¿Puede Mythos tumbar la banca europea? El BCE ya se mueve

Mythos inquieta al BCE y a la banca europea por su capacidad para hallar fallos críticos antes de que el sistema financiero pueda reaccionar.

El Banco Central Europeo ha pedido a la gran banca de la Eurozona que revise sus planes de contingencia ante Mythos, el nuevo modelo de inteligencia artificial de Anthropic que ha encendido una alarma poco habitual en Fráncfort: no por lo que dice, sino por lo que es capaz de encontrar. La preocupación no es que una máquina “decida” atacar un banco como en una película de madrugada, sino que pueda detectar vulnerabilidades ocultas en software crítico a una velocidad que desborda los ritmos normales de defensa, parcheo y supervisión. Y ahí, en esa diferencia de velocidad, está el verdadero agujero negro.

Lo que puede pasar, en términos sencillos, es esto: los bancos podrían verse obligados a defenderse contra fallos que aún no saben que tienen. No hablamos solo de aplicaciones móviles, cajeros o banca online, sino de capas más profundas: proveedores tecnológicos, sistemas heredados, conexiones con terceros, plataformas de pagos, nubes contratadas, herramientas internas, motores de análisis de riesgo y piezas de software que llevan años funcionando como tuberías viejas detrás de una pared recién pintada. Mythos no inventa necesariamente la grieta. La ilumina. Y cuando una grieta se ilumina para todos, el edificio deja de parecer tan sólido.

El miedo no es la IA, es la velocidad

La banca está acostumbrada a vivir rodeada de riesgo. Riesgo de crédito, riesgo de mercado, riesgo reputacional, riesgo operativo, esa música de fondo que suena en todos los comités aunque nadie la tararee. Lo nuevo aquí es que la inteligencia artificial ha entrado en una zona especialmente delicada: la búsqueda de vulnerabilidades desconocidas, los llamados fallos de día cero. Es decir, errores que existen en un sistema, pero que todavía no han sido descubiertos públicamente, ni corregidos, ni incorporados a las defensas habituales.

Hasta ahora, encontrar uno de esos fallos exigía talento raro, paciencia de monje y muchas horas mirando código como quien interpreta restos arqueológicos. Mythos cambia la escala del asunto. Anthropic lo presenta como un modelo avanzado para tareas de ciberseguridad, capaz de ayudar a descubrir y analizar debilidades complejas. En buenas manos, eso puede ser una bendición: más fallos detectados antes de que los exploten delincuentes, mejores pruebas de estrés tecnológico, menos software podrido circulando por sistemas críticos. En malas manos, claro, el mismo cuchillo corta por el otro lado.

La imagen de la “bomba atómica” es tentadora, tremendista y bastante útil para vender sustos. Pero se queda corta y se pasa al mismo tiempo. Mythos no es una bomba que explota una vez, con humo, sirenas y fotografía histórica. Es más incómodo: puede ser una máquina de encontrar cerraduras mal puestas en miles de puertas distintas. Algunas puertas darán a cuartos sin importancia. Otras, quizá, a sistemas donde se mueve dinero, información sensible o confianza. La confianza, en banca, no es decoración; es oxígeno.

Por eso el BCE no está preguntando por curiosidad académica. Quiere saber si los bancos tienen mapas reales de sus dependencias tecnológicas, si conocen qué proveedores les sostienen, si pueden aislar un sistema comprometido, si son capaces de seguir operando cuando una pieza se cae, si sus equipos pueden parchear sin romper más de lo que arreglan. Quiere, en el fondo, una respuesta adulta a una pregunta incómoda: cuando el ataque ya no tarde semanas en prepararse, sino horas, ¿quién aguanta de pie?

