese momento, Mythos no se había puesto a disposición de bancos europeos. El Bundesbank ha sido todavía más directo: Michael Theurer afirmó que los bancos centrales europeos necesitan acceso para defenderse frente a ataques potenciados por ese tipo de modelos, y que sin poder probar qué vulnerabilidades identifica Mythos se encuentran “en aguas difíciles” https://bit.ly/4thqPjV
El precio de tener los recursos dispersos como sucede en Europa aparece precisamente ahí. Europa tiene supervisores, agencias nacionales, bancos sistémicos, centros de supercomputación, universidades, startups, proveedores cloud, reguladores y programas públicos. Lo que no tiene todavía, al menos a la vista de este caso, es una capacidad europea común que pueda actuar con la velocidad y concentración de un actor estadounidense que combina modelo fundacional, nube, capital, acceso a clientes críticos y coordinación política. La dispersión no significa ausencia de recursos; significa que esos recursos no producen una respuesta unificada cuando el mercado se mueve en semanas.
Esa diferencia pesa especialmente en IA porque la frontera tecnológica exige escala. Entrenar, evaluar, desplegar y asegurar modelos avanzados requiere cómputo, talento, datos, acceso a infraestructuras reales, equipos de seguridad ofensiva y defensiva, capacidad legal para probar sistemas sensibles, y un circuito de divulgación responsable. Si cada Estado miembro financia su propia pieza, si cada banco negocia por separado, si cada agencia evalúa riesgos con metodologías distintas y si cada programa público tiene sus propios plazos, el resultado puede ser mucha actividad pero poca masa crítica. El informe Draghi sobre competitividad europea ya situaba la pérdida de la revolución digital y la brecha de productividad con Estados Unidos como un problema estructural europeo, no como un fallo aislado de un sector https://bit.ly/4ulsh5M
La comparación con Estados Unidos no se limita a Mythos. El AI Index 2026 de Stanford indica que la inversión privada estadounidense en IA alcanzó 285.900 millones de dólares en 2025, y que en IA generativa la inversión de EE.UU superó ampliamente la suma de China y Europa. Esa diferencia de capital permite que empresas estadounidenses acumulen cómputo, investigadores, clientes estratégicos y distribución global. Europa, por el contrario, suele convertir sus recursos en programas separados: una iniciativa de supercomputación por un lado, una política cloud por otro, un marco regulatorio por otro, agencias nacionales por otro y consorcios sectoriales por otro. Todas esas piezas son necesarias, pero no equivalen automáticamente a una capacidad soberana común.
Por eso decir que Europa está “huérfana de estrategia” debe matizarse. Europa sí tiene instrumentos: las AI Factories, EuroHPC, el European Cybersecurity Competence Centre, Gaia-X, DORA, el AI Act y nuevas herramientas de contratación soberana. La Comisión afirma que las AI Factories están pensadas para apoyar a startups y pymes en IA confiable, que se desplegaron consorcios en distintos Estados miembros y que la inversión total en supercomputación e AI Factories alcanzará 10.000 millones de euros en el periodo 2021-2027 https://bit.ly/4tYVUu0 El problema no es la inexistencia de iniciativas, sino su integración insuficiente frente a una misión concreta como “desarrollar y operar capacidades europeas avanzadas de ciberseguridad con IA”.
La diferencia entre tener programas y tener una capacidad estratégica es que la capacidad estratégica produce efectos operativos. En el caso Mythos, eso significaría que bancos, proveedores cloud europeos, mantenedores de open source, agencias nacionales de ciberseguridad y supervisores financieros pudieran probar vulnerabilidades en entornos controlados, compartir hallazgos de forma segura, parchear antes de la explotación y negociar con proveedores externos desde una posición colectiva. Si cada entidad actúa sola, el coste aumenta: se duplica el gasto, se fragmentan los datos, se compite por el mismo talento, se retrasan las pruebas y se reduce el poder de negociación ante empresas estadounidenses.
