El nuevo modelo de inteligencia artificial de Anthropic, bautizado como Mythos, ha encendido las alarmas de los reguladores financieros en Estados Unidos y, por extensión, en todo el sistema bancario internacional. Lo que en principio se presentaba como un avance puntero en capacidades de ciberseguridad se ha convertido en motivo de preocupación por el posible uso ofensivo de la tecnología contra bancos y grandes infraestructuras.
En este contexto, el secretario del Tesoro de Estados Unidos, Scott Bessent, y el presidente de la Reserva Federal, Jerome Powell, convocaron una reunión reservada con los máximos responsables de la gran banca para trasladarles de primera mano los riesgos detectados. Aunque el encuentro se celebró en Washington y con foco en la banca estadounidense, el tipo de amenazas que describe Mythos afecta también a entidades europeas y españolas, muy expuestas a ataques sofisticados en un entorno digitalizado.
Una reunión de urgencia que inquieta a la banca global
Según varias fuentes conocedoras de la cita, Bessent y Powell organizaron esta reunión de urgencia aprovechando que los consejeros delegados de los principales bancos ya se encontraban en la capital estadounidense por otros compromisos institucionales. El objetivo principal era poner sobre la mesa el potencial impacto del nuevo modelo de Anthropic sobre la ciberseguridad del sector financiero.
El encuentro tuvo lugar en la sede del Departamento del Tesoro en Washington y reunió, entre otros, a los CEO de Citigroup, Morgan Stanley, Bank of America, Wells Fargo y Goldman Sachs, de acuerdo con la información adelantada por Bloomberg. El máximo responsable de JPMorgan, Jamie Dimon, no pudo asistir, pero fue informado de los contenidos tratados, según confirmaron fuentes familiarizadas con las conversaciones.
Durante la reunión, Bessent y Powell insistieron en que los bancos deben revisar con detalle sus sistemas de protección frente a ataques informáticos avanzados. La idea que se trasladó a los asistentes es que no basta con las medidas actuales: la irrupción de modelos de IA capaces de encontrar vulnerabilidades desconocidas eleva el listón de la defensa digital de forma considerable.
El asesor económico nacional de la Casa Blanca, Kevin Hassett, confirmó públicamente el encuentro en una entrevista televisiva, en la que explicó que el Tesoro aprovechó la presencia de los banqueros en la ciudad para exponerles de manera directa los riesgos asociados a Mythos. Según sus palabras, la administración estadounidense quiere asegurarse de que el sistema financiero está preparado ante posibles amenazas derivadas de este tipo de modelos.
Mythos: un modelo de IA con capacidades ofensivas y defensivas
Anthropic presentó esta semana su modelo Mythos como una herramienta de inteligencia artificial con capacidades avanzadas en el terreno de la ciberseguridad. Sin embargo, la propia empresa decidió no realizar un despliegue masivo del sistema, precisamente por el temor a que su uso pudiera revelar o facilitar la explotación de fallos que todavía no han sido corregidos.
Según ha explicado la compañía, Mythos sería capaz de detectar y explotar debilidades en todos los grandes sistemas operativos y en los principales navegadores web del mercado. En la práctica, esto significa que la herramienta puede localizar fallos de seguridad de alto impacto que podrían ser utilizados tanto para reforzar defensas como para lanzar ataques extremadamente sofisticados.
En los últimos días, Anthropic ha mantenido contactos constantes con funcionarios del gobierno estadounidense para detallar las llamadas «capacidades cibernéticas ofensivas y defensivas» del modelo. Es decir, cómo podría contribuir a proteger infraestructuras críticas, pero también cuál sería el potencial daño si la tecnología cayera en manos equivocadas o se utilizara sin las debidas salvaguardas.
Fuentes cercanas al diálogo entre la empresa y las autoridades señalan que Anthropic informó de forma proactiva a altos cargos del gobierno y a actores clave de la industria antes incluso del anuncio oficial de Mythos. El objetivo era anticipar el debate regulatorio y evitar un lanzamiento sin control que pudiera multiplicar los riesgos para el sector financiero, uno de los más sensibles a los ciberataques.
En este contexto, las advertencias trasladadas a la gran banca por Bessent y Powell deben entenderse como parte de una estrategia más amplia para contener los posibles efectos colaterales de los modelos de IA más avanzados, especialmente en un momento en el que las infraestructuras de pagos, los mercados y los servicios financieros dependen de forma crítica de la tecnología.
Acceso restringido a Mythos y preocupación en el sector financiero
Para intentar limitar el riesgo inmediato, Anthropic ha decidido restringir el acceso a Mythos a un grupo reducido de compañías. En concreto, la startup planea que solo unas 40 empresas tecnológicas puedan utilizar el modelo en esta primera fase, entre las que figuran gigantes como Microsoft y Google, muy activos en el desarrollo y despliegue de soluciones de inteligencia artificial.
Esta aproximación, más contenida de lo habitual en el sector tecnológico, se interpreta como un intento de ganar tiempo mientras gobiernos, reguladores y grandes clientes evalúan el alcance real de las capacidades de Mythos. Para la banca, tanto en Estados Unidos como en Europa, el mensaje es claro: la aparición de modelos de IA de este calibre obliga a replantear de raíz cómo se gestionan los riesgos cibernéticos.
