Un cambio de escala sin precedentes en cómo los bancos entienden el riesgo
En un gesto regulatorio reservado para los momentos de mayor gravedad, el Banco Central Europeo se prepara para escribir directamente a los consejeros delegados de los grandes bancos europeos con una advertencia que no admite dilación: la inteligencia artificial ha alcanzado una capacidad de destrucción financiera que redefine el concepto mismo de ciberseguridad. El modelo Mythos, desarrollado por Anthropic, puede detectar y explotar vulnerabilidades en sistemas bancarios en minutos, un horizonte que el BCE considera un cambio de escala sin precedentes. Aunque los bancos europeos aún no tienen acceso al modelo por una prohibición de la Casa Blanca, el regulador les exige que se preparen ahora, porque lo que hoy es una amenaza teórica mañana podría ser una realidad operativa.
- Un modelo de IA capaz de vaciar cuentas de millones de clientes en el tiempo que tarda en leerse un correo electrónico ha convertido la ciberseguridad bancaria en una emergencia estratégica de primer orden.
- El BCE activa su mecanismo más excepcional —las cartas Dear CEO, no usadas desde la pandemia— para dejar claro que esto no es una recomendación técnica sino una orden que debe debatirse al más alto nivel directivo.
- La paradoja es inquietante: los bancos europeos no pueden acceder a Mythos tras la prohibición de la Casa Blanca, pero el regulador ya les exige que se defiendan de una amenaza que aún no pueden estudiar de primera mano.
- Como vía de preparación, algunos bancos están probando versiones avanzadas de ChatGPT con funcionalidades similares, mientras el BCE señala el marco regulatorio DORA como referencia para construir resiliencia.
- Elderson advierte que Mythos es solo el primero de una nueva generación de modelos: el regulador no busca una respuesta puntual, sino un cambio permanente en cómo la banca entiende y gobierna el riesgo digital.
El Banco Central Europeo rara vez escribe cartas personales a los consejeros delegados de los bancos. La última vez que lo hizo fue en 2020, cuando la pandemia obligó a suspender el pago de dividendos. Ahora, seis años después, vuelve a activar ese mecanismo excepcional para alertar sobre una amenaza que considera de naturaleza estratégica: el modelo de inteligencia artificial Mythos, desarrollado por Anthropic.
Mythos no es una herramienta ordinaria. Su capacidad para analizar código y detectar vulnerabilidades en sistemas financieros transforma en minutos lo que a los bancos les llevaría semanas. Frank Elderson, vicepresidente del Consejo de Supervisión del BCE, lo describe como un cambio de escala sin precedentes: no solo encuentra fallos con una velocidad inédita, sino que puede convertirlos directamente en ataques exitosos. En términos prácticos, un atacante con acceso a Mythos podría comprometer las cuentas de millones de clientes antes de que nadie reaccionara.
La ironía es que los bancos europeos aún no pueden acceder al modelo. Anthropic había acordado ampliar su disponibilidad a varios países, incluida España, pero la Casa Blanca intervino el fin de semana pasado y bloqueó cualquier acceso fuera de Estados Unidos. Aun así, el BCE lleva meses reuniéndose con ejecutivos bancarios para evaluar sus defensas, y ahora da el paso formal: las cartas Dear CEO llegarán en las próximas semanas, dirigidas personalmente a cada consejero delegado.
El mensaje del regulador no prescribe soluciones concretas, pero sí exige resiliencia. Como hoja de ruta, señala el marco europeo DORA y anima a los bancos a experimentar con modelos similares a los que sí tienen acceso. Algunos ya lo hacen, probando versiones avanzadas de ChatGPT con funcionalidades parecidas. Elderson advierte, además, que Mythos es solo el primero de una nueva generación: vendrán otros, de distintas empresas, con capacidades aún mayores. El BCE quiere que los bancos comprendan que la ciberseguridad ha dejado de ser un asunto técnico para convertirse en una decisión de gobierno corporativo al más alto nivel.
El Banco Central Europeo ha decidido dirigirse directamente a los presidentes ejecutivos de los principales bancos europeos con una carta de máxima urgencia. No es un gesto que haga a menudo. La última vez que el BCE recurrió a esta fórmula fue en 2020, cuando necesitaba ordenar a la banca que suspendiera el pago de dividendos durante la pandemia de covid-19. Ahora, seis años después, vuelve a activar este mecanismo excepcional para alertar sobre una amenaza que considera estratégica: el modelo de inteligencia artificial Mythos, desarrollado por la empresa estadounidense Anthropic.
Mythos no es un chatbot más. Su capacidad para analizar código y detectar vulnerabilidades en sistemas de software lo convierte en una herramienta potencialmente devastadora en manos equivocadas. Lo que a los bancos les toma semanas o meses identificar y reparar, Mythos puede hacerlo en minutos. Para una entidad financiera completamente digitalizada, esto significa que un atacante podría, teóricamente, acceder a las cuentas corrientes de millones de clientes y vaciarlas en el mismo tiempo que tarda en leer un correo electrónico. Frank Elderson, vicepresidente del Consejo de Supervisión del BCE, lo explica con claridad: el modelo representa un cambio de escala sin precedentes. No solo es más potente que las herramientas de ciberseguridad anteriores, sino que combina dos capacidades devastadoras: la velocidad para encontrar fallos y la capacidad para convertir esos fallos en ataques exitosos.
