El BCE cita a los cuatro grandes bancos españoles para que aclaren sus defensas ante Claude Mythos, la inteligencia artificial de Anthropic restringida a un puñado de empresas estadounidenses.
Claves de la operación
- Mythos caza vulnerabilidades de día cero. El modelo es capaz de rastrear código y explotar fallos desconocidos en plataformas financieras con una eficacia que ninguna IA anterior había alcanzado.
- EEUU controla el acceso bajo Project Glasswing. Amazon, Apple, Microsoft, Alphabet y entidades como JP Morgan son los únicos autorizados a probarlo. Europa, por ahora, queda fuera del club.
- El BCE exige planes de contingencia a la gran banca española. Santander, BBVA, CaixaBank y Sabadell deben detallar cómo protegerían los datos y el dinero de sus clientes ante un ataque basado en Mythos.
Anthropic presentó Claude Mythos Preview hace menos de un mes con un objetivo declarado: que las empresas probasen el modelo para encontrar vulnerabilidades antes que los actores maliciosos. El problema, como hemos comprobado en esta redacción, es que esa misma capacidad asusta tanto como protege. Un trabajador de Anthropic llegó a recibir por error un correo con una versión de Mythos: un descuido que, confirma que las filtraciones no son imposibles.
Lo que convierte a Mythos en una amenaza singular es su pericia con los zero-day. Rastrea décadas de código fuente y detecta agujeros que nadie había visto. Hasta ahora, esa tarea requería equipos humanos de élite; Mythos genera también el código para explotarlos de forma practicamente instantánea. Para un banco, una brecha así puede significar la pérdida de millones de datos de clientes y una sangría financiera en minutos.
La decisión de Anthropic de limitar el acceso a un reducido grupo de socios estadounidenses ha tensado las relaciones internacionales. La Casa Blanca y el Tesoro mantienen reuniones con sus bancos, mientras que medios cercanos al Kremlin califican el modelo como «peor que una bomba atómica». El Reino Unido, por su parte, ha logrado esquivar el veto gracias al AI Security Institute, que ya ha confirmado que Mythos supera cualquier IA anterior en ataques cibernéticos. La Unión Europea, sin embargo, sigue esperando el mismo privilegio.
Ante este panorama, el Banco Central Europeo, ha convocado a los responsables de riesgos de Santander, BBVA, CaixaBank y Sabadell para que expongan sus protocolos frente a un posible ciberataque masivo. La reunión, según fuentes del sector, incluye la exigencia de planes detallados para mitigar robos de datos y transferencias fraudulentas en tiempo real. No hablamos de simulacros teóricos: el regulador quiere respuestas concretas y la garantía de que los sistemas de defensa están a la altura de la nueva amenaza.
El temor no es infundado: bastaría un solo error de seguridad para que los ahorros de millones de europeos quedasen expuestos.
Los cuatro grandes bancos españoles, en el punto de mira del supervisor
Santander, BBVA, CaixaBank y Sabadell se encuentran ante una doble presión. Por un lado, deben justificar sus inversiones en ciberseguridad ante el BCE; por otro, cargar con el coste reputacional de no estar preparados. La convocatoria no es una recomendación: es una prueba de fuego que medirá la solidez de sus sistemas —y su capacidad de reacción— ante un ataque automatizado con IA. En el sector, se da por hecho que la banca española cuenta con infraestructuras robustas, pero la velocidad de Mythos plantea un desafío desconocido.
Las entidades apenas han hecho comentarios públicos. Fuentes cercanas a CaixaBank y Sabadell reconocen que el BCE ha puesto sobre la mesa un calendario estricto para recibir los informes de evaluación. No obstante, no se ha filtrado la fecha exacta. Mientras tanto, los analistas de ciberseguridad alertan de que, incluso con los mejores cortafuegos, la aparición de una vulnerabilidad de día cero podría burlar cualquier defensa tradicional. La gran banca se enfrenta a una carrera contra un adversario que, por ahora, está en manos privadas al otro lado del Atlántico.
El gasto en ciberseguridad del sector financiero español ya superó los 1.200 millones de euros en 2025, según la ENISA, y la llegada de amenazas como Mythos podría elevar esa partida en un 30% en los próximos dos años. Las entidades tendrán que redoblar inversiones en inteligencia artificial defensiva y sistemas de respuesta automática. A nadie se le escapa que el margen de tiempo se reduce: un ataque automatizado con IA puede completarse en segundos, frente a las horas o días de uno tradicional.
Lecciones del pasado: de los test de estrés financiero al miedo al ciberataque total
No es la primera vez que el BCE somete a la banca a un examen de resistencia. En 2014 y 2018, los test de estrés financiero midieron el colchón de capital de las entidades ante escenarios económicos adversos. Hoy, el enemigo no es la morosidad ni la recesión, sino un código malicioso generado por una inteligencia artificial ajena. Sin embargo, la filosofía es la misma: identificar los eslabones más débiles antes de que sea demasiado tarde.
Observamos una paradoja inquietante. Anthropic promociona Mythos como una herramienta defensiva, pero su control exclusivo convierte a los bancos europeos en potenciales víctimas de un club cerrado. Si la IA cayese en las manos equivocadas, la capacidad destructiva sería sistémica. La gran banca española está obligada a invertir más en ciberseguridad proactiva, pero el debate de fondo —quién vigila al vigilante— queda sin resolver. Anthropic no ha detallado qué medidas impiden que un empleado de una empresa socia filtre una copia del modelo. Y el incidente del correo accidental ya demostró que las fugas no son un escenario de ciencia ficción.
La Unión Europea, mientras tanto, negocia un acceso que, de llegar, será tardío. El BCE ha programado para 2027 una nueva ronda de ciberestrés con especial atención a la inteligencia artificial. Para entonces, el paisaje competitivo habrá cambiado: OpenAI avanza con su modelo GPT-5-5 Cyber y China desarrolla sus propias armas. La defensa, una vez más, va por detrás. Los ahorros de los españoles, en última instancia, dependen de que ese margen no se convierta en una brecha real.
