Suscribirse

Suscríbete a nuestro boletín

¡Listo! Revisa tu correo

Para completar la suscripción, haz clic en el enlace de confirmación que enviamos a tu correo. Si no llega en 3 minutos, revisa tu carpeta de spam.

Ok, gracias
Tecnología y Ciencia Ciberseguridad

El BCE aprieta a la banca por Claude Mythos: la IA cambió el reloj de la ciberseguridad

El BCE presiona a bancos por riesgos de IA y fallas expuestas por Claude Mythos.

John P. imagen de perfil
por John P.
Publicado
El BCE aprieta a la banca por Claude Mythos: la IA cambió el reloj de la ciberseguridad
Photo by Adi Goldstein / Unsplash

TL;DR:

El BCE convocó a bancos de la Eurozona a una reunión el 26 de mayo de 2026 por riesgos de ciberseguridad ligados a nuevos modelos de IA.
Claude Mythos Preview, de Anthropic, ha sido usado por la compañía y unos 50 socios para encontrar más de 10,000 vulnerabilidades de severidad alta o crítica.
La presión ya no está solo en detectar fallas: los bancos deben acelerar parches antes de que atacantes con IA puedan convertirlos en exploits.

El Banco Central Europeo convocó a bancos de la Eurozona a una reunión el martes 26 de mayo de 2026 para presionarles a acelerar la protección de sus sistemas de IT ante riesgos expuestos por Claude Mythos Preview y otros modelos avanzados de IA. La advertencia importa porque los modelos capaces de encontrar, combinar y explotar vulnerabilidades reducen el margen de reacción de bancos, proveedores de software y reguladores financieros.

Claude Mythos Preview es un modelo de IA de Anthropic con capacidades avanzadas para programación, razonamiento y tareas de ciberseguridad, incluida la detección de vulnerabilidades y el análisis de sistemas.

El problema no es solo que Mythos exista. El problema es que sus capacidades muestran cuánto puede comprimirse el tiempo entre descubrir una falla y convertirla en un ataque real.

Frank Elderson, vicepresidente del Consejo de Supervisión del BCE, lo planteó como un cambio de velocidad para los bancos.

"En términos musicales, diría que andante quizá era suficiente, pero ahora necesitamos ir a presto", dijo Elderson al Financial Times.

El BCE ya venía empujando a los bancos en temas de ciberseguridad. La diferencia ahora es la velocidad. Elderson advirtió que, si un gran proveedor de software publica un patch, la vulnerabilidad que ese patch corrige puede ser reconstruida mucho más rápido que antes.

Eso cambia la lógica defensiva: el patch ya no es solo una solución, también puede convertirse en una pista para atacantes con herramientas capaces de leer, inferir y probar fallas a escala.

black and silver door knob
Photo by Jason Dent / Unsplash

Mythos obliga a tratar fallas menores como urgencias operativas

En una entrevista publicada por la supervisión bancaria del BCE el 13 de mayo de 2026, Elderson dijo que Mythos no debe verse como una simple mejora técnica.

"Con base en nuestro entendimiento actual, esto no es solo otra mejora incremental. Cambia las reglas del juego en ciberseguridad", dijo Elderson.

El supervisor europeo identificó tres capacidades que preocupan especialmente a la banca:

  • Puede descubrir y explotar vulnerabilidades de forma autónoma a mayor velocidad y escala que herramientas previas.
  • Puede combinar fallas aparentemente menores para convertirlas en ataques serios.
  • Puede hacer reverse engineering de parches para inferir vulnerabilidades explotables mucho más rápido que los ciclos tradicionales de defensa.

El BCE quiere que los bancos actúen aunque no tengan acceso directo a Mythos. La razón es incómoda: la ausencia de acceso defensivo no impide que, tarde o temprano, actores maliciosos obtengan capacidades similares.

"La falta de acceso no es excusa para la inacción. Al contrario, hace aún más crítico que los bancos den un paso adelante y actúen ahora", dijo Elderson.