Qué tiene Mythos para inquietar a los bancos

Mythos pertenece a esa nueva generación de modelos de inteligencia artificial que no solo redactan, resumen o programan, sino que razonan sobre sistemas complejos con una eficacia que empieza a tocar nervios sensibles. Anthropic lo ha situado en un marco de acceso limitado y uso defensivo, precisamente porque su potencia en ciberseguridad obliga a tratarlo con más cuidado que un chatbot convencional. No es la mascota simpática que te ordena el calendario. Es otra cosa. Una lupa con hambre.

El caso que más ha llamado la atención es el de Mozilla, que utilizó una versión temprana del modelo para revisar Firefox. El resultado fue llamativo: centenares de vulnerabilidades identificadas y corregidas en una sola versión del navegador. Conviene no exagerar: no significa que todas fueran catástrofes listas para hundir internet, ni que ningún humano hubiera podido encontrarlas jamás. Significa algo más sobrio, y por eso más inquietante: herramientas así pueden comprimir en muy poco tiempo un trabajo que antes requería equipos de élite, meses de revisión y una cantidad de dinero considerable.

En banca, esa compresión temporal lo cambia todo. Un banco grande no es una web con contraseña y cuatro servidores. Es una ciudad tecnológica, con barrios nuevos de nube, avenidas viejas de sistemas centrales, túneles conectados a procesadores de pagos, puentes con aseguradoras, fintech, proveedores de datos, empresas de software, redes internacionales y administraciones públicas. Hay fachadas brillantes y sótanos con humedad. Hay piezas modernas y otras que sobreviven por pura costumbre, como esos ascensores antiguos que funcionan siempre… hasta el día en que no.

La inquietud del BCE nace de ahí. Si un modelo puede localizar vulnerabilidades profundas en software empresarial, el riesgo no está solo en el banco que use mal la herramienta, sino en el atacante que logre acceso a capacidades similares, en el proveedor que no corrija a tiempo o en la entidad que descubra demasiado tarde que su seguridad dependía de una cadena demasiado larga. La ciberseguridad financiera siempre ha tenido una parte de carrera armamentística. Mythos sube la pendiente.

También hay una paradoja exquisita, casi cruel. Los bancos necesitan herramientas como Mythos para defenderse de ataques que podrían usar herramientas como Mythos. Es el tipo de círculo que en Bruselas genera documentos, comités y café malo; pero detrás hay una cuestión muy práctica. Si solo unas pocas entidades tienen acceso a la tecnología capaz de revisar sus sistemas con ese nivel de profundidad, el resto puede quedar en inferioridad. No por torpeza, sino por asimetría. Unos ven la radiografía. Otros siguen palpando el hueso desde fuera.

Lo que realmente podría pasar si cae en malas manos

El escenario más grave no es un hacker solitario con capucha entrando en la banca online de media Europa durante una noche lluviosa. Ese cliché ya huele a VHS. El riesgo serio es una cadena de ataques más rápidos, más precisos y mejor dirigidos contra piezas concretas de infraestructura financiera. Puede empezar por un proveedor tecnológico, seguir por una API mal protegida, saltar a un sistema de autenticación, afectar a una plataforma de pagos o provocar una interrupción coordinada de servicios. Nada cinematográfico. Muy eficaz.

Un ataque acelerado por IA podría buscar fallos desconocidos en software común usado por muchas entidades a la vez. Ahí aparece el riesgo sistémico, la palabra que vuelve seria cualquier conversación de supervisores. Si una vulnerabilidad afecta a un componente utilizado por decenas de bancos, la amenaza deja de ser individual. Ya no se trata de si una entidad concreta tiene mejores murallas, sino de si todo el barrio comparte la misma cerradura defectuosa.

La consecuencia más visible para el ciudadano sería una caída de servicios: banca móvil bloqueada, transferencias demoradas, tarjetas que fallan, cajeros sin respuesta, atención saturada. En un mundo donde pagar un café depende de una cadena invisible de validaciones, una interrupción de unas horas puede parecer el fin de la civilización para quien está en la cola del supermercado con el datáfono mirando al techo. No hace falta que desaparezca el dinero. Basta con que no puedas moverlo.

