- La Reserva Federal y la OCC han decidido posponer parte de las inspecciones de ciberseguridad a los grandes bancos de EE. UU.
- El origen de la medida es Mythos, un modelo de inteligencia artificial de Anthropic capaz de detectar vulnerabilidades y facilitar ciberataques.
- Los reguladores buscan dar más margen a las entidades financieras para reforzar sus defensas mientras se prueba la nueva tecnología.
- La pausa no supone una relajación del control, sino un ajuste temporal de los calendarios de supervisión para adaptar los marcos de ciberseguridad.
Los principales reguladores bancarios de Estados Unidos han decidido aplazar parte de sus inspecciones de ciberseguridad a las grandes entidades financieras, después de que un nuevo modelo de inteligencia artificial, conocido como Mythos y desarrollado por Anthropic, destapara un conjunto de riesgos que no estaban del todo mapeados. La medida no implica bajar la guardia, sino reordenar los tiempos de supervisión mientras bancos y autoridades se ponen al día con una tecnología que avanza a toda velocidad.
Este movimiento tiene como objetivo dar a los bancos más margen para reforzar sus sistemas frente a amenazas cibernéticas complejas, a la vez que los propios reguladores someten sus metodologías a una revisión profunda. Mythos ha demostrado ser capaz de analizar grandes volúmenes de código y localizar fallos aprovechables por atacantes, lo que ha encendido las alarmas en los despachos de supervisores y directivos financieros.
Qué inspecciones de ciberseguridad se han pausado y por qué
La Reserva Federal (Fed) y la Oficina del Contralor de la Moneda (OCC), responsables de la supervisión de los grandes bancos estadounidenses, han optado por retrasar algunos calendarios de inspecciones específicamente vinculadas a ciberseguridad. No se trata de todas las revisiones, sino de aquellas ligadas a la incorporación y prueba de modelos avanzados de inteligencia artificial como Mythos en la infraestructura tecnológica de las entidades.
Según fuentes conocedoras de las discusiones internas, el objetivo de este ajuste temporal es ofrecer a los bancos un periodo de adaptación para evaluar a fondo cómo la nueva herramienta de Anthropic puede impactar en sus defensas digitales. Reguladores y entidades temen que la combinación de sistemas heredados, nuevas capas de IA y marcos de cumplimiento todavía en evolución pueda dejar ángulos muertos en la protección frente a ciberataques.
La decisión se ha tomado después de que Anthropic advirtiera de que Mythos podría ser utilizado tanto para reforzar la ciberseguridad como, en manos equivocadas, para ejecutar ciberataques sofisticados. Esa doble cara ha llevado a las autoridades a priorizar un enfoque más gradual: pausar ciertas inspecciones, reforzar las pruebas internas y, a partir de ahí, actualizar criterios sin precipitarse.
Desde la OCC se ha preferido mantener un perfil bajo y evitar comentarios públicos detallados, mientras que la Fed tampoco ha ofrecido de inmediato explicaciones adicionales sobre la estructura concreta de estos retrasos. No obstante, ambas instituciones continúan trabajando con las entidades en materias de seguridad digital y no han reducido la interlocución técnica ni el flujo de información.
En la práctica, frenar ciertos exámenes periódicos da aire a los bancos para ajustar políticas, revisar arquitecturas de red y completar pruebas de estrés específicas con Mythos, sin estar sometidos a plazos de inspección que podrían resultar demasiado rígidos en un contexto tan cambiante.
Mythos, la IA que ha encendido las alarmas de ciberseguridad
El epicentro de este giro regulatorio es Mythos, un modelo de inteligencia artificial creado por Anthropic PBC que ha demostrado tener una capacidad notable para analizar código y localizar vulnerabilidades con una velocidad muy superior a la de los equipos humanos. Esta potencia, muy útil para la defensa, también ha dejado claro que un sistema similar podría emplearse para automatizar ataques o explorar fallos de forma masiva.
Consciente de esos riesgos, Anthropic ha optado por limitar el acceso público a Mythos y ponerlo a prueba en un marco controlado. Para ello ha lanzado la iniciativa Project Glasswing, un programa piloto en el que participan un grupo reducido de grandes compañías, entre las que se encuentran Apple y el banco de inversión JPMorgan Chase. Estas organizaciones utilizan la herramienta, en primer lugar, para examinar sus propias defensas antes de contemplar usos más amplios.
En el sector financiero, varias entidades de primer nivel —desde JPMorgan hasta Morgan Stanley o Goldman Sachs— han constituido equipos especializados dedicados exclusivamente a trabajar con Mythos. Estos grupos analizan cómo la IA se comporta frente a distintos entornos tecnológicos, qué tipo de vulnerabilidades es capaz de detectar y de qué forma se pueden priorizar las correcciones a partir de los hallazgos del modelo.
El acceso a la herramienta ha implicado también una colaboración más estrecha con agencias federales de inteligencia, que ayudan a los bancos a cartografiar escenarios de amenaza inspirados en el comportamiento de Mythos. En lugar de trabajar cada entidad por su cuenta, se está generando un intercambio más fluido de información sobre vectores de ataque, fallos típicos y buenas prácticas emergentes.