El caso financiero lo muestra con claridad. DORA ((Digital Operational Resilience Act), aplicable desde el 17 de enero del año 2025, obliga al sector financiero europeo a reforzar su resiliencia digital, gestionar riesgos TIC y poder resistir, responder y recuperarse de ciberataques o fallos tecnológicos. Pero una norma de resiliencia no sustituye a una capacidad técnica puntera. Si los bancos europeos tienen obligaciones cada vez más exigentes, pero el acceso a herramientas de detección avanzada queda en manos de proveedores externos o de bancos estadounidenses seleccionados, Europa puede acabar en una posición incómoda: más responsabilidad regulatoria, pero menos capacidad autónoma para cumplirla en la frontera tecnológica.
Lo mismo ocurre con la soberanía cloud. La Comisión ha avanzado en criterios de contratación soberana y en un Cloud Sovereignty Framework que mide soberanía mediante objetivos concretos como control legal, seguridad, transparencia de la cadena de suministro, apertura tecnológica y cumplimiento de normas europeas https://bit.ly/4emOH1M Ese enfoque es relevante porque convierte la soberanía en criterios medibles, no en un eslogan. Pero la nube soberana por sí sola no resuelve el gap de Mythos si no se combina con modelos, equipos de seguridad, datos de vulnerabilidades, entornos de prueba y capacidad de despliegue. Un cloud europeo sin IA defensiva avanzada sigue siendo infraestructura; una IA defensiva sin cloud, datos y clientes críticos tampoco escala.
Ahí es donde los consorcios europeos tienen sentido. No como foros declarativos, sino como vehículos para concentrar demanda, financiación, cómputo, datos y acceso a infraestructuras críticas. Europa ya tiene una base institucional para ello: el European Cybersecurity Competence Centre declara como misión aumentar las capacidades y competitividad europeas en ciberseguridad trabajando con una red de Centros Nacionales de Coordinación, y su objetivo incluye poner en común inversiones en investigación, tecnología y desarrollo industrial https://bit.ly/4ncefAX En otras palabras, el principio ya existe. La cuestión es si se dota de una misión concreta y de recursos comparables al tamaño del problema.
El alto precio de no hacerlo es triple. Primero, precio defensivo: Europa queda obligada a reaccionar a capacidades descubiertas fuera, en lugar de anticipar vulnerabilidades propias. Segundo, precio económico: startups, bancos y proveedores europeos pagan más por auditorías, certificaciones, consultoría y herramientas importadas, mientras los actores con acceso temprano convierten la seguridad en ventaja competitiva. Tercero, precio político: la regulación europea puede ser sólida, pero si las capacidades técnicas críticas dependen de decisiones de empresas o administraciones extranjeras, la soberanía regulatoria queda incompleta.
La fragmentación también castiga a las startups. Una startup europea o hispanohablante puede cumplir buenas prácticas, usar MFA, monitorizar dependencias y elegir proveedores certificados, pero no puede replicar sola lo que requiere escala continental: datasets de vulnerabilidades, red-team especializado, compute de alto coste, acuerdos con mantenedores de software crítico, relación con bancos y supervisores, y canales seguros de divulgación. Si no existe un consorcio europeo que baje esas capacidades al ecosistema, el resultado es una brecha entre grandes incumbentes y pymes. Las grandes entidades podrán comprar consultoría y acceso indirecto; las startups quedarán con herramientas defensivas convencionales y con más carga regulatoria.
También hay un precio en talento. Europa tiene excelentes laboratorios, universidades y especialistas en ciberseguridad, pero cuando los proyectos están repartidos en convocatorias nacionales, grants pequeños o pilotos sectoriales, el talento no siempre trabaja sobre objetivos comunes de frontera. En IA avanzada, la concentración importa: los equipos aprenden más rápido cuando comparten infraestructura, benchmarks, telemetría, incidentes, fallos y metodologías. Una Europa de veintisiete respuestas parciales puede producir conocimiento, pero una Europa con consorcios operativos puede convertir ese conocimiento en capacidad desplegable.
