Las negociaciones entre la Unión Europea y Anthropic para probar las vulnerabilidades del modelo Mythos están oficialmente estancadas, y España ha sido la primera en admitirlo en público. El ministro de Economía, en declaraciones recogidas por Bloomberg, ha confirmado el escaso progreso de un diálogo que debía permitir a bancos y empresas europeas blindarse frente a ciberataques de nueva generación. El frenazo deja en el aire una de las iniciativas de ciberseguridad más ambiciosas impulsadas desde Bruselas en los últimos dos años, y subraya las tensiones entre la urgencia operativa de las compañías y el celo regulatorio de la Comisión.
Claves de la operación
- España confirma oficialmente el atasco con Anthropic. El ministro de Economía ha reconocido que apenas ha habido avances en las conversaciones para testear el modelo Mythos en entornos bancarios y empresariales, una colaboración que parecía inminente hace medio año.
- Mythos es capaz de identificar vulnerabilidades críticas de ciberseguridad. Su despliegue controlado permitiría a las compañías europeas anticiparse a brechas que los sistemas tradicionales no detectan, pero el debate regulatorio ha frenado el acuerdo.
- Bruselas prioriza las cautelas del AI Act sobre la urgencia operativa. El choque entre la necesidad de protección digital y el escrutinio de la Comisión mantiene en punto muerto una colaboración que el sector financiero reclamaba desde el primer semestre de 2025.
El atasco regulatorio que descapitaliza la defensa digital europea
El anuncio del ministro español confirma los temores que circulaban desde hace semanas en los pasillos de la Comisión. La negociación con Anthropic se había convertido en una de las apuestas más concretas de la UE para integrar la inteligencia artificial en la ciberseguridad corporativa, pero las reservas sobre el uso de un modelo tan potente en entornos críticos han hecho descarrilar el calendario inicial. La Comisión, que debe velar por el cumplimiento del recién estrenado AI Act, teme que una validación práctica de Mythos sin las salvaguardas adecuadas abra una brecha regulatoria difícil de cerrar.
El propio diseño del modelo pesa en las conversaciones. Como explican fuentes técnicas, Mythos no se limita a analizar código; es capaz de descubrir vectores de ataque que ni siquiera los equipos de seguridad internos de las grandes corporaciones habían identificado. Esa potencia es precisamente lo que atrae al sector financiero europeo —con la banca española como principal interesada— pero también lo que activa todas las alarmas en las direcciones generales de Competencia y Mercado Interior. La paradoja es dolorosa: la herramienta que podría elevar la ciberseguridad del continente se topa con un marco normativo que no termina de encajar un modelo de esta escala.
Mientras tanto, la ventana de oportunidad se estrecha. Varios Estados miembros habían solicitado ya a la Comisión un protocolo de pruebas acelerado para el segundo semestre de 2026, pero la falta de avances hace cada vez más improbable cumplir ese plazo. La incertidumbre reguladora paraliza también las inversiones que las entidades financieras españolas tenían presupuestadas para integrar los resultados del piloto en sus centros de operaciones de seguridad.
La situación recuerda demasiado a los largos tira y afloja que marcaron la negociación del Reglamento General de Protección de Datos o, más recientemente, la aplicación del Digital Markets Act. En todos esos procesos, el tiempo jugó a favor de los reguladores pero en contra de la competitividad europea. Ahora, con la ciberseguridad convertida en prioridad de primer orden tras los incidentes que han golpeado a infraestructuras críticas de varios países —bancos, empresas de telecomunicaciones infraestructuras críticas de transporte—, la demora empieza a tener un coste tangible.
Mythos: el modelo que puede reventar los protocolos de ciberseguridad
Para entender la magnitud del atasco conviene detenerse en lo que representa Mythos. Desarrollado por Anthropic, el modelo ha sido entrenado con un corpus de vulnerabilidades que combina años de inteligencia de amenazas y aprendizaje reforzado. En pruebas internas, Mythos ha sido capaz de identificar fallos de día cero en sistemas financieros simulados que los equipos de red team de varias entidades no habían detectado. La promesa de llevarlo a entornos controlados en la banca europea era, sencillamente, la de contar con un adversario simulado mucho más letal que cualquiera que hubiesen visto antes.
El problema no está en la tecnología, sino en quién controla el interruptor. La Comisión exige que cualquier prueba se realice bajo supervisión directa de ENISA —la agencia de ciberseguridad de la UE— y con una trazabilidad absoluta de los resultados, algo que Anthropic considera inviable en los plazos marcados. La compañía fundada por Dario Amodei teme, además que una exposición detallada de los hallazgos de Mythos podría revelar secretos de su arquitectura y beneficiar a competidores. Esa resistencia ha endurecido la postura de los negociadores europeos, que ven en ella una falta de transparencia incompatible con la legislación comunitaria.
En este tira y afloja, los grandes bancos españoles han quedado relegados a un papel de observadores incapaces de acelerar un acuerdo que consideran vital. Santander, BBVA o CaixaBank llevan meses presionando discretamente para que el Ministerio de Economía desatasque unas conversaciones que, según ha revelado ahora el propio ministro, apenas han avanzado.
El atasco no es técnico, es político. Mientras las capitales discuten, las vulnerabilidades descubiertas por Mythos permanecen sin respuesta.
España y la banca, los grandes perdedores de una negociación sin rumbo
El bloqueo deja una lectura incómoda para la industria financiera española. Ser una de las plazas fuertes del sector en Europa no ha servido para desbloquear un diálogo que podría haber situado a la banca nacional en la vanguardia de la ciberseguridad basada en IA. De hecho, la confirmación del atasco llega apenas unos meses después de que el Banco de España alertara sobre el déficit de herramientas avanzadas para detectar amenazas sistémicas en su informe de estabilidad financiera.
Históricamente, la banca española ha sido un actor relevante en la adopción temprana de tecnología regulatoria dentro de la UE —fue pionera en la aplicación de los test de estrés del BCE y en la integración de plataformas de cumplimiento normativo automatizado—. Quedar ahora al margen de la primera gran prueba de fuego del AI Act en el ámbito de la ciberseguridad corporativa supone un retroceso competitivo difícil de cuantificar pero muy fácil de intuir. Mientras, los competidores norteamericanos siguen avanzando en pruebas controladas con modelos equivalentes, en un entorno normativo mucho más permisivo.
Más allá de la anécdota regulatoria, el estancamiento de las conversaciones con Anthropic puede leerse como un síntoma de algo más profundo: la incapacidad de la UE para conciliar su obsesión por la supervisión previa con las necesidades de velocidad que impone la ciberseguridad contemporánea. El mercado lo observa con creciente escepticismo, y las bolsas europeas ya descuentan en las valoraciones de los grandes valores financieros una prima de riesgo regulatorio que tiene mucho que ver con este tipo de bloqueos.
El episodio, además, coloca al gobierno español en una posición incómoda. Ha sido el primero en verbalizar el problema, pero no ha logrado —o no ha querido— ejercer el liderazgo necesario para desatascarlo. La pregunta que flota en los despachos de las entidades financieras es si España está dispuesta a asumir el coste político de enfrentarse a Bruselas por una herramienta que sus propios bancos consideran crítica.
