El Banco Central Europeo (BCE) ultima una carta dirigida a los consejeros delegados de la gran banca europea con un mensaje urgente: el modelo de inteligencia artificial Mythos, de Anthropic, se ha convertido en un riesgo sistémico para la estabilidad financiera.
Claves de la operación
- Mythos, una IA ofensiva que explota vulnerabilidades a gran escala. El modelo de Anthropic es capaz de descubrir y convertir parches de seguridad en vectores de ataque con un coste muy inferior al de cualquier herramienta anterior.
- El BCE exige medidas proactivas y seguimiento individualizado a diez bancos españoles. La autoridad monetaria supervisa directamente a Santander, BBVA, CaixaBank y otros siete bancos, y espera que inviertan en anticipación y resiliencia operativa.
- Las consultoras ya diseñan ‘taskforces’ de ciberseguridad para la banca. Firmas como KPMG están acompañando a las entidades en la transición de un modelo reactivo a uno basado en la automatización y la priorización de riesgos.
Mythos, el modelo que convierte parches en armas
Anthropic ha distribuido su modelo de IA, conocido internamente como Project Glasswing, a 150 organizaciones de 15 países, entre ellas varios bancos españoles. Fuentes financieras confirman que Santander y BBVA ya están probando la versión Claude Mythos Preview.
Desde la entidad cántabra explican que participan activamente en la evaluación de tecnología avanzada de IA: “Ya estamos probando varios modelos de frontera y evolucionamos continuamente nuestros protocolos a medida que avanza la tecnología, colaborando con el conjunto del sector para garantizar que la IA se despliegue en beneficio de los clientes”.
El problema no es la adopción de la herramienta, sino su capacidad ofensiva. Mythos no solo detecta vulnerabilidades; es capaz de revertir parches de seguridad para convertirlos en exploits funcionales, con un coste de ataque drásticamente menor. En la práctica, reduce el tiempo entre el parche y su explotación a horas, en lugar de semanas.
Las entidades ya están contratando consultores para acelerar la mejora de sus sistemas. KPMG, por ejemplo, ha diseñado un enfoque integral basado en la activación de taskforces especializados que permiten a los bancos pasar de un diagnóstico de exposición a la implantación de capacidades continuas.
La ciberseguridad ya no es un coste de cumplimiento: se ha convertido en la primera línea de defensa de la cuenta de resultados.
De la reunión de abril a la ‘Dear CEO letter’: el BCE sube el tono
La preocupación del supervisor viene de lejos. En abril, el BCE reunió a los bancos bajo su paraguas para analizar los riesgos de este nuevo tipo de inteligencia artificial ofensiva y revisar los planes de contingencia existentes. La semana pasada, un segundo encuentro profundizó en la resiliencia ante ciberataques y sirvió de antesala a la carta ejecutiva que ahora ultima Fráncfort.
El vicepresidente de supervisión, Frank Elderson, fue claro en una conferencia organizada por Goldman Sachs: “El objetivo es garantizar que los bancos tomen las medidas necesarias ahora, antes de que estas tecnologías sean utilizadas de forma más generalizada por los ciberdelincuentes”. Elderson insistió en que invertir en ciberseguridad es, además de una protección, una cuestión de competitividad.
La carta, que se dirigirá a los CEO bajo el formato de ‘Dear CEO letter’, exigirá medidas proactivas para blindar los sistemas y un seguimiento individualizado. En España, el BCE supervisa directamente a Santander, BBVA, CaixaBank, Sabadell, Bankinter, Unicaja, Abanca, Kutxabank, Ibercaja y Cajamar. La presión se repartirá entre los diez, y el supervisor espera planes concretos a corto plazo.
Una década de supervisión que ahora escala: el caso español
Desde noviembre de 2014, los grandes bancos españoles están bajo la lupa directa del Mecanismo Único de Supervisión del BCE. Aquel cambio institucional trasladó a Fráncfort la potestad de vigilar la solvencia de las entidades significativas de la eurozona. Ahora, la amenaza no es un deterioro de activos ni una crisis de liquidez, sino un código capaz de vulnerar sistemas en segundos.
En esta redacción observamos que la misiva supone un salto cualitativo. Hasta ahora, los requerimientos de ciberseguridad del BCE se articulaban a través de inspecciones in situ y recomendaciones generales. La ‘Dear CEO letter’ eleva la exigencia al máximo nivel ejecutivo y personaliza la rendición de cuentas. Para los bancos españoles, acostumbrados a navegar exámenes de estrés de capital, este nuevo test de estrés digital podría redefinir sus prioridades de inversión durante los próximos trimestres.
Las consultoras han tomado nota. KPMG, por ejemplo, ya ha diseñado taskforces especializadas que combinan inteligencia artificial para la detección de vulnerabilidades, refuerzo de las capacidades de protección y un modelo de mejora continua basado en indicadores de riesgo. “El objetivo es ayudar a los bancos no solo a reducir su exposición, sino a operar con seguridad incluso en entornos de alta incertidumbre y amenaza constante”, resumen desde la firma.
En el parqué, la noticia se lee en clave de costes futuros. Los analistas coinciden en que los bancos españoles podrían verse obligados a elevar sus partidas de tecnología y ciberseguridad entre un 15% y un 20% en los próximos dos ejercicios. Para Santander y BBVA, con márgenes ya ajustados por el entorno de tipos, este imperativo podría retrasar otros proyectos estratégicos. No hay, por ahora, cuantificación oficial del impacto, pero el hecho de que el BCE envíe una carta ejecutiva ya es una señal que el mercado no ignora.
La eficacia de esta carta se medirá en otoño, cuando el supervisor evalúe los planes de contingencia de cada entidad. De momento, los diez gigantes bancarios españoles ya tienen los deberes encima de la mesa.