El caso Mythos además expone un problema de información asimétrica. Si solo algunos actores pueden saber qué vulnerabilidades detecta un modelo avanzado, esos actores poseen información defensiva que otros no tienen. No hace falta asumir mala fe para que eso sea grave: basta con que unos parchen antes, evalúen riesgos antes o diseñen productos con información más completa. En mercados regulados como banca, cloud, defensa, salud o infraestructuras críticas, esa asimetría altera la competencia. Reuters recoge justamente esa preocupación cuando señala que los bancos europeos no pueden probar qué vulnerabilidades identifica Mythos sin acceso directo https://bit.ly/4tjMyI2
La respuesta europea, para no quedarse en discurso, tendría que conectar piezas ya existentes. EuroHPC y las AI Factories aportan cómputo y acceso a startups; el ECCC y las agencias nacionales pueden ordenar prioridades de ciberseguridad; ENISA y los supervisores pueden fijar marcos de riesgo; DORA da una base sectorial para resiliencia financiera; Gaia-X y la contratación cloud soberana aportan estándares de control e interoperabilidad. Gaia-X se define precisamente como una infraestructura federada y segura para soberanía de datos e interoperabilidad, con una misión centrada en especificaciones, reglas, políticas y verificación. Lo que falta es convertir esa suma de instrumentos en una cadena de producción común: investigación, entrenamiento, evaluación, despliegue, compra pública y adopción industrial.
El consorcio europeo útil no sería simplemente “un Mythos europeo” anunciado en abstracto. Tendría que resolver problemas concretos: acceso seguro a código y binarios de sistemas críticos, pruebas en entornos aislados, evaluación de modelos capaces de generar exploits, gobernanza de doble uso, protocolos de divulgación responsable, financiación plurianual, participación de proveedores cloud europeos, bancos, telecomunicaciones, mantenedores open source y agencias nacionales. También tendría que ofrecer acceso a startups y pymes, porque una capacidad soberana que solo llega a grandes bancos no corrige la fragilidad del tejido productivo.
La ventaja de un consorcio frente a iniciativas dispersas es que reduce duplicaciones y crea una demanda europea agregada. Un banco alemán, una fintech española, un proveedor cloud francés, un centro de supercomputación italiano y una agencia neerlandesa no necesitan veintisiete soluciones incompatibles para analizar vulnerabilidades críticas. Necesitan garantías comunes, entornos compartidos, estándares técnicos y capacidad de respuesta coordinada. La Comisión ya está intentando hacer algo parecido en cloud al transformar la soberanía en criterios de contratación medibles; ese mismo enfoque trasladado a IA defensiva permitiría pasar de “preocupación política” a “capacidad verificable” https://bit.ly/4daHKid
El coste de no poner recursos en común es que Europa seguirá teniendo mucho músculo distribuido y poca pegada estratégica. Tendrá regulación de referencia, instituciones competentes, buenas universidades, startups prometedoras y programas de financiación, pero dependerá de si Anthropic, la Casa Blanca, grandes bancos estadounidenses o hyperscalers deciden abrir o no determinadas capacidades. Esa dependencia no significa que Europa esté indefensa, pero sí que su autonomía es parcial. Y en ciberseguridad avanzada, una autonomía parcial puede ser insuficiente porque los tiempos de ataque y defensa se miden en días, no en ciclos presupuestarios.
Por tanto, la lección sobria de Claude Mythos no es que Europa deba reaccionar con titulares grandilocuentes ni con una carrera sin controles. La lección es que la soberanía digital exige escala operativa. Europa ya ha identificado el problema de competitividad, ya ha creado instrumentos de IA, cloud y ciberseguridad, y ya está hablando con Anthropic. Pero mientras esas piezas no se organicen como consorcios europeos con misión, financiación, cómputo, datos y adopción industrial, el precio de la dispersión seguirá siendo alto: menor velocidad, menor poder negociador, menor capacidad defensiva y mayor dependencia de quienes hoy dominan la frontera tecnológica.
