Por Canuto El Banco Central Europeo reunirá a bancos de la eurozona para advertirles que la nueva generación de modelos de IA, encabezada por Claude Mythos Preview de Anthropic, está reduciendo drásticamente el tiempo disponible para corregir vulnerabilidades. El mensaje del supervisor es claro: la ciberseguridad financiera ya no puede avanzar al ritmo de antes.
***
- El BCE convocó a los bancos para tratar los riesgos de ciberseguridad ligados a modelos avanzados de IA como Mythos.
- Frank Elderson dijo que los atacantes ya pueden hacer ingeniería inversa de parches en unos 30 minutos, por lo que los bancos deben acelerar su respuesta.
- La eurozona enfrenta además una brecha de acceso, ya que los bancos europeos siguen fuera de Project Glasswing, el programa restringido de Anthropic.
El Banco Central Europeo elevó el tono frente a una amenaza que ya dejó de ser hipotética para el sistema financiero. El organismo convocó a los bancos a una reunión para abordar los riesgos de ciberseguridad asociados con modelos avanzados de inteligencia artificial, en especial Claude Mythos Preview de Anthropic, una herramienta que ha demostrado capacidad para detectar vulnerabilidades de software a una velocidad sin precedentes.
La preocupación del supervisor europeo no gira en torno a una falla aislada, sino a un cambio de escala. Si antes las entidades podían desplegar correcciones con cierto margen, ahora ese tiempo se acorta de forma drástica. El BCE teme que la IA permita a actores maliciosos identificar y explotar debilidades casi de inmediato, comprometiendo la protección de fondos de clientes y la resiliencia operativa de la banca.
Frank Elderson, vicepresidente del consejo de supervisión del BCE y miembro de su Comité Ejecutivo, resumió el mensaje con una metáfora musical. Según declaró al Financial Times, el ritmo andante ya no alcanza. En su opinión, la banca debe pasar a un tempo presto para atender riesgos que llevan años sobre la mesa, pero que se volvieron más urgentes por el progreso reciente de la IA.
El BCE supervisa a 111 de los mayores bancos de la eurozona. Por eso, la advertencia no es menor. Lo que está planteando el regulador es que la velocidad defensiva tradicional del sector podría haber quedado superada por una nueva generación de modelos capaces de encontrar fallas, proponer rutas de explotación y acelerar el ciclo entre la publicación de un parche y su posible aprovechamiento por atacantes.
Mythos y el salto en la detección de vulnerabilidades
Anthropic lanzó Claude Mythos Preview en abril bajo Project Glasswing, un programa de distribución restringida. Desde entonces, distintas evaluaciones han alimentado la inquietud entre reguladores y empresas. El Instituto de Seguridad de IA del Reino Unido encontró que Mythos Preview superó el 73% de desafíos Capture the Flag de nivel experto, una marca que, según la información disponible, ningún modelo de IA había conseguido antes de abril de 2025.
La magnitud de ese desempeño también se reflejó en productos de software ampliamente usados. Firefox 150 incorporó 271 parches para vulnerabilidades halladas por el modelo, una cifra muy superior a los resultados atribuidos anteriormente a Opus 4.6. La lectura de fondo es clara: la IA de frontera no solo acelera la investigación defensiva, también puede cambiar por completo la economía de los fallos de seguridad.
Otra cifra elevó la alarma. En pruebas controladas, Mythos produjo exploits funcionales en el primer intento más del 83% de las veces, superando en varios casos a especialistas humanos en ciberseguridad. Anthropic, además, advirtió que adversarios podrían replicar una capacidad equivalente en un plazo de seis a doce meses, lo que endurece la urgencia regulatoria y técnica.
Datos citados por otras compañías del sector refuerzan ese diagnóstico. Palo Alto Networks indicó que los modelos avanzados de IA están descubriendo vulnerabilidades a un ritmo siete veces superior al habitual. La empresa advirtió que al sector le quedarían entre tres y cinco meses de margen defensivo. Ese contexto ayuda a entender por qué el BCE decidió reunir a los bancos ahora, y no esperar a que ocurra un incidente de gran escala.
El mensaje del BCE: parchear más rápido
La instrucción central del supervisor es concreta. Los bancos deben acelerar la implementación de parches de software, incluso para fallos que antes podían dejarse para ciclos de actualización más largos. Elderson advirtió que los atacantes ya pueden hacer ingeniería inversa de correcciones en unos 30 minutos, lo que reduce de forma abrupta la ventana entre la publicación de un parche y la explotación de la vulnerabilidad.
Ese cambio altera una práctica operativa arraigada en el sistema financiero. Los bancos, por su tamaño, complejidad tecnológica y dependencia de contratistas, suelen mover actualizaciones bajo procedimientos estrictos. Pero el regulador considera que ese modelo debe ajustarse. El riesgo ya no reside solo en descubrir una falla, sino en la velocidad con que alguien puede convertir esa información en un ataque.