Todo este proceso recuerda al debate que existe en Europa sobre el despliegue de modelos de IA avanzados y el equilibrio entre innovación y seguridad. Aunque este caso concreto se produce en Estados Unidos, el modo en que se están gestionando los riesgos de Mythos está siendo seguido de cerca desde organismos comunitarios como la Comisión Europea o el Banco Central Europeo, que afrontan retos similares en el marco de la regulación de la IA y la protección de infraestructuras críticas.
Reacción de bancos y reguladores ante la pausa de inspecciones
En los grandes bancos con acceso a Mythos, la reacción inicial fue de cierta alarma por la rapidez con la que el modelo identificaba debilidades en sistemas complejos y en grandes bloques de código. En pocas semanas, los equipos técnicos vieron aflorar fallos que, de otra forma, podrían haber pasado inadvertidos durante meses, lo que generó una sensación de urgencia en los comités de riesgo.
Sin embargo, tras varias rondas de pruebas, ese susto inicial se ha transformado en una larga lista de tareas y proyectos de refuerzo que, aunque exigentes, son abordables si se cuenta con tiempo y recursos suficientes. La pausa parcial de inspecciones de ciberseguridad se percibe así como un balón de oxígeno que permite ordenar prioridades, asignar equipos y cerrar brechas de manera más sistemática.
Desde la Reserva Federal, la vicepresidenta de Supervisión, Michelle Bowman, ha insistido en que el organismo seguirá centrado en los acontecimientos críticos y en la comunicación de riesgos a las instituciones bajo su paraguas. La idea de fondo es que el marco de supervisión no quede desactualizado frente a tecnologías emergentes como Mythos, sino que se vaya reajustando según se obtengan más datos y pruebas.
Para acompañar esta transición, la OCC ha puesto en marcha su propia prueba piloto interna utilizando Mythos. Los inspectores exploran así, en primera persona, las capacidades y límites del modelo, con el fin de entender mejor qué exigir a los bancos y cómo interpretar los resultados que aportan estas nuevas herramientas en una revisión formal de ciberseguridad.
En paralelo, ejecutivos de entidades como Goldman Sachs o JPMorgan han reiterado públicamente que la ciberseguridad es uno de los ejes prioritarios de inversión. David Solomon, consejero delegado de Goldman, ha subrayado que el banco está trabajando con proveedores de seguridad especializados para reforzar sus defensas a la luz de las conclusiones obtenidas con Mythos, mientras que Jamie Dimon, de JPMorgan, ha apuntado que cuentan con cientos de personas dedicadas a tiempo completo a esta tarea.
Impacto y lecciones para España y Europa
Aunque la decisión de pausar algunas inspecciones de ciberseguridad se ha tomado en Estados Unidos, lo ocurrido envía un mensaje claro a supervisores y bancos de España y del resto de Europa: los modelos de IA más avanzados obligan a repensar los esquemas tradicionales de supervisión tecnológica. Las revisiones periódicas y los marcos de control heredados pueden quedarse cortos si no incorporan la velocidad y complejidad de estas herramientas.
En el ámbito europeo, donde ya se avanza en la definición de normas específicas para la inteligencia artificial y se refuerzan los requisitos de resiliencia digital de las entidades financieras, casos como el de Mythos sirven como banco de pruebas indirecto. La forma en que la Fed y la OCC están reajustando tiempos, comunicando riesgos y fomentando pruebas conjuntas puede inspirar ajustes en las metodologías de supervisión del BCE, la Autoridad Bancaria Europea o los bancos centrales nacionales.
Para los bancos españoles, la experiencia de los grandes grupos estadounidenses adelanta un escenario en el que las herramientas de IA dedicadas a ciberseguridad se convertirán en un componente habitual de las defensas, pero también en un factor que los reguladores tendrán muy en cuenta en sus inspecciones. Será clave asegurar que la adopción de modelos similares a Mythos vaya acompañada de planes de gobernanza claros, criterios de uso responsable y mecanismos de auditoría independientes.
Más allá de la tecnología, la coordinación entre entidades, proveedores de servicios y autoridades será determinante. La experiencia estadounidense muestra que las amenazas detectadas por la IA no se gestionan de forma aislada, sino a través de redes de intercambio de información con organismos de inteligencia y otros bancos. En la Unión Europea, donde la cooperación transfronteriza es ya un elemento central de la regulación bancaria, este tipo de dinámicas podrían reforzarse aún más.
Todo apunta a que la combinación de inspecciones tradicionales con pruebas de estrés basadas en modelos de IA será uno de los campos en los que se juegue buena parte de la seguridad del sistema financiero en los próximos años. La clave estará en encontrar el equilibrio entre prudencia y agilidad: pausar o reprogramar exámenes cuando haga falta para entender una nueva tecnología, pero sin relajar el nivel de exigencia en la protección frente a ciberataques cada vez más sofisticados.
Lo que está ocurriendo con Mythos y la decisión de pausar ciertas inspecciones de ciberseguridad ilustra cómo la llegada de la inteligencia artificial avanzada está obligando a reguladores y bancos a moverse rápido, ajustar sus calendarios y repensar sus herramientas, con la vista puesta en mantener la estabilidad y la confianza en el sistema financiero tanto en Estados Unidos como, por extensión, en España y el resto de Europa.
