






















El Banco de España introduce en el último Informe de Estabilidad Financiera un nuevo término en el radar de riesgos sistémicos: Mythos. Por primera vez, dedica un análisis específico a esta tecnología, advirtiendo de que su capacidad para identificar y encadenar vulnerabilidades informáticas no es solo un avance técnico, sino una amenaza potencial para la estabilidad del sistema financiero global.
Se suma así a una larga lista de reguladores, banqueros centrales y ejecutivos corporativos, que buscan comprender mejor el alcance de esta nueva herramienta en sus propias barreras de seguridad.
El modelo de inteligencia artificial desarrollado por Anthropic ha demostrado una capacidad inédita para identificar vulnerabilidades de día cero, incluso fallos de seguridad con años de antigüedad. Pero, el problema no es solo lo que encuentra, sino cómo lo hace. Porque este modelo es capaz de identificar y explotar fallos de forma completamente autónoma y sin intervención humana más allá de una instrucción inicial. Y, si detecta la grieta, también sabe cómo abrirla. El modelo puede "encadenar" estos fallos para construir ataques complejos, reduciendo drásticamente el tiempo que pasa desde que se descubre un error hasta que un actor malicioso puede usarlo para comprometer servicios críticos. Para el Banco de España, este salto cualitativo obliga a revisar de inmediato las estrategias de ciberseguridad actuales.
Precisamente, esa amenaza es lo que realmente inquieta al supervisor. La capacidad del modelo para "encadenar vulnerabilidades".
La banca española y europea depende de un número muy reducido de proveedores críticos de software y hardware. Por lo que un ataque exitoso a elementos del sistema de pagos podría llegar a impedir o dificultar las transacciones económicas durante periodos prolongados. Al concentrarse el riesgo en unos pocos nodos tecnológicos, lo que antes era un incidente operativo local ahora adquiere una dimensión sistémica que preocupa, y mucho, a las autoridades de supervisión.
Si Mythos logra explotar un fallo en una tecnología compartida, podríamos ver "olas sincronizadas y extensas de ciberataques" resume la institución gobernada por José Luís Escrivá.
Sin caer en el alarmismo, pero sí en la urgencia, el organismo de supervisión recuerda que “la experiencia demuestra que los avances tecnológicos tienden a difundirse con rapidez”. En otras palabras, aunque en la actualidad no se perciba un riesgo inminente de impacto sistémico sobre la banca europea, el supervisor advierte de que no conviene caer en la complacencia en materia de ciberriesgos.
El tiempo, en cualquier caso, juega en contra. Como señalan los reguladores, “se abre una ventana limitada para la preparación frente a los ciberriesgos”, durante la cual resulta clave reforzar las capacidades técnicas, mejorar la coordinación entre entidades, supervisores y proveedores tecnológicos, e invertir en talento especializado.
“Se abre una ventana limitada para la preparación frente a los ciberriesgos"
La idea del proyecto Glasswing es noble sobre el papel: dejar que los potenciales defensores conozcan la herramienta antes de que llegue a manos de todo el mundo. El problema, como señala el Banco de España, es que el club es pequeño, americano y privado: un puñado selecto de empresas estadounidenses del sector tecnológico, financiero y de ciberseguridad. Europa, de momento, mira desde fuera.
Para el supervisor español, esta exclusividad es un riesgo en sí mismo. El informe plantea como necesario el acceso de las autoridades y empresas europeas a Glasswing o a iniciativas similares en otros países. La lógica del supervisor es puramente sistémica: en una economía interconectada, si las vulnerabilidades no se mitigan en todas las partes de la red global, un ataque en un punto débil acabará contagiando a todo el sistema.
Al mismo tiempo, no elude la responsabilidad propia del sector al indicar que frente a estas amenazas, debería aplicar la IA avanzada para la defensa y el recorte radical de los plazos de ataque para limitar los riesgos. "El desafío no es crear nuevos regímenes, sino actualizar supuestos, escenarios y prácticas, reforzando pruebas, planes de respuesta y mecanismos que permitan decisiones ágiles en contextos de elevada incertidumbre" concluye.
此内容由惯性聚合(RSS阅读器)自动聚合整理,仅供阅读参考。 原文来自 — 版权归原作者所有。