La banca global se blinda ante Mythos, el modelo de IA que encontró miles de vulnerabilidades

Anthropic reveló que en las semanas previas al lanzamiento oficial, Mythos identificó miles de vulnerabilidades de día cero —fallas desconocidas incluso para los propios desarrolladores del software— en todos los grandes sistemas operativos y navegadores web, además de una serie de otras piezas críticas de infraestructura digital. Entre los hallazgos más llamativos figura una vulnerabilidad de 27 años de antigüedad en OpenBSD, un sistema operativo conocido precisamente por su reputación de seguridad, utilizado para administrar firewalls e infraestructuras críticas.

Lo que distingue a Mythos de herramientas anteriores no es solo la capacidad de encontrar fallas, sino la de explotarlas. El modelo puede desarrollar exploits funcionales con mínima intervención humana, automatizando un proceso que antes requería investigadores altamente especializados. Y lo hace encadenando vulnerabilidades menores. Varias fuentes señalaron que el modelo es excepcionalmente hábil para combinar pequeñas fallas en una debilidad grave, el tipo de ataque en cadena que los auditores humanos suelen pasar por alto.

Los números concretos son elocuentes. Mozilla informó que Mythos identificó 271 vulnerabilidades en una sola evaluación de Firefox. Para comparar, una colaboración previa con Anthropic usando Claude Opus 4.6 había producido correcciones para 22 fallas. Bobby Holley, director de tecnología de Firefox, afirmó que no existe una clase de vulnerabilidad que los humanos puedan detectar y el modelo no, describiéndolo como "igual de capaz" que los mejores investigadores de seguridad del mundo.

Project Glasswing: acceso controlado para construir defensas

Consciente del potencial destructivo del modelo, Anthropic decidió no lanzarlo al mercado abierto. En cambio, creó Project Glasswing, un programa que otorga acceso anticipado exclusivamente a socios seleccionados para que identifiquen vulnerabilidades y fortalezcan sus sistemas antes de que las amenazas puedan ser explotadas.

El programa convocó a empresas como Cisco, Broadcom, Google, CrowdStrike, Microsoft y Nvidia, entre otras, cuyos sistemas internos representan una porción muy significativa de la superficie de ataque digital compartida a nivel mundial. Anthropic se comprometió a publicar un informe dentro de los 90 días detallando qué fallas fueron encontradas y corregidas a través de la iniciativa.

En el sector bancario específicamente, JPMorgan Chase fue nombrado públicamente como socio fundador. Goldman Sachs, Citigroup, Bank of America y Morgan Stanley también tienen acceso, según fuentes de Reuters y ejecutivos de las compañías. Anthropic ofrece 100 millones de dólares en créditos para los participantes del programa.

El acceso, sin embargo, no es gratuito ni sencillo de aprovechar. Adam Meyers, responsable de operaciones contra adversarios en CrowdStrike, recordó que al recibir acceso a la herramienta, él y su equipo pasaron "un fin de semana entero tratando de entender cómo usarla correctamente antes siquiera de empezar a buscar fallas". El modelo exigía "toda una metodología y un conjunto de capacidades" para ser aprovechado de manera efectiva.

Reuniones de emergencia en Washington

La magnitud del fenómeno llegó rápidamente a las más altas esferas. El Secretario del Tesoro Scott Bessent y el presidente de la Reserva Federal Jerome Powell convocaron una reunión urgente con los CEO de los principales bancos del país para abordar los riesgos que Mythos y otros modelos de IA representan para el sistema financiero. El Departamento del Tesoro confirmó que planea continuar con reuniones similares entre reguladores e instituciones de manera periódica.

Anthropic, por su parte, mantuvo conversaciones con agencias federales clave. La compañía informó a altos funcionarios de la Agencia de Ciberseguridad e Infraestructura (CISA) y del Centro para Estándares e Innovación en IA (CAISI), y señaló que mantiene "discusiones continuas" con el gobierno estadounidense sobre las capacidades ofensivas y defensivas de Mythos.

Europa y el FMI reencuadran el riesgo

Al otro lado del Atlántico, los reguladores europeos actuaron con igual urgencia. Frank Elderson, miembro del consejo del Banco Central Europeo, instó a los bancos de la eurozona a prepararse para ciberataques potenciados por IA y advirtió que las instituciones no deben limitarse a las capacidades actuales de estos modelos, sino anticiparse a sistemas futuros que podrían volverse aún más agresivos.

François-Louis Michaud, director de la Autoridad Bancaria Europea, señaló que si bien los bancos europeos tienen resiliencia suficiente para enfrentar las crisis actuales, deben prepararse con celeridad para los nuevos riesgos de ciberseguridad derivados de la inteligencia artificial.

El FMI fue más lejos y reencuadró el problema como una amenaza a la estabilidad global. El organismo llamó a los reguladores a tratar modelos como Mythos como un riesgo sistémico para el sistema financiero, no como un problema operativo de firmas individuales. Tres fuerzas, señaló, impulsan ese cambio: la IA permite a los atacantes encontrar y explotar fallas a velocidad de máquina; los bancos operan sobre infraestructura compartida como software, servicios en la nube y redes de pagos; y los marcos regulatorios actuales no fueron diseñados para este escenario.

Una encuesta del FMI entre bancos centrales y autoridades supervisoras reveló que solo alrededor de la mitad de los países tiene una estrategia cibernética definida, y que los marcos de política de ciberseguridad siguen siendo especialmente insuficientes en mercados emergentes y economías en desarrollo.

Una brecha que se profundiza

Quizás el aspecto más preocupante del fenómeno es su naturaleza desigual. El costo de Mythos es cinco veces mayor que el del modelo más avanzado de Anthropic disponible públicamente, lo que limita su acceso a las instituciones más grandes. Los grandes bancos que escanean sus sistemas con la herramienta están transmitiendo sus hallazgos a instituciones más pequeñas que no pueden costearla, para ayudarlas a preparar sus propias defensas.

El CEO de Anthropic, Dario Amodei, reconoció esta semana que el riesgo es real pero no sorpresivo: "Hemos visto advertencias de esto por un tiempo", dijo. Lo que cambia con Mythos no es la naturaleza de la amenaza sino su escala y velocidad. Y esa aceleración, por ahora, favorece al ataque sobre la defensa.