El Banco Central Europeo prepara un aviso directo a los máximos responsables de la banca europea. El motivo es Mythos, el nuevo modelo de inteligencia artificial de Anthropic que ha encendido las alarmas por su capacidad para encontrar fallos en sistemas informáticos con una rapidez difícil de gestionar para muchas organizaciones.
El supervisor quiere que el asunto deje de verse como un problema limitado a los departamentos técnicos. La ciberseguridad vinculada a esta nueva generación de modelos de IA debe discutirse en los consejos de administración, con recursos y seguimiento al máximo nivel. En la banca, un fallo de software no es un detalle menor: puede afectar a datos personales, operativa interna y dinero de los clientes.
Una advertencia poco habitual a los consejeros delegados
El BCE recurrirá a una vía reservada para situaciones de especial relevancia supervisora: las cartas dirigidas directamente a presidentes ejecutivos y consejeros delegados. En el sector financiero se conocen como Dear CEO Letter y no forman parte de la comunicación ordinaria entre el regulador y las entidades.
La decisión refleja el nivel de preocupación dentro del supervisor. La carta tendrá un contenido común para los bancos, aunque su aplicación será revisada de forma individual por los equipos conjuntos de supervisión del BCE y cada entidad. Esos equipos, conocidos como JST, serán los encargados de comprobar cómo se trasladan las recomendaciones a la realidad de cada banco.
Frank Elderson, vicepresidente del Consejo de Supervisión del BCE, ha situado el tema en el terreno estratégico. El mensaje que quiere trasladar el supervisor es que los bancos no deben esperar a tener acceso directo a Mythos para prepararse. La falta de acceso, en este caso, no elimina el riesgo.
Por qué Mythos inquieta al supervisor europeo
Mythos pertenece a la misma categoría general de modelos de IA que herramientas como ChatGPT, Gemini, Copilot o Claude. La diferencia está en las capacidades que se le atribuyen para revisar software, detectar vulnerabilidades y acelerar procesos que antes exigían mucho más tiempo y trabajo especializado.
En un uso defensivo, una tecnología así puede ayudar a los bancos a localizar fallos antes de que sean explotados. En un uso malicioso, esa misma capacidad puede facilitar ataques más rápidos, más precisos y más difíciles de contener. Esa doble cara es la que preocupa al BCE.
El cambio no está solo en la potencia del modelo, sino en la velocidad. Si una entidad tardaba días o semanas en identificar una vulnerabilidad relevante, un modelo avanzado puede reducir ese plazo de forma drástica. Para un sector totalmente digitalizado, la diferencia entre detectar un fallo antes o después puede ser crítica.
Europa queda fuera del acceso directo
Las entidades europeas todavía no han podido probar Mythos como sí han hecho algunas organizaciones estadounidenses. Anthropic había previsto ampliar el acceso a empresas de varios países, entre ellos España, con especial interés para el sector financiero. Sin embargo, la Casa Blanca bloqueó esa posibilidad y restringió el acceso de compañías no estadounidenses.
Ese movimiento no ha rebajado la tensión. Al contrario, ha reforzado la idea de que los bancos europeos deben prepararse con las herramientas que ya tienen disponibles. El BCE ha mantenido reuniones durante los últimos meses con altos ejecutivos de grandes entidades para conocer sus defensas frente a ciberataques y su grado de preparación ante modelos de IA capaces de elevar el riesgo.
El supervisor no plantea que todos los bancos deban utilizar Mythos, entre otras cosas porque no pueden acceder a él. Lo que exige es que entiendan el cambio de escala y empiecen a adaptar sus defensas con modelos alternativos, pruebas internas y una gobernanza más clara.
Qué espera el BCE de los bancos
La carta que prepara el supervisor busca que la respuesta de la banca sea concreta. No basta con reconocer que la inteligencia artificial puede aumentar los riesgos. El BCE quiere que las entidades demuestren que están dedicando recursos, revisando sus procesos y elevando el asunto al nivel adecuado. Las principales líneas de actuación son claras:
• Llevar el riesgo al consejo de administración y no dejarlo solo en manos de equipos técnicos.
• Asignar recursos suficientes para reforzar ciberseguridad, pruebas y respuesta ante incidentes.
• Usar modelos disponibles para entrenar capacidades defensivas y detectar vulnerabilidades.
• Apoyarse en DORA como marco europeo de resiliencia operativa digital para el sector financiero.
• Revisar la exposición real de sistemas críticos ante ataques potenciados por IA.
Este último punto es especialmente relevante. La banca no solo gestiona aplicaciones internas, también depende de proveedores tecnológicos, infraestructuras cloud, sistemas de pago, canales digitales y herramientas de atención al cliente. Cada pieza puede convertirse en un punto sensible si no se revisa con suficiente profundidad.
DORA como guía para ordenar la respuesta
El BCE quiere que las entidades utilicen DORA, la normativa europea de resiliencia operativa digital, como referencia para preparar su respuesta. No se trata de una regulación específica sobre inteligencia artificial, sino de un marco diseñado para que las entidades financieras resistan mejor incidentes tecnológicos, fallos operativos y riesgos relacionados con proveedores de servicios TIC.
En este contexto, DORA encaja con la preocupación por Mythos porque obliga a mirar la ciberseguridad de forma transversal. No basta con proteger un servidor o una aplicación. Hay que probar la capacidad de resistencia, identificar dependencias críticas y preparar respuestas ante interrupciones graves.
Algunas entidades ya estarían utilizando versiones recientes de modelos disponibles, como ChatGPT, para ensayar capacidades parecidas a las que se atribuyen a Mythos. La clave no está en copiar una herramienta concreta, sino en aprender a defenderse en un escenario en el que los atacantes también pueden usar IA avanzada.
Un riesgo que no terminará con Mythos
El BCE no ve Mythos como un episodio aislado. La llegada de modelos cada vez más potentes apunta a una nueva etapa en la ciberseguridad financiera. Hoy la alerta se centra en Anthropic, pero mañana pueden aparecer herramientas similares de otras compañías.
Esa es la razón por la que el supervisor insiste en que los bancos deben volverse más resilientes. La amenaza no depende solo de un modelo concreto ni de una decisión de acceso tomada en Estados Unidos. Depende de una tendencia más amplia: la capacidad de la IA para acelerar la búsqueda de fallos y convertirlos en ataques operativos.
Para la banca europea, esto implica revisar prioridades. La seguridad ya no puede entenderse como una partida técnica que se actualiza cuando aparece una amenaza. Debe formar parte de la estrategia, con decisiones en el consejo y seguimiento continuo.
Anthropic, entre Washington y los mercados
La presión sobre Mythos llega en un momento delicado para Anthropic. La compañía ha tenido tensiones con el Gobierno estadounidense por el posible uso militar de sus modelos, en un contexto de mayor vigilancia sobre las capacidades más avanzadas de la inteligencia artificial.
Al mismo tiempo, la empresa se prepara para competir en los mercados financieros en un entorno marcado por la carrera entre grandes compañías de IA. La reciente salida a Bolsa de SpaceX ha elevado todavía más la atención sobre las tecnológicas capaces de atraer capital masivo, y Anthropic aparece en esa misma conversación junto a otros actores del sector.
Mythos se ha convertido así en algo más que un nuevo modelo de IA. Para el BCE, es una señal de alerta sobre la próxima fase de la ciberseguridad bancaria: más rápida, más automatizada y con menos margen para reaccionar tarde.