La lectura dura del caso Claude Mythos es que Europa no está solo ante una brecha tecnológica, sino ante una brecha de organización estratégica. Anthropic ha creado Project Glasswing para dar acceso temprano a Claude Mythos Preview a un círculo seleccionado de organizaciones que mantienen software crítico, con socios como AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, Linux Foundation, Microsoft, NVIDIA y Palo Alto Networks, además de más de 40 organizaciones adicionales. Anthropic lo presenta como una iniciativa para proteger software crítico con su modelo más capaz para código, tareas agentivas y ciberseguridad, y dice que Mythos ya ha identificado miles de vulnerabilidades zero-day en infraestructura crítica. Ese dato es suficiente para entender el problema: quien accede a esa capacidad ve antes una parte de la superficie de ataque global; quien no accede, espera, negocia o reacciona https://bit.ly/3P8COCa
El aspecto que “hiela la sangre” no es únicamente que un modelo pueda encontrar vulnerabilidades antiguas. Es que Anthropic afirma que Mythos Preview puede identificar y explotar zero-days en los principales sistemas operativos y navegadores, que más del 99% de las vulnerabilidades halladas seguían sin parchearse en el momento de su publicación y que el modelo representa una transición delicada en la que capacidades defensivas y ofensivas avanzan a la vez. Esto sitúa la soberanía digital en un terreno mucho más concreto que el discurso habitual: no basta con tener redes, clientes, marcas o regulación; hay que tener capacidad técnica para descubrir, validar, corregir y coordinar vulnerabilidades antes de que lo hagan otros https://bit.ly/3Phfr9L
Ahí aparece la contradicción del sector europeo de telecomunicaciones. Sus principales operadores llevan años diciendo que Europa necesita escala, consolidación y menos fragmentación regulatoria. Marc Murtra, presidente ejecutivo de Telefónica, defendió en el MWC 2026 que la consolidación telco sería beneficiosa para la soberanía estratégica europea, que hacen falta empresas más grandes, con más recursos y capacidad de inversión, y que Europa necesita productos propios de ciberseguridad e IA. Tim Höttges, de Deutsche Telekom, también ha vinculado la economía de la IA con la infraestructura telco, afirmando que sin redes y centros de datos no puede haber una economía europea de IA potente. La demanda empresarial no es inventada: existe y tiene una base real https://bit.ly/42PfOLK
El problema es que esa narrativa se queda corta si convierte “soberanía digital” en sinónimo de fusiones nacionales o de mejora de balances. Las fusiones pueden aumentar músculo financiero en determinados mercados, pero no crean por sí mismas una capacidad europea equivalente a Mythos. Una operadora más grande puede invertir más en fibra, 5G, edge o centros de datos, pero eso no significa automáticamente que Europa tenga modelos de frontera en ciberseguridad, bancos de pruebas comunes, equipos continentales de red-teaming, acceso compartido a código crítico, protocolos europeos de divulgación responsable y una cadena industrial capaz de actuar con la velocidad de Anthropic, Microsoft, AWS, Google o NVIDIA actuando en red.
