Viernes 12 de junio de 2026. Anthropic había lanzado unos días antes Fable 5, una versión pública y fuertemente acotada de su tecnología de ciberseguridad llamada Mythos. Ese viernes, el Departamento de Comercio de EE.UU. activó controles de exportación y Anthropic suspendió el acceso a Fable 5 (y a Mythos 5) para todos los clientes, en todo el mundo. Según Anthropic y prensa especializada (entre ellos Axios), el Secretario de Comercio Howard Lutnick comunicó la directiva a Anthropic. Herramienta fuera. Sin fecha de retorno confirmada.
En el momento de escribir este artículo, a finales de junio de 2026, el acceso general a Fable 5 seguía suspendido. La situación puede haber cambiado cuando leas estas líneas: verifica el estado actual en las fuentes oficiales de Anthropic.
Quizás tú no usabas Fable 5. Quizás ni siquiera habías oído hablar de Anthropic. Pero lo que ocurrió ese viernes es una lección que afecta a cualquier pyme que haya integrado herramientas de IA en su día a día: cuando dependes de un solo proveedor para una tarea crítica, tienes un punto único de fallo. Y la decisión puede venir de muy lejos, por razones que no tienes ningún poder de controlar.
Qué pasó, en cristiano
Anthropic lanzó Fable 5 como versión pública de Mythos, su sistema especializado en ciberseguridad. Era un modelo potente, orientado a empresas que necesitaban detección y respuesta a amenazas digitales. Pocos días después del lanzamiento, el gobierno de EE.UU. activó controles de exportación que, en la práctica, llevaron a Anthropic a suspender el acceso para todos los clientes.
La Unión Europea reaccionó con declaraciones políticas y debate regulatorio, pero sin medidas ejecutivas propias sobre estos modelos concretos. El resultado práctico: los clientes que dependían de Fable 5 para procesos de negocio se encontraron sin la herramienta de un día para otro.
Hay un detalle adicional que vale la pena tener en cuenta si pasas datos de clientes por herramientas de este tipo: Anthropic comunicó una retención obligatoria de 30 días del tráfico de los modelos de la familia Mythos. Anthropic dice que es por seguridad, no para entrenar modelos. Pero la implicación práctica es clara: si usas (o tenías intención de usar) herramientas de la familia Mythos-class, hay que revisar tu acuerdo de tratamiento de datos (DPA), la residencia de los datos y la base jurídica del RGPD antes de pasarles información de clientes.
En cuanto al AI Act: el reglamento europeo prevé obligaciones adicionales para modelos de IA de propósito general con "riesgo sistémico", si superan determinados umbrales (por ejemplo, 10^25 FLOPs de entrenamiento). No afirmo que Fable 5 o Mythos los superen porque no tengo la información verificada. Si lo hicieran, podrían estar sujetos a estas obligaciones adicionales. Pero eso es una lectura de riesgo futura, no una sanción presente.
Por qué no es cosa de las grandes empresas
La intuición habitual cuando pasa algo como esto es: "bueno, las grandes empresas que usaban Fable 5 para seguridad corporativa lo están pasando mal. Yo, que tengo una tienda o un despacho, no me toca."
Pero la lección no es sobre Fable 5 específicamente. La lección es sobre el patrón:
- Una empresa de servicios que usa ChatGPT para redactar propuestas de clientes. Si OpenAI cambiara radicalmente las condiciones, subiera el precio un 300% o tuviera una caída de días, ¿cuál sería el impacto real?
- Un comercio que usa un chatbot basado en Claude para atender consultas web. Si Anthropic dejara de dar servicio en Europa por cualquier motivo regulatorio, el chatbot cae.
- Un despacho profesional que utiliza una herramienta de generación de documentos basada en un modelo propietario. Si ese modelo desaparece o cambia el comportamiento, los documentos cambian.
No es alarmismo. Es una lectura de riesgo honesta: cualquier integración de IA en un proceso crítico de negocio crea una dependencia. Y las dependencias de un solo proveedor tienen un coste cuando falla, independientemente del tamaño de la empresa.
La pregunta incómoda
Hazte esta pregunta, ahora, sobre cada herramienta de IA que usas de manera habitual: si mañana desaparece, ¿qué pasa con mi negocio?
Para muchas pymes, la respuesta es "me complico unos días y encuentro alternativa". Aceptable. Pero para algunas, la respuesta es "me para un proceso crítico" o "no sé cómo habría hecho el trabajo sin ella". Esas son las dependencias que vale la pena gestionar ahora, cuando no hay ninguna urgencia.
