Banco de Inglaterra convoca a bancos británicos para sesión informativa sobre riesgos cibernéticos del modelo Mythos de Anthropic

El 16 de abril, el Banco de Inglaterra elevó Claude Mythos Preview al nivel de riesgo sistémico para todo el sector financiero. Los reguladores están preparando un briefing separado para los mayores bancos, aseguradoras y bolsas tras declaraciones de que el nuevo modelo de Anthropic es capaz de encontrar y explotar autónomamente vulnerabilidades en software crítico — desde sistemas operativos hasta navegadores. Se trata de reuniones dentro del Cross Market Operational Resilience Group (CMORG) — una plataforma que coordina la resiliencia de la infraestructura financiera británica.

Sus participantes incluyen líderes de ocho de los mayores bancos del país, representantes de cuatro operadores de infraestructura, dos grupos aseguradores, así como autoridades del Ministerio de Hacienda, Banco de Inglaterra, FCA y Centro Nacional de Ciberseguridad. El simple hecho de que el tema se eleve a este nivel demuestra que el problema se está tratando no como otra noticia de TI, sino como una cuestión de estabilidad de pagos, plataformas de negociación y servicios críticos. El catalizador es Claude Mythos Preview — un modelo de Anthropic aún no lanzado públicamente, cuyo acceso la empresa otorga solo a un círculo limitado de socios.

Según Anthropic, el modelo ya ha ayudado a identificar miles de vulnerabilidades previamente desconocidas de alta severidad, incluyendo bugs en cada sistema operativo importante y cada navegador importante. La empresa también afirma que el modelo no solo puede encontrar puntos débiles, sino también construir cadenas de explotación con participación humana mínima. Un ejemplo es el descubrimiento de un método mediante el cual un sitio web malicioso podría obtener acceso a datos de otro sitio, incluyendo datos bancarios.

Los reguladores están particularmente preocupados de que no se trata de una demostración de laboratorio. Anthropic explicó directamente que no está lanzando Mythos Preview al acceso amplio precisamente por sus capacidades cibernéticas. Entre los ejemplos divulgados está una vulnerabilidad de 27 años en OpenBSD, así como otros bugs que expertos y pruebas automatizadas no detectaron durante años.

Para los bancos, esto es particularmente sensible: una porción significativa de la industria aún depende de un stack legado complejo y heterogéneo, donde incluso una sola nueva técnica de búsqueda de exploits podría reducir drásticamente el tiempo entre descubrimiento de vulnerabilidad y ataque real. La seriedad de la situación se subraya por la reacción internacional. Antes de estas reuniones británicas, ya había habido discusiones de emergencia en EE.

UU. y Canadá. En Washington, el tema fue planteado por el Tesoro de EE.

UU. y el Sistema de Reserva Federal junto con líderes de los mayores bancos sistémicamente importantes. Para los reguladores, esto es una señal de que los modelos frontera están comenzando a afectar no solo la productividad de los desarrolladores, sino también el perfil de riesgos sistémicos: si tales herramientas caen en manos de actores maliciosos o simplemente superan la preparación de los equipos defensivos, serán precisamente los nodos más críticos — pagos, compensación, infraestructura de negociación y servicios web bancarios — los que se vuelvan más vulnerables.

En paralelo, Anthropic lanzó Project Glasswing — un programa de acceso controlado temprano para equipos defensivos. Los socios nombrados incluyen AWS, Apple, Google, Microsoft, Nvidia, Cisco y JPMorgan Chase. La empresa promete hasta 100 millones de dólares en créditos para uso de Mythos y otros 4 millones de dólares en donaciones a organizaciones que trabajan en seguridad de código abierto.

La lógica es directa: dar a los defensores una ventaja inicial para que encuentren y parchen vulnerabilidades antes de que capacidades similares se generalicen entre competidores o se filtren al ecosistema atacante. La conclusión principal para el sector financiero es que el riesgo de IA ha dejado de ser un tema abstracto sobre el futuro. Si las afirmaciones de Anthropic se confirman, aunque sea parcialmente, en la práctica real, los bancos tendrán que acelerar la catalogación de vulnerabilidades, revisar procesos de parching y aprender a usar modelos similares para defensa.

De lo contrario, por primera vez, la ventaja en velocidad y escala podría pasar no a los equipos de seguridad, sino a quienes automatizan ataques.