Luego está el robo de datos. Los bancos almacenan información extraordinariamente sensible, desde identidades y direcciones hasta hábitos financieros, nóminas, préstamos, inversiones y patrones de comportamiento. Un ataque que exponga esos datos no solo cuesta multas y titulares. Daña confianza, facilita fraudes posteriores y convierte a miles o millones de clientes en piezas de caza para estafas más sofisticadas. La filtración no termina cuando se cierra la brecha. Sigue circulando, como tinta derramada en agua.

También podría haber manipulación de procesos internos. No todo ataque busca vaciar cuentas. Algunos intentan alterar registros, sabotear sistemas, impedir operaciones, bloquear recuperaciones o sembrar dudas sobre la integridad de los datos. En finanzas, la duda es veneno. Si una entidad no puede demostrar con rapidez que sus saldos, movimientos y registros son correctos, el daño reputacional puede crecer incluso aunque el impacto técnico esté contenido. La banca vive de balances, sí, pero también de una fe civilizada: todos creemos que los números están donde dicen estar.

La hipótesis más extrema —un colapso financiero provocado por Mythos— exige prudencia. No hay una línea directa entre un modelo de IA potente y la caída de un banco. Entre una vulnerabilidad y un desastre hay defensas, controles, segmentación, equipos humanos, supervisión, copias de seguridad, protocolos de continuidad y, sobre todo, mucha ingeniería aburrida. Esa ingeniería aburrida salva más mundos de los que Hollywood reconoce. Pero el BCE no se mueve por literatura. Se mueve porque los márgenes de reacción pueden estrecharse.

Por qué el BCE ha entrado en escena

El BCE lleva tiempo empujando a los bancos hacia una resiliencia digital más seria. La normativa europea sobre resiliencia operativa digital, DORA, ya obliga al sector financiero a demostrar que puede resistir incidentes tecnológicos, gestionar riesgos de terceros y responder ante ciberataques sin convertir cada caída en un drama nacional. Mythos no aparece en el vacío. Llega justo cuando los supervisores están menos dispuestos a aceptar el viejo “estamos trabajando en ello” como respuesta universal.

La petición de planes de contingencia tiene una lógica clara. Fráncfort quiere saber qué haría cada entidad antes, durante y después de un ataque acelerado por IA. Quiere ver escenarios, no eslóganes. Quiere comprobar si los bancos tienen identificados sus activos críticos, si conocen sus dependencias con grandes proveedores tecnológicos, si han ensayado desconexiones parciales, si pueden activar equipos de crisis, si sus consejos de administración entienden el asunto o si siguen pensando que ciberseguridad es ese departamento que manda correos sobre contraseñas.

Aquí hay un cambio cultural importante. Durante años, la ciberseguridad fue tratada en muchas empresas como una especie de fontanería digital: necesaria, cara y visible solo cuando se rompe algo. En banca ya no cuela. La seguridad tecnológica forma parte del corazón prudencial del negocio. Un banco que no puede operar, proteger datos o restaurar servicios críticos no es solo una empresa con problemas informáticos; es una entidad con riesgo operativo severo. Y, según el tamaño, un posible problema para el sistema.

El BCE también mira la dependencia de terceros. Los bancos no construyen solos todo lo que usan. Contratan nube, software, análisis de datos, proveedores de ciberseguridad, plataformas de comunicación, herramientas de identidad, servicios de mantenimiento y mil piezas más. Esa red permite innovar, abaratar y competir, pero también crea una fragilidad compartida. Cuando todos usan pocos proveedores, un fallo en uno de ellos puede propagarse con elegancia venenosa. Muy moderno. Muy eficiente. Muy peligroso.