Plan de continuidad accionable: seis puntos concretos
No te propongo montar un plan de continuidad de negocio completo. Te propongo seis cosas concretas que una pyme puede hacer en una tarde:
1. Inventario real de tus herramientas de IA.
Haz una lista de todas las herramientas de IA que tú y tu equipo usáis de manera habitual. Incluye ChatGPT, Claude, Gemini, Copilot, herramientas de imagen, chatbots, automatizaciones, generadores de contenido y cualquier SaaS que tenga un componente de IA integrado. La mayoría de equipos pasan por alto algunas herramientas hasta que hacen el inventario.
2. Clasifica por criticidad.
Para cada una, responde: ¿es crítica (si falla, un proceso de negocio se para), importante (hay impacto pero tengo alternativa manual) o cómoda (me hace la vida más fácil pero no es imprescindible)? Las críticas son las que exigen un plan B.
3. Identifica un proveedor alternativo para cada herramienta crítica.
No hace falta que cambies nada ahora. Necesitas saber, para cada herramienta crítica, cuál sería la sustituta si desapareciera. Para ChatGPT, la alternativa obvia es Claude o Gemini. Si valoras la soberanía europea de los datos, vale la pena conocer Mistral (empresa francesa, modelos disponibles vía API, residencia de datos en Europa). No es la solución para todos, pero existe y funciona.
4. Clasifica qué datos de clientes pasan por cada herramienta.
Para cada herramienta de IA, identifica si le pasas datos personales de clientes (nombres, correos, contenido de mensajes, historiales). Si es así, comprueba que tienes un DPA firmado con el proveedor, que los datos se procesan dentro de la UE (o que hay garantías equivalentes), y que tienes una base jurídica RGPD para ese tratamiento. Ante un incidente como el de Fable 5, es lo primero que tendrás que poder demostrar.
5. Revisa el DPA, la residencia de datos y la base jurídica RGPD.
Si usas modelos de la familia Mythos-class o cualquier herramienta con cláusulas de retención de tráfico, revisa el DPA con atención. La retención de 30 días comunicada por Anthropic para Mythos implica que los datos pueden quedar retenidos fuera del control directo de tu negocio durante ese periodo. Si no tienes claro si tu proveedor tiene un DPA adecuado, es el momento de preguntarlo, no el momento de una crisis.
6. Define un procedimiento manual mínimo para los procesos críticos.
Para cada proceso crítico que dependa de una herramienta de IA, documenta cómo se haría sin ella. No tiene que ser perfecto: tiene que ser suficiente para continuar operando mientras encuentras alternativa. "Si el chatbot cae, las consultas van a info@dominio.com y respondemos manualmente en 24h" es un procedimiento manual válido.
Europa pone las reglas, pero no tiene los modelos
El caso Fable 5 pone al descubierto una tensión real: la Unión Europea es la primera en regular la IA (el AI Act) y la primera en proteger los datos de los ciudadanos (el RGPD), pero no tiene modelos de IA de frontera propios. Los modelos que hacen funcionar los procesos de negocio europeos provienen, a día de hoy, de tres o cuatro empresas norteamericanas. Cuando un gobierno externo toma una decisión regulatoria que afecta a uno de estos modelos, los efectos los absorbemos nosotros.
Iniciativas como Mistral (francesa) o las inversiones en infraestructura europea de IA van en la dirección correcta, pero la brecha es real y no se cierra en meses. Para una pyme el 2026, la lectura práctica es: diversifica proveedores donde sea razonable, asegúrate de que los datos de tus clientes están protegidos por DPAs sólidos, y no dejes que ninguna herramienta de IA llegue a ser el punto único de fallo de un proceso que no puedes parar.
No hay que ser alarmista. Hay que ser previsor. Que el caso Fable 5 sea la lección que aprendes sin haber sufrido tú la interrupción.
Si quieres profundizar en la regulación europea que hay detrás de todo esto, tienes el contexto completo en el artículo sobre la Ley IA de España y el AI Act.
¿Quieres revisar qué herramientas de IA usas y cuánto expuesto estás?
La herramienta de diagnóstico gratuita te ayuda a clasificar tus herramientas de IA por riesgo en cinco minutos. Si quieres ir más a fondo, puedo acompañarte a hacer el inventario, revisar los DPAs y definir los planes de continuidad de los procesos críticos. Tres o cuatro horas de trabajo conjunto y tienes la base hecha.