Lo paradójico es que los bancos europeos aún no pueden ni tocar el modelo. Hace poco, Anthropic había acordado ampliar el acceso a empresas de varios países, incluida España y su sector financiero. Pero la Casa Blanca intervino el fin de semana pasado y prohibió que cualquier compañía fuera de Estados Unidos accediera a Mythos. Sin embargo, el mero rumor de su existencia y sus capacidades ya ha encendido las alarmas en Frankfurt. El BCE ha pasado los últimos meses reuniéndose con los ejecutivos de los grandes bancos europeos para entender qué defensas tienen, cómo se están preparando, dónde están los agujeros.
Ahora llega el momento de la presión formal. Las cartas Dear CEO Letter irán dirigidas personalmente a cada consejero delegado. El procedimiento será idéntico para todos, pero los equipos de supervisión conjuntos del BCE y cada banco vigilarán cómo se implementan las recomendaciones de forma específica en cada entidad. El mensaje es claro: esto no es una sugerencia. Es una prioridad que debe debatirse en el consejo de administración, al más alto nivel, junto a las decisiones sobre estrategia corporativa y riesgo sistémico.
El BCE no está diciendo exactamente cómo deben defenderse los bancos. Lo que sí está diciendo es que deben volverse resilientes. Y para eso, propone una guía de recomendaciones que incluye usar la normativa europea sobre IA, conocida como DORA, como marco de referencia. También sugiere que los bancos experimenten con modelos similares a los que sí tienen acceso. Algunos ya lo están haciendo: están probando versiones nuevas de ChatGPT que, según fuentes financieras, tienen funcionalidades muy parecidas a las de Mythos. Es una forma de prepararse para una amenaza que aún no pueden tocar pero que saben que llegará.
Elderson subraya que esto no es el final. Mythos es solo el primer modelo de esta generación de potencia. Vendrán otros de diferentes empresas de IA. Lo que el BCE está tratando de hacer es que los bancos entiendan que el juego ha cambiado. La ciberseguridad ya no es un asunto técnico que pueda delegarse a un departamento. Es una cuestión estratégica que debe ocupar la atención de los máximos responsables de cada institución. Las cartas llegarán en las próximas semanas. Será una señal clara de que el regulador está vigilando, y que espera que los bancos se tomen en serio lo que viene.
Citas Notables
Este modelo es más potente. Hay una especie de cambio de escala. Una parte tiene que ver con la velocidad a la que pueden identificarse las vulnerabilidades. La otra es la capacidad de estos modelos para explotar esas vulnerabilidades y convertirlas en una estrategia de ataque exitosa.— Frank Elderson, vicepresidente del Consejo de Supervisión del BCE
Queremos que los consejeros delegados tomen nota. No es algo que hagamos muy a menudo, por lo que constituye una señal clara.— Frank Elderson, vicepresidente del Consejo de Supervisión del BCE
La Conversación del Hearth Otra perspectiva de la historia
¿Por qué el BCE decide enviar una carta ahora, cuando los bancos europeos ni siquiera pueden acceder a Mythos?
Porque el acceso no es lo importante. Lo importante es que el modelo existe, que funciona, y que alguien lo usará contra ellos. El BCE está diciendo: prepárense ahora, no esperen a que sea demasiado tarde.
¿Qué hace a Mythos diferente de otras herramientas de IA que ya existen?
La velocidad y la precisión combinadas. Otros modelos pueden encontrar vulnerabilidades, pero Mythos las encuentra en minutos y sabe cómo convertirlas en un ataque real. Es como la diferencia entre alguien que sabe dónde está la puerta trasera y alguien que sabe cómo abrirla, entrar y salir sin dejar rastro.
¿Los bancos están asustados?
Están alerta. Algunos ya están experimentando con ChatGPT para entender qué pueden hacer estos modelos. Pero hay una frustración clara: no pueden probar Mythos directamente, así que están trabajando a ciegas, usando herramientas que creen que son similares pero sin estar seguros.
¿Qué pasa si un banco ignora la carta del BCE?
Eso es lo que hace que sea una Dear CEO Letter y no solo una recomendación. Es una señal de que el regulador está mirando. Los equipos de supervisión van a vigilar cómo cada banco responde. Ignorarla sería un error político y regulatorio grave.
¿Esto significa que los bancos van a cambiar cómo funcionan?
Sí, pero lentamente. Tendrán que invertir en nuevas defensas, en personal especializado, en procesos. Y tendrán que hacerlo sin saber exactamente contra qué se están defendiendo. Es como prepararse para una guerra cuyas armas aún no conoces completamente.