Por eso la pregunta no es solo si los bancos europeos están preparados para Mythos. La pregunta es si Europa quiere depender de capacidades tecnológicas que se desarrollan, se prueban y se distribuyen primero fuera de su perímetro regulatorio. Si algunas entidades estadounidenses acceden antes a herramientas capaces de revisar sus sistemas con una profundidad inédita, la banca europea puede quedar mirando desde la ventana mientras otros refuerzan la casa. El Bundesbank ya ha deslizado esa preocupación: para defenderse de una herramienta así, quizá haya que conocerla de primera mano.

España también está dentro de la foto

La banca española no aparece en esta historia como espectadora exótica. Santander, BBVA, CaixaBank, Sabadell y el resto del sector viven en la misma arquitectura global de riesgos, con clientes hiperconectados, pagos instantáneos, banca móvil dominante, proveedores internacionales y una presión creciente por automatizar procesos. España tiene bancos grandes, internacionalizados y tecnológicamente ambiciosos. Eso es una fortaleza. También abre superficie de ataque. Las dos cosas caben en la misma frase, aunque incomode.

El Banco de España, como supervisor nacional dentro del engranaje europeo, ya venía prestando atención al uso de inteligencia artificial en entidades financieras. La IA no solo sirve para detectar fraude o analizar crédito, también puede generar nuevos riesgos de gobernanza, dependencia, sesgo, opacidad y seguridad. Mythos añade una pieza más dura: el riesgo de que la misma tecnología que ayuda a blindar sistemas permita descubrir sus costuras con una rapidez brutal.

Para el cliente medio, todo esto puede sonar lejano, como una conversación entre señores con acreditación en una sala sin ventanas. Pero no lo es. Cada vez que una persona abre la aplicación del banco, firma una operación, paga con el móvil o recibe una alerta antifraude, está usando una cadena tecnológica enorme. La mayoría de los días funciona de forma limpia, casi mágica. Precisamente por eso se olvida que detrás hay servidores, protocolos, bases de datos, permisos, proveedores y equipos humanos vigilando. La magia, en tecnología, suele ser trabajo invisible.

¿Qué debería preocupar al usuario? No tanto que mañana su saldo se esfume por culpa de una IA, sino que los ciberataques sean más frecuentes, más personalizados y más difíciles de distinguir. Si modelos avanzados ayudan a encontrar vulnerabilidades, otros modelos pueden ayudar a mejorar estafas, suplantaciones, mensajes fraudulentos, llamadas falsas y ataques dirigidos. El banco puede tener murallas excelentes, pero el cliente sigue siendo una puerta lateral. Y esa puerta, a menudo, se abre con una llamada convincente a la hora de comer.

España ya ha visto un aumento de fraudes digitales vinculados a suplantaciones bancarias, SMS falsos, llamadas que simulan ser del banco y páginas clonadas. Mythos no inventa ese ecosistema, pero pertenece al mismo cambio de época: la automatización de capacidades que antes estaban reservadas a especialistas. Lo que antes requería un grupo organizado, tiempo y conocimiento técnico puede rebajarse en coste y elevarse en precisión. Democracia tecnológica, sí. También para los malos. La modernidad nunca viene sola; trae siempre una factura doblada en el bolsillo.

La oportunidad incómoda: usar la misma herramienta para defender

Sería un error convertir Mythos en monstruo puro. La misma capacidad que asusta a los bancos puede ayudarles a cerrar agujeros antes de que alguien los explote. Ese es el dilema central. Si una inteligencia artificial puede encontrar vulnerabilidades desconocidas en sistemas críticos, prohibir o ignorar la tecnología no elimina el riesgo. Solo puede dejar a los defensores con herramientas más lentas que las de los atacantes. Y en ciberseguridad, llegar tarde es casi una forma de perder.

