Anthropic alerta al FSB: Mythos revela miles de fallos críticos

Miles de brechas de alta severidad en sistemas operativos y navegadores. Anthropic las expondrá ante el Financial Stability Board a petición de Andrew Bailey. El miedo no es técnico: es financiero. Que un ataque “autónomo” convierta horas en pérdidas sistémicas.

Un briefing en la sala donde se decide la estabilidad

Que una empresa privada de IA se siente a explicar fallos de ciberseguridad ante ministros de Finanzas y banqueros centrales no es un gesto de cortesía: es un síntoma. Según Financial Times, Anthropic presentará a representantes del FSB —el paraguas coordinador del G20 en estabilidad financiera— un diagnóstico de vulnerabilidades detectadas por Claude Mythos Preview, en una reunión solicitada por Andrew Bailey, gobernador del Banco de Inglaterra y presidente del organismo.

El detalle más revelador no es la agenda, sino el destinatario. Cuando el FSB pregunta, la preocupación ya no es “riesgo operativo”; es riesgo de contagio. Y el sector financiero llega con una desventaja estructural: décadas de legado tecnológico, subcontratas en cascada y dependencia de proveedores globales. En ese cóctel, una herramienta capaz de acelerar el descubrimiento de fallos cambia el equilibrio entre atacante y defensor.

Mythos y la industrialización del «zero-day»

Anthropic sostiene que Mythos es capaz de identificar y explotar vulnerabilidades de día cero en “cada gran sistema operativo” y “cada gran navegador” cuando se le orienta a ello. En términos prácticos, equivale a automatizar la parte más cara —y escasa— del cibercrimen: convertir una debilidad oculta en una vía de entrada fiable.

Financial Times añade un dato clave para entender el nerviosismo regulatorio: el modelo estaría disponible solo para un grupo reducido —alrededor de 40 organizaciones—, entre ellas grandes tecnológicas y entidades financieras. Ese filtro pretende contener el riesgo, pero abre otro: asimetría. Si pocos pueden usar el “radar” para encontrar agujeros (o protegerse antes), el resto juega a ciegas.

Los números que anticipan el golpe macrofinanciero

El FMI lleva tiempo avisando de que el ciber riesgo ya tiene dimensión de estabilidad. En su informe de estabilidad financiera global, señala que los ciberataques casi se han duplicado respecto a antes de la pandemia y que, aunque la pérdida directa típica ronda 0,5 millones de dólares, el riesgo de eventos extremos ha aumentado, con impactos potenciales de 2.500 millones o más. Además, casi una quinta parte de los incidentes reportados afecta a firmas financieras.

En paralelo, la economía del incidente se ha normalizado: el coste medio global de una brecha de datos fue de 4,44 millones de dólares en 2025, según el informe de IBM/Ponemon. Lo más grave es la dirección del cambio: si la IA recorta semanas de reconocimiento y encadena fallos en cadena, el “tiempo de reacción” deja de ser un KPI y pasa a ser una línea roja.

Del fallo invisible a la corrida digital

La historia ya ofrece precedentes, pero con un matiz: antes, el atacante necesitaba tiempo y artesanía. En el robo al banco central de Bangladés, los delincuentes usaron el sistema SWIFT para intentar mover casi 1.000 millones; acabaron llevándose 81 millones en horas. Hoy, la diferencia es la escala: no hace falta un “golpe maestro” si se pueden lanzar cientos de intrusiones plausibles buscando el eslabón débil —un proveedor, un plugin, una API— hasta que una cae.

En Anthropic resumen el peligro con una advertencia que ya suena a lenguaje de estabilidad: el impacto para economías, seguridad pública y seguridad nacional puede ser severo si estas brechas se encadenan antes de que el parche llegue a producción.
La consecuencia es clara: el riesgo deja de ser “robo” y pasa a ser interrupción. Pagos que no compensan, mercados que operan a medio gas, dudas sobre la integridad de datos. Y, en finanzas, la duda es contagiosa.

Regulación a contrarreloj: FIRE, DORA y el mismo cuello de botella

El FSB lleva meses intentando estandarizar lo básico: qué se reporta, cuándo y con qué formato. Su marco FIRE busca homogeneizar el intercambio de información sobre incidentes operativos, incluidos los ciberincidentes, para evitar el mosaico de notificaciones que hoy ahoga a los grandes grupos. Sin embargo, el mecanismo depende de una realidad incómoda: reportar rápido exige detectar antes, y detectar antes exige inversión y disciplina.

En Europa, DORA ha elevado el listón sobre resiliencia digital, control de terceros y pruebas de estrés. La amenaza de sanciones —incluidas multas relevantes en caso de incumplimiento— pretende corregir el incentivo clásico de la banca: retrasar el gasto “no visible” hasta que hay un desastre. El problema es que Mythos introduce un enemigo nuevo: no el hacker brillante, sino el hacker barato y rápido.

Dependencia de terceros y concentración: el talón de Aquiles

El propio FSB ha señalado que, al monitorizar la adopción de IA, una de las vulnerabilidades críticas es la dependencia de terceros y la concentración de servicios. Bancos y mercados no solo comparten infraestructuras cloud; comparten proveedores de ciberseguridad, librerías, herramientas de desarrollo y, cada vez más, modelos de IA. El contraste con la narrativa de “competencia” es demoledor: por debajo, el sistema se parece a una autopista con pocos peajes y muchas salidas.

La otra derivada es geopolítica: si un puñado de actores controla el acceso a herramientas capaces de descubrir fallos masivos, la ciberseguridad se convierte en ventaja comparativa. Financial Times apunta precisamente esa inquietud en los reguladores fuera de EE. UU.: quién tiene el mapa y quién llega tarde. En ese escenario, el briefing no es un evento. Es el primer aviso de que la estabilidad financiera también se juega en el repositorio de código.