Los informes de Draghi y Letta muestran que el diagnóstico de fragmentación es correcto, pero también que la solución no puede reducirse a “dejadnos fusionarnos”. Draghi recomienda modificar la posición europea sobre escala y consolidación telco para avanzar hacia un verdadero mercado único, pero añade condiciones importantes: no sacrificar bienestar del consumidor ni calidad del servicio, ponderar compromisos de innovación e inversión, armonizar reglas de espectro y crear un organismo europeo público-privado para estándares de APIs de red y edge computing. Es decir, Draghi no plantea simplemente rescatar balances empresariales, sino construir escala europea funcional, estándares comunes y capacidades compartidas https://bit.ly/4cPGcuW
Letta, por su parte, parte de una idea más amplia: el mercado único nació en un mundo más pequeño, menos integrado y con actores globales muy distintos, y por eso necesita una actualización política y estratégica. Su informe no trata la integración europea como una cuestión técnica cerrada, sino como una herramienta para que Europa pueda operar con escala en un mundo más grande y más competitivo. Aplicado al caso Mythos, esto significa que el mercado único no puede limitarse a permitir que empresas vendan servicios en más países; debe permitir que Europa ponga en común datos, cómputo, investigación, capital, compras públicas y capacidades de seguridad https://bit.ly/3QS6kN8
La Comisión Europea reconoce el problema estructural en telecomunicaciones: no existe un verdadero mercado único de redes y servicios electrónicos, sino 27 mercados nacionales con distintas condiciones de oferta y demanda, arquitecturas de red, calendarios de espectro, reglas de autorización y enfoques regulatorios. También reconoce que esa fragmentación limita la capacidad de los operadores para invertir, innovar y competir globalmente, y que el Digital Networks Act (DNA) pretende modernizar el marco para infraestructuras digitales avanzadas y resilientes https://bit.ly/4cP4ANj
La fragmentación tiene un coste medible. En el Libro Blanco de la Comisión sobre infraestructuras digitales se señala que la UE tiene un gap de inversión cloud estimado en 80.000 millones de euros hasta el año 2027, que el capex per cápita de telecomunicaciones en Europa es inferior al de Estados Unidos y Japón, y que la baja rentabilidad y la fragmentación reducen el atractivo de los operadores europeos para grandes inversores. Ese diagnóstico explica por qué las telecos piden escala. Pero el mismo documento también deja claro que la cuestión no es solo fusionar operadores: habla de redes, cloud, edge, IA, espectro, cables submarinos, seguridad, interoperabilidad y coordinación industrial https://bit.ly/4ncSYXY
El caso Mythos demuestra por qué una lectura puramente telco es claramente insuficiente. Las redes son necesarias, pero la soberanía estratégica hoy se decide en la intersección entre red, nube, cómputo, modelos de IA, ciberseguridad, semiconductores, software open source y datos operativos. Project Glasswing no es una fusión de operadores móviles; es un consorcio de facto entre un laboratorio de IA de frontera, hyperscalers, proveedores de hardware, empresas de ciberseguridad, mantenedores de infraestructura software y una gran entidad financiera. Europa, cuando responde solo con debates de concentración telco, está mirando una parte de la película.
Por eso resulta tan problemático que parte del discurso sectorial de las telecos use la soberanía digital como argumento para arreglar estructuras empresariales. Las telecos europeas tienen razón al señalar que la fragmentación nacional encarece inversiones y debilita escala. Reuters informó que los CEOs de Deutsche Telekom, Orange, Telefónica, TIM, Vodafone, Nokia, Ericsson y otros pidieron a Ursula von der Leyen reglas de fusiones más flexibles para aumentar inversión y competir con rivales estadounidenses y asiáticos. Pero esa petición está formulada desde la lógica de balance, capex, escala empresarial y rentabilidad sectorial. Todo eso importa, pero no basta para responder a una capacidad como Mythos https://bit.ly/4d4uwDv
La propia reforma europea de reglas de fusiones va en esa dirección prudente. Reuters informó que la Comisión propuso dar más margen a las empresas para defender beneficios de inversión, innovación, resiliencia y sostenibilidad en operaciones corporativas, pero Teresa Ribera advirtió que no habrá “cheques en blanco” y que el objetivo sigue siendo proteger mercados competitivos y evitar acumulaciones abusivas de poder. Esa cautela es relevante porque una fusión que mejore EBITDA no equivale automáticamente a más innovación, ni a más ciberseguridad, ni a más autonomía europea https://bit.ly/48I33Gj
La distopía europea, en este caso, es que el lenguaje de la soberanía puede ser capturado por agendas corporativas parciales justo cuando la amenaza exige consorcios transversales. Una teleco puede decir que necesita tamaño para invertir en red; un banco puede pedir acceso a Mythos para auditar sistemas; una startup puede pedir cloud europeo; una agencia de ciberseguridad puede pedir coordinación; una universidad puede pedir cómputo; un proveedor industrial puede pedir estándares. Si cada actor defiende su parcela, Europa produce manifiestos, no capacidades. Project Glasswing enseña lo contrario: concentración de actores complementarios alrededor de una misión concreta.
