El BCE pide a la banca planes de contingencia ante el nuevo modelo de IA de Anthropic
El supervisor y el sector temen por una tecnología que pondría de manifiesto las vulnerabilidades de sus sistemas y provocaría ciberataques
Toda Europa tiembla ante el terremoto que se siente desde Estados Unidos. Este seísmo comparte nombre con las historias que asentaron la civilización del Viejo Continente, en la antigua Grecia, si bien tiene aroma a Terminator. Es Mythos, el nuevo modelo de inteligencia artificial (IA) que desarrolla la multinacional estadounidense Anthropic, cuya destacadísima capacidad de detectar fallos en los softwares empresariales amenaza con poner a todo el sistema en jaque. Incluso a la sala de máquinas de la banca. Ante esta amenaza, el Banco Central Europeo (BCE) ha solicitado a las entidades de la zona euro que detallen sus planes de contingencia y las vulnerabilidades en ciberseguridad que detecten en sus sistemas, según indican fuentes internas de las entidades.
Anthropic cuenta con un arma que, si cae en las malas manos, tiene el potencial de destruirlo todo. Mythos es un modelo de IA que en un principio tenía un carácter generalista (como, por ejemplo, su popular Claude, el Chat GPT de OpenAI o el Copilot de Microsoft), pero por su gran capacidad de trabajar y aprender ha ganado una enorme capacidad de escrutar las vulnerabilidades de los software utilizados para actividades tan críticas como la defensa nacional, el suministro de energía o la ya totalmente digitalizada actividad bancaria. Por el momento, ha vuelto a poner a esta empresa totalmente en el mapa, después del conflicto con Trump que les cerró las puertas de los contratos con la administración en Estados Unidos.
El nuevo modelo aún no ha llegado a Europa, y ni los bancos ni otras grandes empresas han tenido aún acceso. Pero quieren estar preparados. El BCE convocó hace dos semanas a los responsables de riesgos de los principales bancos de la Eurozona, entre los que destacan los cuatro españoles considerados como entidades significativas (Santander, BBVA, CaixaBank y Sabadell), tal y como desveló Bloomberg. En la cita, según ha podido saber este periódico de fuentes internas de los bancos, el supervisor europeo les ha solicitado que detallen sus planes de contingencia en ciberseguridad y detección de vulnerabilidades en sus sistemas, para afrontar la irrupción de Mythos.
“Las empresas y los ciberdelincuentes han trabajado desde hace muchos años con screeners de vulnerabilidades [programas para escrutar los fallos de los software]. La diferencia ahora es la enorme capacidad de explotar esas vulnerabilidades", explica Miguel Ángel Thomas, jefe de ciberseguridad de NTT DATA, una consultora que trabaja con las grandes empresas como asesor en asuntos de tecnología.
Esto es lo que la propia Anthropic ha denominado como búsqueda de vulnerabilidades “de día cero”. Es decir, desconocidas previamente para los desarrolladores de software y ocultas a las pruebas de ciberseguridad durante años, con cero días para solventarlas, y que pueden ser una mina de oro para los piratas informáticos. La propia empresa ha avisado de que su sistema tiene la capacidad de suponer un problema de defensa nacional.
Este sistema puede suponer también una gran mejora para que empresas y bancos se blinden muy efectivamente ante posibles ataques cibernéticos. Pero, si el modelo cae en malas manos, como las de hackers o Gobiernos abiertamente enfrentados a Occidente, también puede dejar al descubierto tantos y tan profundos fallos en ciberseguridad que tumben grandes corporaciones. Podría provocar, por ejemplo en el caso de los bancos, robos masivos de datos o que se evapore en un segundo el dinero de los clientes. Por ello, la compañía ha elegido a un exclusivo grupo de empresas estadounidenses (entre las que destacan Amazon, Apple, Alphabet o JP Morgan) para que prueben, con cuentagotas, la nueva funcionalidad.
“El desarrollo que hemos visto con Anthropic y Mythos es un buen ejemplo de una empresa responsable que de repente piensa: ‘Esto podría ser realmente bueno, pero si cae en las manos equivocadas, podría ser realmente malo“, admitió la propia presidenta del BCE, Christine Lagarde, en una entrevista con Bloomberg. Un portavoz del supervisor ha declinado hacer comentarios a este artículo.
El BCE ha seguido también aquí la postura de la Casa Blanca. El secretario del Tesoro, Scott Bessent, ha mantenido diversas reuniones con el sector financiero estadounidense para abordar las consecuencias del nuevo sistema y la amenaza de que derive en grandes oleadas de ciberataques. La diferencia es que grandes bancos estadounidenses como JPMorgan y Goldman Sachs ya han tenido acceso al modelo y pueden tener una imagen más clara de sus efectos. Los bancos europeos esperan tener acceso a la herramienta pronto, como ha reclamado recientemente Lagarde, y la propia Anthopic ha anunciado que lo abrirá a empresas británicas de manera inminente.
Más allá del asunto con Mythos, la IA es uno de los focos clave para el BCE. Así lo ha situado en la lista de prioridades en la supervisión para los próximos años y será un elemento clave en su proceso anual de inspección bancaria (el conocido como SREP).
Esta preocupación se extiende también al supervisor financiero nacional, el Banco de España. La institución que pilota José Luis Escrivá ya reclamó información a las entidades españolas sobre sus planes de adopción de esta tecnología, en tanto en cuanto el Anteproyecto de Ley para el buen uso y la gobernanza de la inteligencia artificial designa al Banco de España y a la Comisión Nacional del Mercado de Valores (CNMV) como los supervisores encargados de vigilar el mercado. Para el supervisor bancario, su principal preocupación es evitar que esta tecnología tome decisiones clave, determine la asunción de riesgos, la concesión de crédito o opere en los bancos sin la debida supervisión humana.
Es posible que el BCE, la Casa Blanca y la propia Anthropic consigan salirse con la suya, de modo que Mythos quede lejos de las manos de sus enemigos. Pero, según apunta Thomas, es solo cuestión de tiempo que otras compañías, China o Rusia desarrollen modelos con una potencia de fuego similar, teniendo en cuenta el rápido desarrollo de la IA en todos los flancos. Y por ello es quizás la hora de dar un giro copernicano a la ciberseguridad en las empresas.
Esto va a provocar, según asegura el experto, que grandes empresas como los bancos se vean obligadas a disparar sus inversiones en luchar contra el cibercrimen, con la necesidad de actuar mucho más rápido que hasta ahora. Y va a hacer ganadoras a aquellas entidades más grandes y con más capacidad inversora, mientras hará sufrir a las de tamaño mediano.
