Gobernador del Banco de Inglaterra exhorta a evaluar urgentemente los riesgos cibernéticos para bancos del modelo IA Mythos de Anthropic

Andrew Bailey, gobernador del Banco de Inglaterra, ha pedido a los reguladores globales que evalúen rápidamente la amenaza que el modelo de IA Mythos de Anthropic podría representar para los bancos. Esta declaración en sí es importante no solo por la mención de una empresa o modelo específico. Señala que la discusión sobre inteligencia artificial en el sector financiero se está desplazando de cuestiones de eficiencia y automatización hacia preocupaciones sobre resiliencia cibernética y riesgo sistémico.

Para los bancos centrales y autoridades supervisoras, el enfoque ahora no es solo en el potencial de la IA, sino en qué tan rápidamente podría cambiar el perfil de amenazas para las mayores organizaciones financieras. Bailey dirige uno de los principales bancos centrales del mundo, y sus advertencias públicas se interpretan típicamente como una señal para la comunidad reguladora más amplia. Cuando se trata de riesgo cibernético, las preocupaciones no son sobre abstractas "sublevaciones de máquinas" sino sobre escenarios más concretos: aceleración de ataques de phishing, automatización de reconocimiento de vulnerabilidades, generación de código malicioso, evasión de procedimientos internos y reducción de costos para ataques sofisticados por actores maliciosos.

Los bancos son particularmente sensibles a tales cambios porque simultáneamente gestionan dinero, infraestructura crítica de pagos y enormes volúmenes de datos confidenciales. Significativamente, Bailey está hablando específicamente de una respuesta reguladora global. Los grandes bancos operan en múltiples jurisdicciones, dependen de servicios en la nube internacionales, están conectados a canales de pago compartidos y utilizan largas cadenas de proveedores externos de tecnología.

Si un poderoso sistema de IA reduce la barrera de entrada para ciberataques o acelera la preparación de operaciones complejas, el problema no permanece localizado. Un eslabón débil en un país o con un contratista puede convertirse rápidamente en un problema para los flujos financieros transfronterizos. Por eso la idea de una evaluación rápida suena como un llamado a la coordinación, no simplemente otro informe interno.

La mención de Mythos también es reveladora. Los reguladores a menudo discuten la IA como una clase de tecnologías pero raramente señalan públicamente un modelo específico que requiera evaluación urgente de riesgos. Esto indica que el enfoque se está desplazando gradualmente de principios generales al análisis práctico de las capacidades de un producto: qué tan autónomamente puede ejecutar cadenas de acciones, qué tan bien maneja tareas técnicas, si puede usar herramientas externas, cómo escala el posible abuso y qué tan rápido mejoran sus capacidades de versión a versión.

Tal enfoque no equivale a acusar al desarrollador de crear una herramienta peligrosa. Más bien, refleja el reconocimiento de que las capacidades del modelo en sí se están convirtiendo en un asunto de supervisión financiera. Para los bancos, tales señales significan que la higiene cibernética formal por sí sola ya no es suficiente.

Probablemente tendrán que reevaluar los controles de acceso, los procesos para que los empleados usen servicios de IA externos, la verificación de contratistas, las pruebas de escenarios de fraude, la protección de repositorios internos de código y la calidad de la supervisión de actividades inusuales. Al mismo tiempo, la IA complica el panorama porque las mismas tecnologías pueden fortalecer simultáneamente tanto la defensa como el ataque. Los sistemas que ayudan a los analistas a detectar rápidamente anomalías y automatizar investigaciones podrían potencialmente acelerar también la preparación de ataques más precisos y a gran escala.

Debido a esto, el viejo modelo de auditorías infrecuentes y actualización lenta de requisitos parece cada vez más insuficiente. La declaración de Bailey puede leerse como un marcador temprano de una nueva fase de regulación: la IA en finanzas ahora se considera no solo a través de la lente de la innovación, sino también a través de la lente de la resiliencia operativa. Si los reguladores globales realmente aceleran tal evaluación, los bancos probablemente enfrentarán requisitos más estrictos para pruebas, divulgación y gestión de dependencias tecnológicas externas.

Si no, la ventaja en velocidad podría estar del lado de los atacantes. La pregunta central aquí no es si el sector financiero necesita IA, sino si las normas y medidas de protección pueden mantenerse al ritmo del desarrollo de los modelos mismos.