Regulador de Singapur exige que los bancos cierren vulnerabilidades en medio de preocupaciones sobre Mythos

La Autoridad Monetaria de Singapur (MAS) ha emitido un aviso oficial a los bancos: las instituciones financieras deben eliminar urgentemente las vulnerabilidades existentes en sus sistemas de ciberseguridad. La alerta regulatoria se produjo en el contexto de crecientes preocupaciones en los círculos financieros asiáticos sobre Mythos, un nuevo modelo de lenguaje de la empresa estadounidense Anthropic, creadora de la familia de modelos Claude. De acuerdo con Bloomberg, son precisamente las capacidades de este modelo en la comprensión del contexto y la generación de texto convincente las que han generado preocupaciones entre especialistas en seguridad de la información del sector financiero.

Las preocupaciones no son sobre el modelo en sí, sino sobre su posible uso indebido por actores maliciosos: para crear correos de phishing, suplantación de comunicaciones bancarias y llevar a cabo ataques automatizados contra clientes y empleados de organizaciones financieras. Singapur ha mantenido durante mucho tiempo una posición de liderazgo entre los centros financieros de Asia y tradicionalmente ha actuado de manera proactiva en la regulación de riesgos tecnológicos. La MAS es conocida por sus estrictos requisitos en el ámbito de la gestión de riesgos tecnológicos — los bancos deben cumplir con las Directrices de Gestión de Riesgos Tecnológicos regularmente actualizadas.

La advertencia actual continúa con esta práctica: en lugar de reaccionar ante incidentes después de que ocurran, el regulador exige medidas preventivas. De acuerdo con fuentes de Bloomberg, la MAS señala específicamente varias categorías de vulnerabilidades. La primera son sistemas de autenticación obsoletos, insuficientemente protegidos contra ataques que utilizan voces sintéticas y deepfakes, cuya calidad ha aumentado drásticamente en los últimos meses.

La segunda se refiere a debilidades en la protección del correo electrónico: los empleados bancarios se convierten cada vez más en víctimas de sofisticados esquemas de phishing que son prácticamente imposibles de detectar sin capacitación especial. La tercera se relaciona con los riesgos asociados al uso por parte de los propios bancos de herramientas de IA de terceros sin verificación de seguridad adecuada. La reacción de los reguladores asiáticos a Mythos ha resultado notablemente más fuerte que ante los lanzamientos anteriores de Anthropic.

Los analistas vinculan esto a varios factores. Tras una serie de incidentes de gran repercusión en 2025, cuando los defraudadores utilizaron con éxito modelos de lenguaje para atacar a clientes de bancos en Hong Kong y Corea del Sur, los reguladores de la región comenzaron a tomar mucho más en serio tales riesgos. Además, Singapur, como el mayor centro financiero del sudeste asiático, procesa un volumen significativo de transacciones transfronterizas, lo que hace que los bancos locales sean objetivos particularmente atractivos.

Es importante entender: esto no significa que Mythos en sí represente una amenaza directa o que Anthropic esté implicada en abusos. La MAS está respondiendo a un cambio fundamental en el panorama de amenazas — cualquier modelo de lenguaje poderoso que se vuelva ampliamente accesible inevitablemente expande las capacidades tanto de usuarios legítimos como de actores maliciosos. Si hace algunos años la realización de un ataque de phishing complejo requería un equipo de especialistas experimentados, hoy el acceso a una herramienta de IA de vanguardia es suficiente.

Los bancos que han recibido la directiva de la MAS estarán obligados a auditar sus sistemas de ciberseguridad e informar sobre las medidas adoptadas. Los analistas esperan que advertencias similares puedan ser emitidas pronto por la Autoridad Monetaria de Hong Kong (HKMA) y otros reguladores regionales. La pregunta ya no es si los reguladores financieros asiáticos adaptarán sus estándares a las realidades de la IA poderosa — sino qué tan rápido sucederá.