En ese punto, el BCE vinculó la discusión con la Ley de Resiliencia Operativa Digital, conocida como DORA. La norma exige a las entidades financieras gestionar el riesgo de TI, probar su resiliencia e informar incidentes. La pregunta de fondo es si ese marco será suficiente para acompañar un entorno en el que la IA encuentra vulnerabilidades, incluidas algunas de décadas de antigüedad, más rápido de lo que las instituciones logran corregirlas.
La presión regulatoria también se explica por el carácter sistémico del problema. Si una gran entidad bancaria sufre una interrupción o una intrusión grave, las consecuencias pueden expandirse a pagos, crédito, mercados y confianza pública. Para el BCE, la ciberseguridad dejó de ser un asunto meramente técnico. Ahora forma parte del núcleo de la estabilidad financiera.
La desventaja europea frente a Project Glasswing
Un elemento especialmente incómodo para la eurozona es la brecha de acceso a la tecnología. La mayoría de los bancos europeos permanece fuera de Project Glasswing y no puede usar directamente Mythos. Elderson calificó esta situación de desafortunada, aunque remarcó que no puede servir como excusa para la inacción. En su visión, aunque las entidades no vean toda la amenaza, deben prepararse como si ya la tuvieran enfrente.
Hasta ahora, entre 40 y 50 organizaciones habrían recibido acceso a Mythos. En esa lista figuran Amazon, Microsoft, Google, Nvidia, CrowdStrike, Palo Alto Networks y JPMorgan Chase. Ningún banco europeo aparece mencionado entre los participantes. Por eso, el BCE quiere que instituciones estadounidenses presentes en la reunión compartan aprendizajes con sus pares de la eurozona.
La dificultad no es solo técnica. También toca cuestiones de soberanía tecnológica y competitividad. Mientras los bancos europeos esperan acceso o información más amplia, reguladores y ministros de Finanzas de la eurozona han pedido poder utilizar la herramienta. Valdis Dombrovskis confirmó el 4 de mayo que la Unión Europea estaba en conversaciones con Anthropic para que empresas y bancos sean evaluados con base en las vulnerabilidades que detecta el modelo.
Sin embargo, esos contactos habrían avanzado poco. Reportes de funcionarios españoles a mediados de mayo indicaron que las negociaciones estaban de hecho estancadas. Ese bloqueo abrió espacio para alternativas regionales. Mistral AI, startup francesa de inteligencia artificial, mantiene conversaciones con bancos europeos para desplegar su propio modelo de ciberseguridad. Su director ejecutivo, Arthur Mensch, ha presentado el proyecto como una apuesta por la soberanía tecnológica. El sistema sigue en desarrollo y aún no tiene fecha confirmada de lanzamiento.
Una inquietud compartida por otros reguladores
La respuesta del BCE se inscribe en un movimiento regulatorio más amplio. Anthropic informó al Financial Stability Board sobre los hallazgos de Mythos a petición de Andrew Bailey, gobernador del Banco de Inglaterra y presidente de ese organismo. De forma separada, la Reserva Federal y el Departamento del Tesoro de Estados Unidos convocaron a directores ejecutivos bancarios para discutir riesgos cibernéticos relacionados con esta nueva generación de IA.
Esto sugiere que la preocupación ya se extendió más allá de Europa. Los supervisores financieros empiezan a asumir que la frontera entre defensa y ataque se estrecha cuando los modelos pueden detectar miles de fallos de día cero y, en algunos casos, producir cadenas de explotación funcionales. Para bancos, proveedores tecnológicos y reguladores, el reto es cerrar una brecha temporal que no deja de reducirse.
La situación resulta especialmente compleja para la banca europea. La herramienta más potente para identificar debilidades en sus sistemas existe, pero no está a su alcance directo. Al mismo tiempo, el regulador les exige actuar como si dispusieran de toda la visibilidad necesaria. Esa tensión explica por qué la reunión convocada por el BCE tiene un tono de urgencia y por qué el mensaje apunta menos al diagnóstico que a la ejecución inmediata.
En términos prácticos, el debate ya no trata solo de adoptar IA o de regularla. Se trata de cuánto tiempo conserva una institución financiera para defenderse cuando los modelos de frontera pueden reducir a minutos un proceso que antes tomaba días o semanas. Para el BCE, ese reloj ya está corriendo.
ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.
Suscríbete a nuestro boletín
Artículos Relacionados
Empresas
Xreal cree que por fin descifró el negocio de las gafas inteligentes junto a Google
Adopción
MoonPay lleva compras de Bitcoin y XRP a ChatGPT con enlaces directos de pago
Empresas
Google pide reforzar la seguridad de la IA mientras crecen fallas en Gemini y facturas inesperadas
China