El contraste es aún más fuerte porque la Comisión ya ha identificado que la transición hacia redes digitales futuras requiere lo que llama una red “3C”: conectividad, colaboración y computación. El Libro Blanco subraya que conectividad y computación convergen, que hacen falta chips, equipos de red, edge, cloud, infraestructuras de conectividad, datos y aplicaciones, y que los sectores están fragmentados y carecen de escala. Esa es exactamente la lógica de consorcio que Mythos pone sobre la mesa: no basta con operadores más grandes; hace falta una arquitectura común que junte capacidades industriales distintas https://bit.ly/3PhfT7X
En ciberseguridad, esta diferencia es crítica. Un operador telco es dueño de infraestructura esencial, pero no necesariamente controla las capas donde se produce la ventaja estratégica actual: modelos fundacionales, entrenamiento, benchmarks de explotación, datasets de vulnerabilidades, entornos de prueba, automatización de parches, relación con mantenedores open source y canales de divulgación responsable. Mythos se sitúa precisamente en esas capas. Si Europa responde solo con fusiones móviles de cuatro a tres operadores por país, puede acabar con empresas más grandes pero no necesariamente con más soberanía técnica.
Además, hay un riesgo de falsa equivalencia entre consolidación y consorcio. Consolidar significa reducir el número de empresas o integrar balances. Consorciar significa poner en común capacidades sin que necesariamente desaparezca la competencia. Para cerrar el gap que muestra Mythos, Europa necesita más de lo segundo que de lo primero: consorcios público-privados con mandato europeo, acceso a supercomputación, participación de bancos, telecos, cloud europeo, agencias nacionales de ciberseguridad, mantenedores open source, universidades, startups de seguridad, fabricantes de chips y proveedores industriales. Una fusión telco puede ser una herramienta; un consorcio de ciberseguridad con IA sería una capacidad estratégica.
La experiencia regulatoria europea obliga además a no aceptar la tesis de las fusiones sin prueba. Economistas del CEPR han discutido la parte telco del informe Draghi y sostienen que la evidencia empírica muestra que las fusiones en telecomunicaciones pueden llevar a precios más altos y no garantizan mayor inversión; citan análisis donde un operador móvil adicional se asocia a menor ARPU y, en algunos casos, a más inversión total. Esto no invalida todo argumento de escala, pero sí impide presentar cualquier fusión como política industrial virtuosa por definición https://bit.ly/4wc6Rtv
La lectura sobria es que Europa tiene dos problemas distintos y a menudo los mezcla. El primero es que sus telecomunicaciones están fragmentadas, tienen menor rentabilidad relativa, menor capex per cápita y marcos nacionales que dificultan escala. Ese problema existe. El segundo es que Europa carece de una capacidad integrada de frontera en IA, cloud, ciberseguridad y software crítico comparable a la constelación estadounidense que se ve alrededor de Mythos. Ese segundo problema no se resuelve únicamente dejando que tres operadores se fusionen en un mercado nacional. Requiere instituciones, compras públicas, financiación común, consorcios técnicos y objetivos verificables.
Por eso la “distopía” no es que las telecos pidan consolidación. Eso es esperable desde su posición económica. La distopía es que Europa pueda confundir la defensa de balances privados con soberanía estratégica pública. Si la política industrial se limita a permitir concentración sin exigir compromisos vinculantes de inversión, interoperabilidad, seguridad, acceso de pymes, participación en infraestructuras comunes y contribución a capacidades europeas de IA defensiva, el resultado puede ser concentración sin soberanía: menos competidores, empresas algo más rentables y la misma dependencia de modelos, nubes y ciberseguridad estadounidenses.
El caso Mythos obliga a redefinir qué debería exigirse a las telecos si quieren invocar soberanía digital. No basta con prometer “más inversión”. Deberían integrarse en consorcios europeos de ciberseguridad con IA, aportar telemetría anonimizada y gobernada, abrir entornos de prueba, coordinarse con bancos y proveedores cloud europeos, financiar capacidades compartidas de detección de vulnerabilidades, adoptar estándares comunes de edge y APIs, y comprometerse a que parte de los beneficios de escala se traduzcan en infraestructuras europeas verificables. Sin eso, la soberanía queda como envoltorio narrativo de una agenda de M&A.