De hecho, las entidades financieras llevan años invirtiendo cantidades significativas en sistemas de defensa digital, pero la posibilidad de que una IA sea capaz de descubrir vulnerabilidades de día cero de forma automatizada y a gran escala introduce un nivel de incertidumbre adicional. En términos prácticos, se teme que las barreras actuales puedan quedarse cortas frente a atacantes que cuenten con herramientas tan avanzadas como Mythos.
La reacción de los reguladores, coordinando reuniones con la gran banca y pidiendo explicaciones detalladas a Anthropic, pone de manifiesto que el debate ya no es teórico. Ejecutivos y supervisores se ven obligados a considerar escenarios en los que un modelo de IA puede servir tanto para blindar sistemas como para abrir la puerta a ataques nunca vistos, algo especialmente delicado para la estabilidad financiera.
En este punto, la comunicación entre el sector privado y las autoridades se ha vuelto crítica. Tanto el Tesoro como la Reserva Federal, según han indicado fuentes consultadas por distintos medios, han pedido a los bancos que refuercen sus evaluaciones internas de riesgo tecnológico y que mantengan un diálogo fluido con los reguladores sobre posibles vulnerabilidades que puedan detectarse en los próximos meses.
Implicaciones para la banca europea y española
Aunque la reunión convocada por Bessent y Powell se centró en los grandes bancos estadounidenses, la cuestión trasciende fronteras. La naturaleza global de los sistemas operativos, navegadores y plataformas tecnológicas hace que cualquier vulnerabilidad identificada por Mythos pueda afectar igual a una entidad en Nueva York, Fráncfort, París o Madrid.
La banca europea, incluida la española, opera sobre infraestructuras digitales que, en gran medida, comparten los mismos componentes que las de sus homólogas estadounidenses. Esto significa que, si Mythos es capaz de encontrar fallos críticos en sistemas ampliamente utilizados, estas debilidades podrían ser aprovechadas por ciberdelincuentes para atacar también a bancos de la zona euro o del mercado español.
Para las entidades bajo supervisión del Banco Central Europeo (BCE) y de los supervisores nacionales, este escenario refuerza la importancia de coordinarse con los organismos internacionales en materia de ciberseguridad. De hecho, las alertas que llegan desde Estados Unidos en relación con el modelo de Anthropic se siguen con atención desde las autoridades europeas, que en los últimos años han intensificado los requisitos de resiliencia digital del sector financiero.
En este sentido, es previsible que los supervisores europeos pidan a los bancos una revisión adicional de sus planes de contingencia frente a ataques informáticos avanzados, teniendo en cuenta el salto cualitativo que suponen las nuevas generaciones de IA. Entre las prioridades estarán la protección de los sistemas de pagos, la seguridad de la banca online y móvil, y la defensa de las comunicaciones internas y externas de las entidades.
Además, la reciente aprobación del marco regulatorio europeo sobre inteligencia artificial y las normas de resiliencia operativa digital en el sector financiero (como el reglamento DORA) ofrecen una base para exigir a las entidades que integren en sus análisis de riesgos el impacto que puedan tener modelos como Mythos. En la práctica, esto obligará a reforzar la colaboración entre departamentos de tecnología, ciberseguridad, cumplimiento y riesgos en los bancos europeos.
Coordinación internacional y próximos pasos de reguladores y bancos
La preocupación generada por Mythos no se limita a Estados Unidos. Gobiernos y autoridades de otros países también empiezan a incluir los modelos de IA de alto impacto en sus agendas de ciberseguridad financiera, conscientes de que los ataques no entienden de fronteras ni de jurisdicciones regulatorias.
En Norteamérica, por ejemplo, responsables del Ministerio de Finanzas de Canadá y del Banco de Canadá han mantenido reuniones con ejecutivos bancarios en las que la inteligencia artificial y el nuevo modelo de Anthropic figuraban en el orden del día. Aunque los detalles no han trascendido, este tipo de encuentros apuntan a una mayor coordinación internacional a la hora de evaluar los riesgos tecnológicos emergentes.
Para los bancos, tanto en América como en Europa, la prioridad inmediata pasa por actualizar sus marcos de gestión del riesgo tecnológico, reforzar la monitorización de amenazas y revisar la seguridad de los proveedores críticos, incluidos los grandes grupos tecnológicos y las empresas de servicios en la nube. La posibilidad de que una IA detecte vulnerabilidades de forma masiva obliga a acortar los tiempos de reacción y a mejorar los procesos de parcheo y actualización.
Por parte de los reguladores, se espera una mayor presión para que las entidades informen con rapidez de cualquier incidente de ciberseguridad que pueda estar vinculado a nuevas herramientas de inteligencia artificial. Asimismo, no se descarta que las autoridades pidan a empresas como Anthropic que adopten compromisos adicionales de transparencia sobre cómo gestionan el acceso a sus modelos más sensibles.
En paralelo, los supervisores financieros seguirán de cerca el uso que los propios bancos puedan hacer de modelos avanzados de IA en sus operaciones diarias. Si bien estas tecnologías ofrecen ventajas claras en eficiencia y detección de fraude, también introducen nuevos vectores de riesgo que deben integrarse en los planes de capital, en los test de estrés y en la planificación de crisis.
El movimiento de Bessent y Powell al convocar a los máximos ejecutivos de la banca marca un punto de inflexión en la conversación sobre IA y ciberseguridad: los modelos como Mythos dejan de ser un asunto exclusivo del ámbito tecnológico para situarse en el centro de la agenda de la estabilidad financiera global, con implicaciones directas para bancos, reguladores y, en última instancia, para los clientes y ahorradores de Estados Unidos, Europa y el resto del mundo.