El Banco Central Europeo ha preguntado a diversas entidades financieras de la zona euro para conocer su grado de preparación ante las posibles amenazas que podría comportar el modelo de inteligencia artificial Mythos, desarrollado por la compañía Anthropic. Según ha trascendido en las últimas horas, los supervisores europeos están recopilando información sobre cómo los bancos gestionarían un hipotético ciberataque acelerado por esta nueva generación de herramientas tecnológicas. El movimiento del regulador responde a la necesidad de anticiparse a escenarios de riesgo. El foco de atención se sitúa en las capacidades avanzadas que se atribuyen a Mythos en el ámbito de la programación y el diagnóstico de fallos de seguridad.

Según las pruebas realizadas por el mismo equipo de Anthropic, el modelo ha sido capaz de identificar vulnerabilidades en sistemas operativos y navegadores de uso extendido, algunas de las cuales habían pasado desapercibidas durante más de veinte años, a pesar de haber sido sometidas a millones de controles automatizados. La preocupación de los reguladores es que esta misma capacidad pueda ser aprovechada por actores maliciosos para diseñar ataques más sofisticados e impredecibles. La reacción del BCE no es un hecho aislado, sino que se enmarca en un movimiento coordinado de diversos supervisores internacionales.
 

El Banco de Inglaterra y autoridades financieras de los Estados Unidos también han movido ficha en las últimas semanas para evaluar el impacto potencial de Mythos sobre sus respectivas infraestructuras críticas. De hecho, el gobernador del banco central británico, Andrew Bailey, ya había advertido recientemente que la ciberseguridad se ha convertido en una de las principales preocupaciones en la era de la inteligencia artificial avanzada. Las autoridades norteamericanas, por su parte, han mantenido encuentros de alto nivel con los principales actores de Wall Street para abordar las implicaciones de esta tecnología.

Una respuesta preventiva

Desde el BCE se ha precisado que, de momento, no se ha activado ningún protocolo extraordinario ni se han convocado reuniones de urgencia con los altos directivos de la banca. Lo que se está haciendo es incorporar esta cuestión a las conversaciones habituales de supervisión, con el fin de identificar posibles debilidades en los planes de contingencia de las entidades. El objetivo es asegurar que los bancos disponen de mecanismos para responder a amenazas derivadas del uso malicioso de herramientas como Mythos, especialmente en un contexto en el que la resiliencia operativa ha ganado un peso creciente en la agenda reguladora europea. Ante las alarmas generadas, la compañía Anthropic ha decidido actuar con prudencia.

Mythos no estará disponible para el público en general, sino que el acceso quedará restringido a un grupo limitado de socios seleccionados, entre los cuales figuran grandes empresas tecnológicas como Apple, Amazon, Microsoft, Google y Nvidia, así como algunas instituciones financieras como JPMorgan Chase. Estas organizaciones utilizarán el modelo para reforzar sus tareas de seguridad desde la perspectiva defensiva. No obstante, recientemente se descubrió que un grupo no autorizado había conseguido acceder al modelo a través del entorno de un proveedor externo, hecho que ha puesto de manifiesto los riesgos asociados a la gestión de accesos en entornos subcontratados.

Una de las cuestiones que más desasosiego genera entre los expertos es si los supervisores están en condiciones de ir al mismo ritmo que los avances tecnológicos. Diversos analistas han señalado que la adopción de herramientas de inteligencia artificial por parte del sector financiero avanza mucho más deprisa que la capacidad de los reguladores para entender y anticiparse a los riesgos. Este posible desfase es una de las razones que explica la intensificación de la vigilancia preventiva por parte del BCE, que quiere evitar que la banca quede expuesta a vulnerabilidades que aún no ha aprendido a identificar.

La posición de Christine Lagarde

La presidenta del BCE, Christine Lagarde, se ha referido en los últimos días a esta cuestión y ha elogiado la actitud de Anthropic, que ha optado por restringir el despliegue del modelo hasta tener claras las salvaguardas necesarias. En declaraciones a medios internacionales, Lagarde ha destacado que se trata de un buen ejemplo de empresa responsable, consciente de que una herramienta con tanto potencial puede ser muy beneficiosa, pero también muy peligrosa si cae en malas manos. La dirigente europea ha insistido en que el reto para los reguladores es aprender a convivir con esta dualidad.

El episodio con Mythos solo es el último capítulo de una tendencia: la inteligencia artificial está dejando de ser vista por los reguladores como una simple oportunidad tecnológica para convertirse también en una fuente potencial de inestabilidad. El caso de Anthropic ha servido para demostrar que los avances en este campo avanzan a una velocidad que obliga a los supervisores a estar permanentemente en alerta. La petición del BCE a la banca para que se prepare ante estos escenarios es, en el fondo, un reconocimiento de que la ciberseguridad se ha consolidado como una de las nuevas fronteras de la protección del sistema financiero.