Instagram
TikTok
X (Twitter)
Facebook
Roams Logo
Puerta metálica de una cámara acorazada entreabierta con líneas de código luminosas en tonos azul y morado
Seguridad

Claude Mythos pone en jaque a la banca: el BCE exige un plan de defensa antes del 31 de octubre

  • Advierte de que estas IA ya detectan y explotan fallos de software a una velocidad sin precedentes
Sergio Soto
Sergio Soto
Icono rrss X
Icono rrss Whatsapp
Icono comentarios

El Banco Central Europeo (BCE) exige a la banca de la eurozona presentar un plan de acción antes del 31 de octubre frente a la nueva IA que amenaza la ciberseguridad del sector. Así lo recoge una carta remitida este martes a los consejeros delegados de las más de un centenar de entidades que supervisa directamente. La principal alarma surge por la capacidad de modelos avanzados, como Claude Mythos de Anthropic, para detectar vulnerabilidades de software a una velocidad vertiginosa.

Esta misiva, conocida en el argot financiero como ‘Dear CEO’, es uno de los mecanismos de mayor nivel del supervisor europeo. A través de ella, el organismo busca que esta grave amenaza tecnológica se debata directamente en la cúpula de los consejos de administración. El objetivo principal es que la alerta no quede relegada únicamente a los despachos de los equipos técnicos.

Qué exige el BCE a la banca

El documento oficial lleva la firma de Claudia Buch, actual presidenta del Consejo de Supervisión del BCE. En sus líneas, la directiva advierte de que las nuevas inteligencias artificiales ya pueden identificar brechas de software y generar ‘exploits’ funcionales a una velocidad sin precedentes. Como resultado, este salto tecnológico reduce drásticamente el margen de tiempo entre el descubrimiento de un fallo y su posible explotación criminal.

“Es un cambio a largo plazo en el paisaje de amenazas, no un fenómeno temporal o un riesgo vinculado a cualquier herramienta individual”, señala Buch en la misiva fechada el 7 de julio. Para atajar el problema de raíz, el plan definitivo deberá enviarse al Equipo Conjunto de Supervisión que corresponda a cada banco antes del 31 de octubre.

Miniatura del vídeo

Ante este escenario, Pablo Vega, experto de Roams en finanzas, señala que “el plazo hasta el 31 de octubre demuestra que el supervisor quiere planes concretos, no declaraciones genéricas sobre innovación responsable”. El analista añade que los bancos “tendrán que demostrar qué activos tienen expuestos, cómo gestionan vulnerabilidades, qué hacen con sus proveedores tecnológicos y si cuentan con recursos suficientes para responder a amenazas aceleradas por IA”.

Medidas a corto y largo plazo

Para que la estrategia sea verdaderamente efectiva, la carta del supervisor detalla que el plan debe cubrir tanto las prioridades inmediatas como los grandes objetivos estratégicos. De esta forma, el BCE busca asegurarse una protección integral del sistema financiero a lo largo del tiempo.

  • Corto plazo: acelerar la gestión de vulnerabilidades y el despliegue de parches a gran escala, reforzar la monitorización y detección basada en IA, y verificar que la gestión de riesgos con proveedores externos esté a la altura de la nueva amenaza.
  • Largo plazo: reforzar la defensa en profundidad y la higiene cibernética, modernizar la infraestructura sustituyendo la tecnología obsoleta, y mejorar la resiliencia operativa con mecanismos de recuperación ante crisis.

Para facilitar este proceso de adaptación, el BCE aplazará el cuestionario anual de riesgo tecnológico, inicialmente previsto para septiembre de 2026, hasta febrero de 2027. La medida busca liberar recursos para el nuevo plan de acción que ahora deben priorizar los bancos con suma urgencia.

Esta exigencia marca un punto de inflexión en las auditorías de seguridad. Tal y como explica Vega, “el BCE está obligando a la banca a hacerse una pregunta incómoda: si los atacantes usan IA para encontrar vulnerabilidades, ¿están los bancos usando IA con la misma intensidad para defenderse?”. El experto concluye que la solución del sector “no puede limitarse a comprar herramientas, sino a integrar seguridad, gobierno tecnológico y respuesta operativa en toda la organización”.

Cubos con iconos de seguros de hogar, coche y salud agrupados bajo una cúpula de cristal azul.

Claude Mythos, la IA que ronda la carta

Curiosamente, el BCE no menciona en ningún momento el nombre de un modelo concreto a lo largo de su texto. Sin embargo, todo el contexto de la carta apunta directamente a Claude Mythos, el sistema de Anthropic capaz de detectar vulnerabilidades de software crítico con una eficacia muy superior a la de las herramientas anteriores.

Debido a su inmenso potencial, Anthropic mantiene el acceso a Mythos muy restringido a través de Project Glasswing, la iniciativa que puso en marcha en abril junto a socios como Amazon, Apple, Google, Microsoft, NVIDIA o JPMorganChase. Posteriormente, en junio, la compañía amplió ese acceso a unas 150 organizaciones de más de quince países para que prueben el modelo sobre su propio software y corrijan los fallos antes de que puedan explotarse masivamente.

Miniatura del vídeo

p>

España, entre los países con acceso a Mythos

En cuanto a la situación nacional, el Gobierno español confirmó en junio que España está entre los quince países con acceso al modelo, compartiendo lista con potencias como Francia, Alemania, Italia, Japón o Corea del Sur. De hecho, los cuatro bancos españoles considerados entidades significativas, es decie, Santander, BBVA, CaixaBank y Sabadell, ya habían sido convocados semanas antes por el BCE. El objetivo de aquellos encuentros previos fue precisamente detallar sus planes de contingencia ante este tipo de modelos disruptivos.

La UE eleva también el riesgo cibernético

De forma paralela a este movimiento, la Junta Europea de Riesgo Sistémico (JERS) publicó el mismo martes su propia advertencia sobre los riesgos sistémicos de los modelos de IA de última generación. El organismo ha decidido elevar su valoración del riesgo cibernético para el sistema financiero a ‘grave’ durante el mes de junio. Esto supone escalar un nivel por encima del estado ‘elevado’ que mantenían inamovible desde marzo.

Además del peligro puramente informático, la JERS advierte de que la concentración de los principales proveedores de IA fuera de la Unión Europea expone al bloque a una fuerte dependencia estratégica y a riesgos geopolíticos. Por ese motivo, el organismo reclama que la UE aumente su capacidad, experiencia y autonomía estratégica en este ámbito crítico para el continente.

Comentarios

Tu opinión nos importa. ¡Cuéntanos!
CTA acción
Comentar
CTA acción
Comparte tu opinión
¡Gracias por tu comentario!
CTA acción
Comentar