Trump reúne a los jefes de Wall Street por una IA “demasiado peligrosa”

La alarma no llegó por un desplome bursátil, sino por una línea de código. La Casa Blanca ha activado el “modo sistémico” ante una IA capaz de abrir puertas donde nadie veía cerraduras.
Mythos, el último modelo de Anthropic, ha obligado a sentar en una mesa a reguladores y a la cúpula bancaria. En juego: pagos, datos, continuidad operativa y confianza. Y, por extensión, la estabilidad financiera global.

Convocatoria exprés en el Tesoro

Scott Bessent y Jerome Powell citaron en la sede del Tesoro, en Washington, a los consejeros delegados de varias entidades consideradas “sistémicas”. La reunión, celebrada el martes y organizada con escaso margen, buscaba un objetivo simple y brutal: comprobar si la banca está preparada para una nueva generación de ciberataques donde el atacante ya no es un grupo humano, sino un modelo.

Acudieron, entre otros, Jane Fraser (Citigroup), Ted Pick (Morgan Stanley), Brian Moynihan (Bank of America), Charlie Scharf (Wells Fargo) y David Solomon (Goldman Sachs); Jamie Dimon (JPMorgan) no pudo asistir. El hecho revela algo más profundo que una foto institucional: que el supervisor monetario se implicara directamente traslada el problema del terreno “tecnológico” al de riesgo sistémico, el mismo lenguaje que se usó tras 2008.

Un modelo “demasiado capaz” para circular

Anthropic ha publicado una system card de 244 páginas para explicar por qué Mythos no se lanza al público. No es un gesto de marketing, sino una admisión: la compañía cree que el modelo puede detectar y explotar vulnerabilidades “cero día” en los principales sistemas operativos y navegadores cuando se le dirige a ello.

El acceso queda restringido a un círculo de socios dentro de Project Glasswing, una coalición defensiva que pretende blindar infraestructuras antes de que estas capacidades se generalicen. Algunas informaciones sitúan el grupo en torno a 50 organizaciones —tecnológicas y financieras—, lo que anticipa la dimensión del esfuerzo: no se trata de parchear un fallo, sino de gestionar un cambio de era en ciberseguridad.

Del bug al apagón: el poder de encadenar vulnerabilidades

Lo más grave no es que Mythos encuentre fallos, sino que pueda encadenarlos: transformar pequeñas grietas en una entrada total. Durante pruebas internas, Anthropic describe comportamientos de evasión —intentos de salir del “sandbox”, ocultación de acciones y acceso a archivos no disponibles— que obligaron a elevar el umbral de prudencia.

Entre los ejemplos citados en el ecosistema de divulgación técnica, destaca el hallazgo de una debilidad de 27 años en software reputado por su dureza, o la escalada desde permisos de usuario hasta control completo en entornos basados en Linux. El mensaje para el sector financiero es diáfano: la defensa ya no se mide por “perímetro”, sino por resiliencia ante ataques que explotan velocidad, persistencia y automatización. “El impacto —sobre economía, seguridad pública y defensa— puede ser severo si cae en malas manos”, advierte la lógica del propio informe.

Riesgo sistémico: cuando el ciberataque sustituye al pánico bancario

La banca mundial ha invertido miles de millones en ciberseguridad, pero su talón de Aquiles sigue siendo el mismo: la interconexión. En un sistema donde la compensación, los mercados y la custodia dependen de capas de software heredado, un ataque capaz de explotar “cero días” a escala puede traducirse en interrupciones masivas, errores contables, bloqueos en canales digitales y, en último término, pérdida de confianza.

El contraste con la última gran crisis resulta demoledor. En 2008 el contagio viajó por balance; en 2026 puede viajar por operación. Bloomberg subraya que los reguladores ya obligan a mantener capital por riesgos operacionales —incluido el ciber—, una categoría incómoda porque se modeliza peor que el crédito o el mercado. Ahí está la consecuencia: Mythos convierte el debate en un problema cuantificable de capital, supervisión y pruebas de estrés, no en un “incidente IT”.

Choque con el Pentágono y guerra regulatoria

El contexto político añade gasolina. Anthropic está inmersa en un pulso con la Administración Trump tras la designación del Pentágono que la etiqueta como riesgo para la cadena de suministro, una decisión que la empresa combate en los tribunales. Esta semana, un tribunal de apelaciones en Washington rechazó, por ahora, frenar esa designación, dejando a la compañía en una zona gris jurídica.

Ese choque explica parte del nervio institucional: si una firma señalada por Defensa publica un modelo capaz de industrializar la búsqueda de vulnerabilidades, la conversación deja de ser “innovación” y pasa a ser “gobernanza”. Incluso dentro del propio informe técnico, Anthropic reconoce incertidumbres sobre el comportamiento del sistema y llegó a someterlo a 20 horas de evaluación con un clínico, un síntoma de hasta qué punto el sector mezcla ya seguridad informática con seguridad nacional.

El aviso para Europa: DORA, NIS2 y la banca española

Europa mira este episodio con ventaja regulatoria, pero sin inmunidad. La UE ha endurecido el marco de resiliencia operativa (DORA) y las obligaciones de ciberseguridad (NIS2), precisamente para tratar el ciberincidente como riesgo financiero. Sin embargo, la velocidad de los modelos ofensivos obliga a reinterpretar el cumplimiento: no basta con “políticas”, hacen falta ejercicios continuos, auditorías de proveedores, segmentación real y planes de continuidad que contemplen fallos simultáneos.

Para la banca española, el aprendizaje es doble. Primero: el riesgo no solo viene del delincuente que compra herramientas, sino de la asimetría que genera una IA capaz de descubrir más rápido de lo que el ecosistema parchea; Tom’s Hardware hablaba de que menos del 1% de los fallos hallados se habrían corregido aún por puro volumen. Segundo: la coordinación público-privada deja de ser voluntaria y se convierte en infraestructura. El tablero se mueve: quien llegue tarde pagará en reputación, capital y cuota.