El Banco Central Europeo ha convocado este martes a los principales bancos de la zona euro para una reunión urgente sobre los riesgos sistémicos que plantean los últimos modelos de inteligencia artificial, con especial atención a Claude Mythos Preview de Anthropic. La cita, a la que ha tenido acceso EXPANSIÓN, busca que las entidades financieras refuercen de inmediato su ciberseguridad y apliquen con mucha más velocidad los parches de software que estos modelos son capaces de explotar.
El vicepresidente del consejo de supervisión del BCE, Frank Elderson, ha sido contundente: si antes se podía ir a un ritmo tranquilo, ahora hay que pasar “del andante al presto”. La preocupación no es cosmética. Anthropic reconoció hace semanas que Mythos había encontrado miles de vulnerabilidades de alta gravedad en sistemas operativos y navegadores, con consecuencias potencialmente graves para economías y seguridad nacional.
La patata caliente de los parches: de semanas a 30 minutos
El BCE insiste en la velocidad de reacción. Según Elderson, una vez que un gran proveedor publica un parche de seguridad, los atacantes pueden hacer ingeniería inversa y descubrir la vulnerabilidad original en apenas 30 minutos. La práctica habitual del sector financiero, que a menudo tarda semanas en desplegar actualizaciones en sus sistemas críticos, se ha quedado obsoleta. “Eso significa que un banco ha de tener procesos establecidos para asegurarse de aplicar estos parches mucho más rápido de lo que ahora es la práctica habitual del mercado”, subrayó.
La reunión ha sido organizada a toda prisa. Refleja el nerviosismo de los reguladores, que ven cómo la inteligencia artificial puede poner el jaque al sistema bancario mundial. Y Europa se siente especialmente vulnerable porque la mayoría de sus entidades no tienen acceso a Mythos. Anthropic solo ha abierto su modelo a un puñado de organizaciones del Proyecto Glasswing, casi todas estadounidenses.
“Es lamentable que los bancos europeos no tengan acceso a este modelo”, admitió Elderson, aunque matizó que la falta de acceso no justifica la inacción. La razón: los actores maliciosos probablemente dispondrán de esta tecnología en un futuro muy cercano. El BCE espera que los bancos estadounidenses, como JPMorgan Chase —que supervisa filiales en la zona euro—, compartan las lecciones aprendidas.
Elderson lo dice claro: esto va a cambiar las reglas del juego y el tiempo se acaba.
Un problema mundial con soluciones a medias
Anthropic ha aceptado ofrecer sesiones informativas de alto nivel a organismos como el Consejo de Estabilidad Financiera y la Comisión Europea. Pero las peticiones de acceso directo al modelo —o al menos a detalles de sus funcionalidades— se acumulan sin respuesta inmediata. Mientras, el BCE vigila a 111 de los mayores bancos de la zona euro, incluidas las filiales de los gigantes de Wall Street que sí han probado Mythos.
La paradoja está servida: los bancos que más pueden sufrir un ciberataque basado en IA son precisamente los que menos información tienen sobre cómo funciona el atacante. El supervisor europeo quiere romper esa asimetría pidiendo cooperación privada, pero sin un marco regulatorio que obligue a compartir datos. La buena voluntad puede ser insuficiente.
Los mercados, por ahora, apenas han reaccionado. La sensación de urgencia aún no ha calado en las mesas de operaciones. Sin embargo, el discurso del BCE apunta a un endurecimiento progresivo de la supervisión: si los bancos no aceleran sus defensas, los requerimientos de capital por riesgo operacional podrían revisarse. Y eso sí tiene un coste directo en balance.
Conviene recordar que los episodios de estrés bancario provocados por ciberataques no son ciencia ficción. En los últimos años, varios bancos centrales han simulado escenarios en los que una caída masiva de sistemas de pago coincidía con una salida de depósitos. La IA generativa añade una capa de peligro cualitativamente distinta, porque automatiza la búsqueda de brechas y la explotación de vulnerabilidades a una escala imposible para equipos humanos.
El BCE no tiene capacidad para imponer plazos concretos sobre actualizaciones de software. Pero sí puede elevar el tono, exigir planes de contingencia detallados y, llegado el caso, plantear inspecciones in situ. Lo que está en juego no es un simple fallo informático, sino la confianza sistémica en las infraestructuras que sostienen los pagos, la liquidación de valores o la operativa diaria del interbancario.
