La banca europea persigue un mito de la ciberseguridad
I. Un nuevo modelo que desconcierta y atrae
El sector financiero europeo se encuentra desde hace semanas ante un dilema que la tecnología ha planteado con una crudeza inusual. Existe un nuevo modelo de inteligencia artificial, desarrollado por la empresa Anthropic bajo el nombre de Mythos, cuya capacidad para detectar y exponer vulnerabilidades de seguridad hasta ahora ocultas ha sembrado una mezcla de asombro y alarma en los departamentos de ciberseguridad de las grandes corporaciones. La herramienta, que rastrea brechas en infraestructuras críticas con una eficacia desconocida hasta la fecha, ha sido ofrecida inicialmente de manera restringida, bajo invitación y en un círculo muy selecto de empresas estadounidenses. La banca europea, que observa desde la distancia, confía en poder acceder a ella durante el verano, previo pago de una factura que nadie prevé modesta.
Lo que está en juego no es la adquisición de una herramienta informática más, sino la posibilidad de incorporar a los sistemas de defensa digital un instrumento que, por sus propias características, suscita tantas expectativas como recelos. Porque una capacidad de esta naturaleza, si cayera en manos inadecuadas, se transformaría en un recurso formidable para la extorsión, el saqueo y la desestabilización. La historia de la ciberseguridad enseña que las armas más poderosas no tardan en ser utilizadas por quienes no deberían poseerlas. Y Mythos, según quienes han podido probarla, es excepcionalmente poderosa.
II. La fase beta y el selecto club de acceso
Anthropic ha optado por una estrategia de contención. Lejos de lanzar el modelo al mercado con la urgencia comercial que cabría esperar, ha retrasado su disposición general para permitir que un grupo de aproximadamente cuarenta empresas tecnológicas y financieras accedan a él en una fase beta controlada. La iniciativa, bautizada como Proyecto Glasswing, ha invitado a gigantes como Amazon, Alphabet, Apple y JP Morgan, y algunas fuentes apuntan a que también han podido probarlo Goldman Sachs y Bank of America. El objetivo declarado es que estas entidades colaboren en la identificación y resolución de fragilidades en infraestructuras tecnológicas críticas antes de que el modelo quede expuesto a un mercado más amplio.
La cautela de Anthropic es comprensible, pero también revela la magnitud del desafío. Una empresa que desarrolla una inteligencia artificial capaz de destapar miles de brechas de seguridad desconocidas está, de hecho, creando un mapa de vulnerabilidades que, en poder de un actor hostil, equivaldría a las llaves de miles de cerraduras digitales. La decisión de limitar el acceso a un club restringido y sometido a condiciones estrictas no es solo una estrategia de negocio, sino también un intento de gestionar un riesgo que, de materializarse, podría tener consecuencias sistémicas.
III. La reacción de los supervisores estadounidenses
La irrupción de Mythos ha provocado una respuesta institucional que trasciende los círculos corporativos. El Tesoro de los Estados Unidos y la Reserva Federal convocaron una reunión urgente a puerta cerrada con los principales ejecutivos de algunos de los grandes bancos del país para analizar los riesgos que plantea el modelo y las posibles vías para abordarlos. El hecho de que dos de las instituciones más poderosas del sistema financiero mundial hayan sentido la necesidad de reunirse sin dilación para tratar este asunto concreto constituye un indicador elocuente de la seriedad con que se percibe la amenaza.
El temor de los supervisores no se dirige contra la herramienta en sí, sino contra su potencial difusión incontrolada. Una inteligencia artificial que detecta vulnerabilidades con una precisión desconocida puede ser utilizada por las propias entidades financieras para reforzar sus defensas, pero también puede ser empleada por organizaciones criminales o por potencias extranjeras para atacar esas mismas defensas con una eficacia multiplicada. La frontera entre el uso defensivo y el ofensivo es, en este ámbito, tan delgada como la que separa el cifrado legítimo del código malicioso.
IV. El despertar de los supervisores europeos
Las autoridades del Viejo Continente no han tardado en reaccionar. El Banco Central Europeo y la Comisión Europea han iniciado gestiones con Anthropic para agilizar el acceso al modelo por parte de las entidades financieras europeas. De forma paralela, el supervisor único ha convocado a los responsables de ciberseguridad de los grandes bancos europeos para conocer cómo están abordando las capacidades del nuevo modelo y, sobre todo, para evaluar el riesgo de que una filtración coloque la herramienta en manos inadecuadas.