Claude Mythos también muestra que el tiempo político europeo es demasiado lento para ciertos riesgos. Anthropic anunció Glasswing el 7 de abril; en cuestión de semanas bancos, supervisores y ministros europeos ya estaban pidiendo acceso o información. Las vulnerabilidades de software, los modelos de explotación y los parches no esperan a que se cierre un ciclo legislativo o una revisión de competencia. Por eso el debate correcto no es solo si Bruselas debe permitir más fusiones, sino si Europa puede crear mecanismos permanentes que se activen rápido cuando aparezca una capacidad estratégica externa.
La conclusión es incómoda: el sector telco europeo no está “fuera de órbita” porque sus problemas financieros sean falsos, sino porque su receta principal pertenece a una capa anterior del problema. Europa sí necesita mejores redes, más inversión, más edge, más centros de datos y menos fragmentación. Pero Mythos enseña que la soberanía estratégica ya no se gana solo con infraestructura de conectividad; se gana con capacidades comunes de IA, ciberseguridad, software, cómputo y respuesta coordinada. Si las telecos quieren formar parte de esa soberanía, deben dejar de presentarla como una coartada para fusiones y asumirla como una obligación de consorcio europeo.
El precio de no hacerlo es claro: Europa puede acabar con operadores más grandes, pero seguir sin acceso equivalente a las herramientas que detectan las vulnerabilidades más críticas; puede tener regulación avanzada, pero depender de proveedores externos para saber dónde están sus puntos ciegos; puede tener discursos de autonomía, pero no instrumentos operativos. Mythos no demuestra que todas las fusiones sean malas ni que todas las telecos actúen de mala fe. Demuestra algo más preciso: en la nueva frontera tecnológica, la soberanía no se recita o publicita desde balances corporativos; se construye poniendo recursos en común alrededor de misiones técnicas concretas.
La cuestión de fondo no es si Europa debe permitir o no más fusiones en telecomunicaciones. Ese debate puede tener sentido dentro de una reforma más amplia del mercado único digital. La cuestión de fondo es que ninguna fusión nacional, por sí sola, va a producir las capacidades que hoy definen la soberanía tecnológica: modelos de IA de frontera, acceso a cómputo, ciberseguridad ofensiva y defensiva, gobernanza de vulnerabilidades, cloud soberano, chips, software crítico y adopción industrial coordinada. Claude Mythos revela que el terreno de juego ya no está en la escala contable de una operadora, sino en la capacidad de varias industrias para actuar juntas ante una amenaza técnica concreta.
La respuesta europea debería tomar la forma de consorcios operativos, no de declaraciones. Un consorcio europeo de IA defensiva y ciberseguridad debería reunir a telecos, bancos, proveedores cloud, centros EuroHPC, agencias nacionales de ciberseguridad, mantenedores open source, universidades, startups y fabricantes de semiconductores bajo una misión verificable: detectar vulnerabilidades críticas en infraestructuras europeas, probarlas en entornos seguros, coordinar su corrección y distribuir capacidades defensivas también hacia pymes y startups. Sin esa arquitectura común, Europa seguirá teniendo programas, fondos y discursos, pero no una capacidad estratégica equivalente.
Claude Mythos no es solo una noticia sobre Anthropic. Es un espejo incómodo para Europa. Muestra que la soberanía digital no se consigue fusionando balances ni repitiendo la palabra “escala” en congresos sectoriales. Se consigue cuando los recursos dispersos se convierten en capacidades comunes. Mientras Europa siga confundiendo concentración empresarial con estrategia industrial, otros decidirán primero qué vulnerabilidades existen, quién puede verlas y quién llega tarde a parchearlas.
Para terminar el post quiero manifestar que Heartbleed nos enseñó hace una década que la seguridad de Internet podía depender de una pieza de software casi invisible, mantenida con pocos recursos y utilizada por medio planeta sin que casi nadie reparase en su fragilidad. Claude Mythos nos enseña ahora algo todavía más incómodo: en la nueva etapa de la inteligencia artificial, la vulnerabilidad no está solo en el código que nadie ve, sino también en la desigualdad entre quienes tienen herramientas para descubrir esos fallos antes que los demás y quienes dependen de que otros decidan cuándo compartir la información.
