Sede del BCE en Fráncfort
«Prepararse para lo peor»: así ha estallado la guerra del BCE contra la IA Mythos que puede tumbar tus ahorros
La irrupción de Mythos, la IA de Anthropic capaz de destapar miles de fallos críticos, ha forzado al BCE a mover ficha. Fráncfort ha pedido formar a los ejecutivos bancarios y elevar la IA a riesgo sistémico
En Fráncfort, el pánico empezó con un gráfico. Sobre una pantalla del área de Supervisión del BCE se apilaban miles de puntos rojos, cada uno representaba una vulnerabilidad crítica detectada por Mythos, el nuevo modelo de inteligencia artificial de Anthropic, en sistemas operativos y software empresariales de uso masivo en bancos. Era la constatación de que, por primera vez, un regulador europeo se enfrentaba a una IA concreta a la que podía considerar, sin exageración, un riesgo sistémico.
A partir de ahí, la maquinaria interna del BCE empezó a girar a toda velocidad. En cuestión de semanas, el supervisor pasó de recopilar información no oficial sobre Mythos a interrogar a las entidades financieras sobre su grado de preparación ante ciberataques asistidos por este modelo. Los equipos de supervisión enviaron cuestionarios a los bancos bajo vigilancia directa para entender hasta qué punto dependían de software potencialmente vulnerable y qué capacidad real tenían para parchear fallos en horas, no en semanas.
Una brecha peligrosa
El primer punto de inflexión llegó cuando las respuestas revelaron una brecha peligrosa entre el poder de la nueva IA y la inercia de los procedimientos internos de la banca. Mientras Anthropic admitía que Mythos había encontrado miles de vulnerabilidades de alta gravedad, muchos bancos reconocían que sus ciclos de actualización aún estaban diseñados para un mundo anterior, donde los atacantes eran humanos y las alertas se propagaban más despacio.
Mientras ocurría todo esto, en Bruselas, los ministros de Economía y Finanzas de la eurozona acordaban abrir una serie de discusiones específicas sobre modelos como Mythos y su impacto en la seguridad económica del bloque. El Eurogrupo había detectado que la IA pasaba a ocupar un lugar peligroso junto a palabras como estabilidad financiera, riesgo sistémico y contagio.
Dos corrientes
Dentro del propio BCE se cruzaban dos corrientes. Por un lado, la línea prudente, que defendía tratar Mythos como un riesgo tecnológico más, integrado en el marco general de ciberseguridad. Por otro, la facción que veía en esta IA un salto cualitativo que justificaba medidas excepcionales. Finalmente se impuso esta segunda visión. El supervisor decidió dar un paso que rompe con su tradición de neutralidad tecnológica y citar por su nombre a Anthropic y a Mythos en reuniones y comunicaciones internas, y exigir a las entidades que diseñaran planes específicos para este modelo y otros equivalentes.
Esa decisión desembocó en la primera gran reunión de urgencia con los responsables de riesgos de los principales bancos de la eurozona, incluidos los cuatro grandes españoles. El mensaje fue mucho más áspero de lo habitual. Fráncfort pidió detalles sobre los planes de contingencia, los procesos de detección de vulnerabilidades y la capacidad para aplicar parches casi en tiempo real cuando modelos como Mythos pusieran al descubierto fallos explotables. La intención era evitar escenarios de caída simultánea de varios bancos por un ataque automatizado coordinado.
Riesgo de ciberataques
Mientras tanto, figuras como Frank Elderson, miembro del Comité Ejecutivo y vicepresidente del Consejo de Supervisión, empezaban a preparar el terreno. En las entrevistas, Elderson instó a los bancos a «prepararse rápidamente» ante posibles ciberataques facilitados por Mythos o herramientas similares.
Elderson ha adelantado que el supervisor enviará cartas personalizadas a todos los consejeros delegados de los bancos
Elderson ha adelantado que el supervisor enviará cartas personalizadas a todos los consejeros delegados de los bancos bajo su paraguas, reclamando «medidas proactivas» para garantizar la solidez y seguridad de los sistemas ante los cambios que introducen los modelos de IA avanzados. Era una invitación a que los consejos de administración coloquen Mythos en la agenda de riesgos prioritarios o se preparen para lo peor.
La intrahistoria de esta decisión tiene mucho que ver con las dudas internas sobre la capacidad de los propios banqueros para entender lo que está en juego. En las reuniones de supervisión, técnicos del BCE se han encontrado con directivos que siguen hablando de IA en términos de chatbots, productividad o experiencia de cliente, mientras los equipos de ciberseguridad les explican que Mythos puede encontrar en minutos fallos que antes se tardaba meses en detectar.
Sesiones específicas
De ahí nace la idea, todavía en preparación, de que el BCE no se limitará a pedir planes, sino que organizará sesiones específicas para la alta dirección de los bancos sobre los riesgos de Mythos y modelos similares. La institución quiere que los ejecutivos dejen de ver la IA como un asunto delegable en sus departamentos informáticos y la integren en la gobernanza del riesgo, con comités, métricas y responsabilidades. En otras palabras, Fráncfort pretende pasar de vigilar la solvencia de los bancos a educar, en tiempo real, a quienes la gestionan.
Fráncfort pretende pasar de vigilar la solvencia de los bancos a educar, en tiempo real, a quienes la gestionan
Europa carece de una IA propia equiparable a Mythos y depende d e la buena voluntad de empresas estadounidenses para acceder a esas capacidades defensivas. Mientras España se suma al proyecto Glasswing de Anthropic para poder usar el modelo con fines de ciberseguridad, el BCE se ve obligado a regular sin muchos conocimientos una tecnología que no controla y que evoluciona a un ritmo ajeno a los tiempos regulatorios de Europa.
En Fráncfort, la sensación es que esta vez han llegado a tiempo. La medida de instruir a los ejecutivos y poner en valor a Mythos busca evitar otro 2008 tecnológico y que la próxima crisis no venga de las hipotecas subprime, sino de una IA capaz de abrir grietas en los cimientos digitales del sistema financiero.