Claude Mythos llama a la puerta del Santander, BBVA, CaixaBank y Sabadell: el BCE quiere saber si están preparados

La banca europea tendrá acceso a Claude Mythos de Anthropic entre junio y septiembre, pero a diferencia de las empresas estadounidenses que lo usaron de forma gratuita, las entidades del Viejo Continente tendrán que pagar una licencia cuyo precio aún no se ha hecho público, según elEconomista. El BCE convocó al Santander, al BBVA, a CaixaBank y al Sabadell para que detallasen sus planes de contingencia ante la llegada del modelo.

Qué es Claude Mythos y por qué asusta a la banca

Anthropic presentó Claude Mythos el 7 de abril bajo el nombre en clave Project Glasswing. El modelo identifica y explota de forma autónoma vulnerabilidades zero-day —fallos desconocidos incluso para los propios desarrolladores del software— en todos los sistemas operativos y navegadores principales.

En las primeras pruebas encontró un bug de 27 años en OpenBSD que permitía tumbar remotamente cualquier máquina con el sistema instalado, una vulnerabilidad de ejecución remota de 17 años en FreeBSD que otorga acceso root completo a cualquier atacante no autenticado (CVE-2026-4747), y 271 vulnerabilidades en Firefox en una sola pasada de evaluación —unas quince veces más de las que cualquier modelo anterior de Anthropic había identificado en el mismo navegador—. Más del 99% de todas las vulnerabilidades localizadas hasta ahora siguen sin parchearse.

El día del anuncio, las acciones de empresas de ciberseguridad se desplomaron ante la posibilidad de que una IA así sustituya a muchos productos tradicionales del sector: CrowdStrike cayó un 3,2%, Zscaler un 4,1% y Palo Alto Networks un 5,2%.

Gratis en EEUU, de pago en Europa

El acceso inicial se limitó a un consorcio de socios estadounidenses —AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, Microsoft, Nvidia y Palo Alto Networks, entre otros— que lo usaron de forma completamente gratuita. La banca europea accederá entre junio y septiembre, pero previo pago de licencia cuyo precio oficial aún no se ha comunicado pero se presume elevado.

El BCE convocó a cuatro entidades españolas para que detallasen sus planes de contingencia: el Santander, el BBVA, CaixaBank y el Sabadell. Con Mythos, los fallos zero-day se podrían identificar en cuestión de horas desde el momento en que el modelo empieza a analizar el código, abriendo una ventana de explotación inmediata si el acceso no está controlado. El AI Security Institute del Reino Unido, único país fuera de EEUU con acceso, confirmó que con su información sería posible lanzar ataques que hasta ahora ninguna entidad había podido completar.

El Eurogrupo tomó cartas el 4 de mayo

El 4 de mayo, el Eurogrupo abordó por primera vez el impacto de Mythos en la banca europea y acordó monitorizar sus riesgos de forma continua. La Comisión Europea ya negocia con Anthropic para que las entidades financieras del bloque puedan testar sus vulnerabilidades. Carlos Cuerpo, vicepresidente primero y ministro de Economía, reclamó “acceso temprano” para “descubrir cuáles son las vulnerabilidades existentes y protegernos a la velocidad a la que están desarrollándose estos modelos”.

El Bundesbank fue el más explícito. Su presidente, Joachim Nagel, advirtió de que “todas las instituciones relevantes deberían tener acceso para evitar distorsiones competitivas”: JPMorgan Chase, socio de Project Glasswing, ya puede testar sus sistemas; Deutsche Bank o BNP Paribas, no. Christine Lagarde lo resumió así: “Podría ser muy bueno, pero si cae en las manos equivocadas, podría ser muy malo”.