El Banco de España ha lanzado este jueves una advertencia contundente al sector financiero: los ciberriesgos potenciados por la inteligencia artificial, y en particular el ransomware Mythos, amenazan la estabilidad operativa de las entidades. La irrupción de esta nueva cepa, detectada ya en sistemas de varias firmas internacionales, eleva el nivel de alerta hasta un punto que no se veía desde los ataques masivos de 2023.
Claves de la operación
- Mythos, el ransomware que quita el sueño del supervisor. Una cepa nueva que cifra datos y exige rescate en criptomonedas, con capacidad de propagación lateral y que utiliza técnicas de IA para evadir los sistemas de detección tradicionales.
- La inteligencia artificial multiplica la peligrosidad del ciberataque. La IA permite personalizar los mensajes de phishing y generar código malicioso adaptable, haciendo que los ataques sean más difíciles de anticipar y contener.
- El Banco de España urge a acelerar las defensas. La institución reclama a las entidades financieras que refuercen sus inversiones en ciberseguridad y actualicen sus protocolos ante lo que considera una amenaza «sistémica».
Mythos y la IA: el cóctel que eleva la apuesta del cibercrimen organizado
El ransomware Mythos no es uno más. Según los informes de inteligencia que maneja el Banco de España, esta herramienta incorpora modelos de lenguaje entrenados para redactar correos de suplantación de identidad con una verosimilitud casi perfecta. La banca española, por su densidad de transacciones digitales, es un objetivo especialmente goloso para este tipo de ciberataques. Los expertos apuntan a que detrás de Mythos podría estar un grupo de cibercrimen organizado con financiación estatal, aunque la atribución sigue siendo incierta.
La particularidad de este malware reside en su capacidad para moverse dentro de la red una vez que ha logrado acceso. Utiliza algoritmos de aprendizaje para identificar los activos más valiosos y decide, sin intervención humana, qué datos cifrar primero. Este nivel de autonomía complica la respuesta de los equipos de seguridad, que se enfrentan a un adversario dinámico.
¿Pueden las defensas actuales de la banca contener un ataque potenciado por inteligencia artificial?
La banca europea, y la española en particular, ha destinado en los últimos años miles de millones a blindar sus infraestructuras. En 2025, las cinco mayores entidades del IBEX 35 invirtieron de manera conjunta más de 1.200 millones de euros en ciberseguridad, según datos del sector. Sin embargo, la llegada de la IA generativa al arsenal del ciberdelincuente plantea un desafío inédito. Los sistemas de detección basados en firmas estáticas se quedan cortos ante un malware que cambia su comportamiento en tiempo real.
El Banco de España ha sido claro: las entidades deben migrar hacia sistemas de defensa activa, apoyados en analítica avanzada y supervisión continua. No se trata solo de levantar muros más altos, sino de dotar a los equipos de respuesta de las mismas herramientas de IA que usan los atacantes. En esta redacción entendemos que el regulador está señalando una brecha peligrosa entre la sofisticación del ataque y la obsolescencia de las defensas en algunas entidades medianas.
No es la primera vez que el supervisor eleva la voz. En 2023, tras los ataques del grupo LockBit a varias cajas rurales, el Banco de España ya exigió un refuerzo de los protocolos de ciberseguridad. Aquella crisis, sin embargo, se saldó sin filtraciones masivas de datos de clientes, lo que quizá relajó la urgencia de algunas entidades. Ahora, con Mythos, el tono es distinto.
La ciberseguridad deja de ser un coste para convertirse en el pilar que puede sostener —o derribar— la reputación de un banco en la era de la inteligencia artificial.
Lo que el supervisor español exige y la respuesta del gran capital financiero
El movimiento del Banco de España no es un aviso aislado. En 2024, la Autoridad Bancaria Europea ya había alertado sobre la creciente exposición de la banca a los ciberriesgos sistémicos. Sin embargo, el tono empleado ahora por el supervisor español es más imperativo. Su comunicado habla de «riesgo crítico» y emplaza a las entidades a presentar planes de contingencia en un plazo de seis meses. Un plazo que, según fuentes del sector, obligará a acelerar licitaciones y a revisar las alianzas con proveedores tecnológicos.
La gran banca del IBEX 35 ha respondido con antelación. Santander y BBVA han anunciado este mismo año la creación de centros especializados en ciberdefensa con IA, en colaboración con universidades y startups. CaixaBank por su parte ha integrado sistemas de detección basados en el comportamiento del usuario, una tecnología que reduce el tiempo de detección de un incidente de horas a minutos. No obstante, el verdadero reto estará en las entidades de menor tamaño, que carecen de los recursos para desplegar estos escudos avanzados.
Desde la óptica del inversor, la advertencia del Banco de España puede tener efectos inmediatos. La ciberseguridad se consolida como una partida de gasto estructural y, a medio plazo, como un factor de competitividad. Las entidades que demuestren una mayor resiliencia ante estos ataques podrían ver revalorizada su cotización, mientras que aquellas que sufran incidentes de alto impacto afrontarían no solo multas, sino una fuga de clientes hacia competidores más seguros. Los ataques de 2023 a entidades como Ibercaja o Unicaja, aunque contenidos, ya provocaron un descenso temporal en la apertura de cuentas digitales. Los inversores ya están prestando atención a este factor: en la última presentación de resultados de Santander, los analistas preguntaron directamente sobre el impacto potencial de un ciberataque en los estados financieros.