Europa depende de lo que compartan los bancos con acceso a Mythos

La reunión del BCE también tiene una dimensión competitiva. Bancos europeos se sienten en desventaja porque Mythos solo está disponible para un grupo limitado de organizaciones, principalmente en Estados Unidos, bajo Project Glasswing.

Project Glasswing es una iniciativa controlada de Anthropic que da acceso a Claude Mythos Preview a socios seleccionados para encontrar y corregir fallas en sistemas críticos antes de que esas capacidades estén más extendidas.

Reuters reportó que grandes bancos estadounidenses ya están reparando debilidades de IT señaladas por Mythos, mientras bancos más pequeños dependen del intercambio de información de instituciones con acceso directo a la herramienta.

Para Europa, ese intercambio se volvió parte de la defensa. Según el texto citado por Financial Times, el BCE espera que bancos estadounidenses con operaciones en la Eurozona compartan aprendizajes con rivales europeos que no tienen acceso a Mythos.

El dato que encendió la alarma: más de 10,000 vulnerabilidades

Anthropic publicó una actualización de Project Glasswing en la que dijo que, junto con aproximadamente 50 socios, ha usado Claude Mythos Preview para encontrar más de 10,000 vulnerabilidades de severidad alta o crítica en software considerado sistémicamente importante.

La propia compañía reconoció que el cuello de botella cambió. Antes, el límite estaba en encontrar nuevas fallas. Ahora está en verificar, divulgar y aplicar patches a la gran cantidad de vulnerabilidades detectadas por IA.

Estas cifras vienen de Anthropic y deben leerse como datos reportados por la empresa, no como una auditoría pública independiente de cada vulnerabilidad. Aun así, explican por qué los supervisores financieros están acelerando conversaciones con bancos, proveedores tecnológicos y organismos internacionales.

El riesgo para la banca se concentra en puntos muy concretos:

  • Ciclos de patching demasiado lentos para una amenaza que se mueve en horas.
  • Sistemas heredados que siguen sosteniendo operaciones críticas.
  • Dependencia de proveedores externos, desde cloud hasta software de pagos.
  • Fallas menores que pueden combinarse para construir ataques más graves.
  • Brecha de acceso entre bancos con Mythos y bancos que solo reciben información indirecta.

El impacto para usuarios puede sentirse en mantenimiento, caídas o cambios de seguridad

Para el usuario final, esto no necesariamente significa que una app bancaria vaya a caerse mañana. Pero sí puede cambiar la operación diaria de los bancos.

Reuters reportó que bancos de Estados Unidos están corrigiendo fallas, actualizando software y evaluando posibles interrupciones porque Mythos eleva la carga de trabajo sobre equipos de seguridad. Si antes una vulnerabilidad de baja o mediana prioridad podía esperar semanas, ahora puede requerir atención en días u horas.

Ahí está el punto delicado: la banca necesita parchear más rápido sin romper servicios que millones de personas usan para pagos, transferencias, crédito, nómina e inversión.

El BCE también quiere que los bancos actualicen sus planes de resiliencia operativa bajo DORA, el Reglamento de Resiliencia Operativa Digital de la Unión Europea. No basta con blindar el core bancario. También importa la infraestructura crítica que sostiene al banco: proveedores cloud, software de terceros, sistemas de pagos, herramientas internas y cadenas de soporte.

Para México y América Latina, la lectura es directa: los grandes bancos globales comparten tecnología, proveedores y estándares operativos. Si la presión regulatoria sube en Europa y Estados Unidos, tarde o temprano empujará a filiales, socios tecnológicos y equipos regionales a revisar sus propios ciclos de patching.

La carrera ya no es por tener más IA. Es por comprobar si las defensas, los procesos y las decisiones humanas pueden moverse a la misma velocidad que los modelos que descubren las fallas.

Fuentes: 1, 2, 3, 4, 5, 6, 7

John P. imagen de perfil
por John P.
Publicado

Leer más de Tecnología y Ciencia