Los bancos más preparados podrían usar modelos avanzados para revisar código, auditar sistemas heredados, simular ataques, priorizar parches y detectar dependencias peligrosas. El salto importante no está solo en encontrar más fallos, sino en decidir cuáles importan de verdad. Una entidad grande puede recibir miles de alertas al mes. Muchas son ruido. Algunas son incendio. La diferencia entre ambas decide presupuestos, noches sin dormir y, en ocasiones, titulares de portada.

Ahí aparece otra presión: el cuello de botella del parcheo. Descubrir vulnerabilidades más rápido no significa corregirlas automáticamente más rápido. Arreglar software crítico exige pruebas, coordinación, ventanas de mantenimiento, compatibilidad con sistemas antiguos y cuidado quirúrgico. No se puede cambiar una pieza del motor de un avión en pleno vuelo con la alegría de quien actualiza una app de linterna. La IA puede acelerar el diagnóstico, pero la cura sigue teniendo mucho de ingeniería, disciplina y manos humanas.

También habrá una brecha entre gigantes y entidades medianas. Los grandes bancos pueden contratar equipos, acceder a herramientas punteras y negociar directamente con proveedores globales. Las entidades más pequeñas, fintechs, cooperativas o empresas auxiliares pueden tener menos músculo. Y la cadena es tan fuerte como el eslabón menos protegido que tenga acceso a datos, procesos o conexiones sensibles. La ciberseguridad financiera ya no se puede medir solo por la fortaleza del castillo principal; también cuentan las casetas del puerto.

Europa tendrá que decidir cómo regula sin ahogar. Un exceso de miedo puede frenar herramientas defensivas necesarias, pero una confianza ingenua sería de una candidez casi ornamental. El punto razonable pasa por acceso controlado, auditorías independientes, obligaciones de reporte, cooperación entre bancos y supervisores, pruebas realistas y una coordinación transatlántica que no dependa solo de la buena voluntad de empresas privadas. Porque, por mucho que Silicon Valley adore presentarse como garaje luminoso de la humanidad, aquí hablamos de infraestructuras críticas.

El verdadero examen será la confianza

Mythos ha obligado a la banca europea a mirar una verdad incómoda: el sistema financiero ya no solo compite en capital, liquidez o tipos de interés, sino en capacidad de resistir golpes digitales cada vez más inteligentes. El BCE no está pidiendo planes porque crea que los bancos vayan a derrumbarse mañana. Los pide porque sabe que la velocidad de la amenaza está cambiando y porque, cuando un supervisor pregunta antes del incendio, conviene responder sin adornos.

La palabra “contingencia” suena seca, administrativa, de carpeta gris. Pero aquí significa algo muy concreto: saber qué se apaga, qué se aísla, qué se restaura, quién decide, quién informa y cómo se mantiene la actividad cuando el suelo tiembla. Un banco no necesita ser invulnerable, porque eso no existe. Necesita ser resistente, transparente y rápido. Necesita detectar pronto, contener bien y explicar mejor. Y necesita hacerlo sin convertir cada incidente en un espectáculo de sombras.

Lo más probable es que Mythos no “tumbe” la banca europea. Esa frase sirve para abrir ojos, no para describir el escenario central. Lo probable es más sutil y más importante: que obligue a bancos, supervisores y gobiernos a acelerar inversiones, revisar dependencias, compartir información y aceptar que la ciberseguridad ya no es un coste auxiliar, sino una pieza de estabilidad financiera. La caja fuerte del siglo XXI no está hecha solo de acero. Está hecha de código, contratos, redundancias, protocolos y confianza.

Y la confianza, cuando se agrieta, no se parchea con una actualización nocturna. Por eso Mythos asusta tanto. Porque no trae una amenaza nueva desde la nada, sino una linterna demasiado potente sobre una realidad que ya existía: los bancos funcionan sobre software, el software tiene fallos y quien encuentre antes esos fallos tendrá ventaja. El BCE ha leído bien el momento. No hace falta gritar “apocalipsis”. Basta con mirar el plano eléctrico del edificio y comprobar cuántos cables pasan por la misma pared.