Esa es la crudeza que el caso Mythos ha puesto delante de Europa. La soberanía digital no puede seguir siendo un concepto decorativo, útil para discursos institucionales, campañas corporativas o presentaciones de resultados. Si una capacidad estratégica capaz de detectar vulnerabilidades críticas queda concentrada en manos de una empresa estadounidense, de un círculo limitado de grandes corporaciones y bajo el escrutinio de una administración norteamericana que actúa en función de sus propios intereses nacionales, Europa no puede limitarse a pedir acceso, esperar explicaciones o confiar en la buena voluntad de terceros. Esa posición no es soberanía; es dependencia administrada.
Lo más preocupante es que esta dependencia convive con un discurso europeo que a menudo confunde escala con estrategia. En el sector de las telecomunicaciones, algunos directivos presentan las fusiones como si fueran la vía natural hacia la soberanía digital, cuando en realidad muchas de esas propuestas responden también a problemas de rentabilidad, deuda, inversión y balance. Es legítimo que las compañías busquen mejorar su posición financiera, pero no lo es vestir cualquier operación corporativa con el lenguaje de la soberanía estratégica. Europa no será más soberana solo porque haya menos operadores en un mercado nacional. Será más soberana si sus infraestructuras, su cómputo, su cloud, su ciberseguridad, sus modelos de IA, sus bancos, sus universidades, sus startups y sus agencias públicas son capaces de actuar como una capacidad común.
Claude Mythos desnuda precisamente esa carencia. Estados Unidos ha demostrado, una vez más, que puede articular una coalición operativa entre laboratorios de IA, hyperscalers, fabricantes de hardware, bancos, empresas de ciberseguridad y mantenedores de software crítico. Europa, en cambio, sigue teniendo demasiados recursos dispersos, demasiados programas desconectados y demasiados actores defendiendo su parcela. Tiene talento, dinero público, regulación, centros de supercomputación, operadores, bancos y tejido industrial. Lo que no tiene todavía es una arquitectura común capaz de responder con velocidad cuando aparece una tecnología de frontera que cambia las reglas del juego.
La lección es evidente: Europa tiene que espabilar. No con más comunicados, ni con más declaraciones sobre autonomía estratégica, ni con fusiones presentadas como remedio universal. Tiene que aprender el significado real de los consorcios: poner recursos en común para resolver misiones concretas. Un consorcio europeo serio de IA defensiva y ciberseguridad debería ser capaz de reunir a telecos, bancos, cloud europeo, centros EuroHPC, agencias de ciberseguridad, universidades, startups, fabricantes de chips y mantenedores open source para detectar vulnerabilidades, probarlas en entornos seguros, coordinar parches y distribuir capacidades defensivas también a pymes y empresas emergentes.
Heartbleed fue una advertencia sobre la fragilidad oculta de la infraestructura digital. Mythos es una advertencia sobre la fragilidad estratégica de Europa. La primera nos recordó que dependíamos de piezas de software que casi nadie financiaba. La segunda nos muestra que podemos depender de capacidades de detección que otros controlan. Si Europa no convierte sus recursos dispersos en consorcios operativos, seguirá regulando una realidad tecnológica que no domina, comprando herramientas que no controla y esperando acceso a capacidades que otros priorizan según sus propios intereses.
Ese es el verdadero riesgo. No que Europa llegue tarde a un modelo concreto, sino que se acostumbre a llegar tarde a cada tecnología decisiva. Si no aprende la lección, el futuro no será simplemente más competitivo o más incómodo. Será mucho más oscuro: una Europa con grandes discursos de soberanía, pero sin los instrumentos necesarios para defenderla cuando de verdad importa.
Ya lo dijo Mario Draghi: “Por primera vez desde la Guerra Fría, debemos temer realmente por nuestra supervivencia.”