La simultaneidad con que las autoridades supervisoras de ambos lados del Atlántico han reaccionado sugiere que Mythos no es percibido como un asunto meramente corporativo, sino como una cuestión de estabilidad financiera. Un ciberataque masivo que explotara vulnerabilidades hasta ahora desconocidas podría paralizar sistemas de pagos, comprometer datos de millones de clientes o erosionar la confianza en la integridad de las infraestructuras bancarias. La sola posibilidad de que una herramienta con estas capacidades se convierta en un arma ya justifica, a juicio de los supervisores, una intervención preventiva.
V. Las implicaciones jurídicas del acceso selectivo
El acceso limitado y bajo invitación que Anthropic ha establecido para Mythos plantea cuestiones jurídicas de envergadura. La primera afecta a la igualdad de condiciones competitivas entre las entidades financieras. Si solo unos pocos bancos pueden utilizar el modelo para blindar sus sistemas, quienes queden fuera se encontrarán en una situación de desventaja objetiva que podría traducirse en una mayor exposición a ciberataques y, por tanto, en un riesgo reputacional y patrimonial difícil de cuantificar. La segunda cuestión afecta a la responsabilidad de las entidades que, habiendo tenido acceso a la herramienta, detecten vulnerabilidades en infraestructuras compartidas —como los sistemas de liquidación o las plataformas de negociación— y no las comuniquen de inmediato a las autoridades competentes.
Hay que reseñar que la normativa europea sobre resiliencia operativa digital, en particular el Reglamento DORA, impone a las entidades financieras obligaciones de notificación de incidentes y de compartición de información sobre amenazas. Un banco que, gracias a Mythos, descubra una brecha en un sistema que utiliza junto con otras entidades no podrá escudarse en la confidencialidad del contrato con Anthropic para eludir su deber de comunicar el hallazgo. La tensión entre la protección del secreto empresarial y la preservación de la estabilidad financiera es evidente, y los supervisores deberán ofrecer criterios claros para resolverla antes de que se produzca el primer conflicto real.
VI. El riesgo de concentración y la dependencia tecnológica
La dependencia de un único modelo desarrollado por una sola empresa para tareas tan críticas como la detección de vulnerabilidades introduce un riesgo de concentración que los supervisores financieros conocen bien. Si todos los grandes bancos confían su ciberseguridad avanzada al mismo proveedor, cualquier fallo en el modelo, cualquier interrupción del servicio o cualquier alteración de las condiciones de acceso tendrá un impacto sistémico. La diversificación de proveedores, que es un principio consolidado en la gestión de riesgos financieros, se compadece mal con la existencia de una herramienta tan singular que nadie más parece estar en condiciones de ofrecer.
Asumo que los supervisores, tanto el BCE como la Comisión, tendrán presente este riesgo cuando definan el marco de acceso al modelo. La promoción de alternativas europeas de inteligencia artificial aplicada a la ciberseguridad no es una cuestión de orgullo industrial, sino de pura prudencia. Un continente que depende de un único suministrador externo para proteger sus infraestructuras críticas se encuentra en una situación de vulnerabilidad estratégica que el derecho, por sí solo, no puede resolver, pero que debe contribuir a mitigar mediante exigencias de diversificación y de autonomía progresiva.
VII. Reflexiones finales sobre la mitología de la seguridad absoluta
Mythos, como su propio nombre sugiere, encierra una paradoja que los juristas no deberían pasar por alto. La inteligencia artificial capaz de detectar todas las vulnerabilidades es, al mismo tiempo, la inteligencia artificial capaz de explotarlas todas. La seguridad que promete es, por su propia naturaleza, reversible. Y la confianza que depositen en ella las entidades financieras será siempre una confianza condicionada, porque dependerá de que la herramienta no sea replicada, sustraída o utilizada por quienes no deberían tener acceso a ella.
La banca europea persigue un mito, en el doble sentido del término: persigue a Mythos, el modelo de Anthropic, y persigue también el mito de una ciberseguridad definitiva, que cierre todas las brechas y conjure todos los peligros. El derecho no puede ofrecer esa seguridad absoluta, pero sí puede establecer las condiciones para que la búsqueda de protección no genere riesgos mayores que los que pretende evitar. La regulación de la inteligencia artificial, la supervisión financiera, la protección de datos y la defensa de la competencia convergen en este punto para recordar que la ciberseguridad no es solo un problema técnico, sino también un problema de normas, de controles y de límites. Las autoridades europeas se han movido con agilidad, y esa agilidad es un síntoma de madurez institucional. Ahora falta que el marco regulatorio que se diseñe para gobernar el acceso a este nuevo modelo esté a la altura del desafío que la propia tecnología ha planteado. Porque en ciberseguridad, como en tantas otras cosas, el mito más peligroso es creer que la solución ha llegado para quedarse.