La carrera por dominar la ciberseguridad impulsada por inteligencia artificial acaba de entrar en una nueva fase. OpenAI ha presentado GPT-5.4-Cyber, una variante de su modelo insignia ajustada específicamente para tareas de ciberseguridad defensiva, y al mismo tiempo ha ampliado su programa Trusted Access for Cyber (TAC) para dar acceso a miles de defensores individuales verificados y cientos de equipos que protegen software crítico.
El movimiento llega apenas una semana después de que Anthropic lanzara Project Glasswing, una iniciativa cerrada que da acceso anticipado a Claude Mythos Preview para proteger infraestructuras críticas. Anthropic confirmó que su programa arrancó con grandes socios como AWS, Apple, Cisco, CrowdStrike, Google, JPMorganChase, Microsoft, NVIDIA y Palo Alto Networks, además de más de 40 organizaciones adicionales vinculadas al software crítico.
La diferencia entre ambos anuncios no es menor. Mientras Anthropic ha optado por un despliegue fuertemente restringido de su tecnología más sensible, OpenAI está apostando por un enfoque más amplio: mantener controles de identidad y confianza, pero abrir el acceso a una base mucho más grande de profesionales defensivos. Esa divergencia revela que la pugna entre laboratorios de IA ya no gira solo en torno a quién tiene el modelo más capaz, sino a qué filosofía de acceso y gobernanza va a imponerse en el terreno ciber.
Qué es GPT-5.4-Cyber
Según la nota oficial de OpenAI, GPT-5.4-Cyber es una versión de GPT-5.4 que “reduce el umbral de rechazo” para trabajo legítimo de ciberseguridad y añade capacidades pensadas para flujos defensivos avanzados. La novedad más relevante es su capacidad de ingeniería inversa binaria, que permite a profesionales de seguridad analizar software compilado para detectar malware, vulnerabilidades y robustez de seguridad sin disponer del código fuente.
OpenAI subraya, sin embargo, que el despliegue inicial de este modelo será limitado e iterativo y quedará reservado a proveedores de seguridad, organizaciones e investigadores validados. La compañía también advierte de que, por tratarse de un modelo más permisivo, puede haber restricciones adicionales en ciertos contextos de uso con menor visibilidad para OpenAI.
TAC: de piloto selectivo a acceso a escala
El anuncio de esta semana amplía un programa que OpenAI había presentado en febrero. En aquella primera fase, la empresa describió TAC como un marco de verificación de identidad y confianza destinado a reducir la fricción para los defensores, al tiempo que mantiene prohibiciones sobre conductas como exfiltración de datos, despliegue de malware o pruebas destructivas no autorizadas. Además, OpenAI comprometió 10 millones de dólares en créditos API para acelerar proyectos de ciberdefensa.
Ahora, ese esquema evoluciona hacia un sistema de niveles de acceso. Los usuarios y equipos que superen verificaciones más profundas podrán desbloquear capacidades cada vez más permisivas, y los que accedan a los niveles más altos podrán utilizar GPT-5.4-Cyber. Reuters y Axios coinciden en que OpenAI está desplazando parte de su estrategia: menos foco en bloquear de forma genérica lo que el modelo sabe hacer y más énfasis en verificar quién lo usa y con qué propósito.
La réplica a Anthropic
Aunque OpenAI no presenta el lanzamiento como una “respuesta” directa, el calendario y el contexto hacen inevitable la comparación. El 7 de abril, Anthropic anunció Project Glasswing y dejó claro que no planea una disponibilidad general de Mythos Preview por ahora. Su argumento es que estas capacidades ofensivas y defensivas son lo bastante potentes como para requerir salvaguardas reforzadas antes de una apertura más amplia.
Axios resumió bien ese nuevo escenario: los modelos ya son tan capaces de encontrar y explotar fallos severos que sus propios creadores están retrasando o limitando su despliegue por temor a un impacto real sobre infraestructuras críticas. En ese contexto, OpenAI apuesta por acelerar la disponibilidad para defensores verificados; Anthropic, por mantener a Mythos dentro de un perímetro mucho más exclusivo.
Cuando la ciberseguridad salta al nivel geopolítico
La señal más llamativa de esta nueva etapa no vino solo de Silicon Valley. Reuters informó el 10 de abril de que el secretario del Tesoro de EE. UU., Scott Bessent, y el entonces presidente de la Reserva Federal, Jerome Powell, convocaron una reunión urgente con CEOs de grandes bancos estadounidenses para advertirles sobre los riesgos asociados a Mythos y modelos similares.
Ese dato importa porque cambia el marco de interpretación. Hasta hace poco, la conversación sobre IA y ciberseguridad se movía sobre todo entre laboratorios, investigadores y equipos de seguridad. Ahora la discusión ha escalado a bancos sistémicos, supervisores y responsables de estabilidad financiera. En otras palabras: la IA aplicada a ciberseguridad ya no es solo un asunto técnico; es también un asunto económico, regulatorio y geopolítico.
El gran debate: democratizar la defensa sin abaratar el riesgo
OpenAI defiende que habrá cada vez más modelos ciber-capaces, incluidos modelos abiertos, y que por eso es crítico poner cuanto antes herramientas potentes en manos de quienes defienden sistemas. La tesis es clara: si los atacantes terminarán teniendo acceso a estas capacidades, retrasar demasiado las herramientas para defensores solo ampliará la brecha.
Pero el argumento contrario también pesa. Anthropic y varios observadores sostienen que restringir durante un tiempo el acceso a modelos extremadamente capaces da margen para corregir vulnerabilidades y fortalecer infraestructuras antes de que la capacidad ofensiva se difunda más. Incluso entre los defensores hay una preocupación adicional: descubrir fallos más rápido no sirve de mucho si las organizaciones no tienen recursos suficientes para parchear al mismo ritmo.
Lo que realmente significa este lanzamiento
GPT-5.4-Cyber no es solo un nuevo producto de OpenAI. Es una declaración estratégica. La compañía está diciendo que el futuro de la ciberdefensa asistida por IA no pasará exclusivamente por modelos ultracerrados y reservados para una élite reducida, sino por sistemas con acceso escalonado, identidad verificada y permisos crecientes para una comunidad más amplia de profesionales.
Eso no elimina los riesgos. De hecho, confirma que hemos entrado en una etapa en la que los laboratorios ya asumen que sus modelos pueden cambiar el equilibrio entre atacantes y defensores a escala global. La pregunta ya no es si la IA transformará la ciberseguridad, sino quién llegará antes a capturar su ventaja: los equipos que protegen infraestructuras críticas o los actores que buscan explotarlas.
Defensa y control
La ofensiva de OpenAI con GPT-5.4-Cyber marca un punto de inflexión. Frente al cerrojo selectivo de Anthropic con Mythos, OpenAI propone una vía intermedia: acceso más amplio, pero bajo verificación estricta. Es una apuesta por democratizar la defensa sin renunciar al control. Y también una admisión implícita de que la próxima gran batalla de la IA no se librará solo en productividad, agentes o búsqueda, sino en la capacidad de detectar, comprender y neutralizar amenazas digitales antes que el adversario.
📚 Guías recomendadas
Descubre más desde Revista Ciberseguridad
Suscríbete y recibe las últimas entradas en tu correo electrónico.








