Hay momentos en que una tecnología irrumpe con tal violencia que obliga a reescribir los manuales. El mundo financiero vivió uno de esos momentos a principios de este mes de abril, cuando Anthropic, la empresa californiana de inteligencia artificial (IA), presentó Mythos: un modelo cuyas capacidades ofensivas en materia de ciberseguridad no tienen precedente.
Desde entonces, los ministros de finanzas, gobernadores de bancos centrales y reguladores de los cinco continentes no han podido hablar de otra cosa. La pregunta ya no es si Mythos cambiará el paisaje financiero global. La pregunta es cuánto daño puede causar antes de que el sistema se adapte a esta nueva situación.
Una máquina que encuentra lo que los humanos no pudieron
Para entender por qué Mythos genera tanta alarma hay que entender qué es, en concreto, lo que hace. Según la documentación técnica de alrededor de 245 páginas que Anthropic publicó junto con el anuncio del modelo, ésta opera como un ingeniero de software “senior” con capacidad de detectar errores sutiles, corregir sus propias fallas y actuar de forma autónoma durante horas, sin intervención humana.
En pruebas internas, el modelo identificó miles de vulnerabilidades de gravedad en todos los sistemas operativos y navegadores de uso masivo, incluyendo fallas conocidas como “zero-day”: defectos existentes desde el lanzamiento del software analizado, que habían sobrevivido décadas de escrutinio humano y automatizado sin ser detectados (y que por tanto tenían “cero días” para repararse). El 99 por ciento de esas vulnerabilidades no habían sido parchadas al momento de la divulgación que hizo Anthropic.
La evaluación independiente hecha por el Instituto de Seguridad de IA del Reino Unido añadió un dato que congeló la sangre de los analistas: en condiciones de prueba, Mythos completó con éxito el 73 por ciento de las tareas de hackeo a nivel experto que le fueron asignadas. Hace apenas un año, ningún modelo de IA era capaz de completar esas mismas tareas en absoluto. El salto cualitativo es brutal.
Lo que hace aún más inquietante esta capacidad de hackeo es su velocidad. En una simulación de ataque corporativo de 32 pasos —el tipo de intrusión que a un equipo de élite de hackers humanos le tomaría días ejecutar— Mythos operó sin intervención humana alguna. La automatización de ataques complejos, a escala y en tiempo real, es exactamente el escenario que los equipos de ciberseguridad financiera llevan años temiendo.
Para entender el salto que representa Mythos, vale la pena considerar una analogía. Durante años, la IA en materia de ciberseguridad fue como el cerrajero ladrón de las películas: una herramienta especializada que forzaba cerraduras, abría puertas que debían permanecer cerradas —y hasta ahí.
Era peligrosa, sí, pero acotada. Mythos es otra cosa. No es el cerrajero: es el cerebro detrás del golpe. Identifica el edificio, mapea sus puntos ciegos, recluta a los cómplices necesarios, diseña la ruta de escape y coordina la operación de principio a fin, sin que ningún humano tenga que dar una sola instrucción. El robo ya no requiere una pandilla; requiere un prompt.
El sistema financiero, el blanco más jugoso
¿Por qué el sector financiero y no otro? La respuesta está en su arquitectura. Los bancos modernos no operan sobre infraestructura propia: dependen en altísima medida de un puñado de proveedores de servicios “en la nube”, altamente concentrados.
Esta consolidación, que en teoría aporta eficiencia, crea un riesgo sistémico devastador: si un atacante con capacidades como las de Mythos logra colarse en los sistemas de uno solo de esos proveedores, el daño puede propagarse de manera simultánea a decenas o centenares de instituciones financieras. No se trata de un robo bancario. Se trata de una posible parálisis del sistema de pagos global.
Fue precisamente este escenario el que llevó al Secretario del Tesoro de Estados Unidos, Scott Bessent, y al entonces presidente de la Reserva Federal, Jerome Powell, a convocar con urgencia a los directores ejecutivos de los bancos más grandes de ese país. En reunión a puerta cerrada, el tema central fue lo que los documentos internos llaman “capacidades cibernéticas ofensivas” de Mythos.
El CEO de Goldman Sachs, David Solomon, confirmó públicamente que su institución ya tenía acceso al modelo y lo estaba utilizando con fines defensivos. “Somos hiper-conscientes de las capacidades mejoradas de estos nuevos modelos”, declaró a sus analistas. El nivel de alarma en Wall Street parece ser inédito.
En Washington, los ministros de finanzas y gobernadores de bancos centrales presentes en las Reuniones de Primavera del Fondo Monetario Internacional convirtieron a Mythos en el tema no-oficial de la agenda. El Ministro de Finanzas de Canadá, François-Philippe Champagne, lo dijo sin rodeos en una entrevista con la BBC: “El problema al que nos enfrentamos con Anthropic es el de lo 'desconocido desconocido' (an unknown unknown).
Requiere un nivel de atención y salvaguardas que no habíamos visto desde el inicio de la era nuclear para garantizar la resiliencia de nuestro sistema financiero”. La comparación nuclear no es retórica vacía: es el termómetro del pánico institucional.
La estrategia del acceso controlado: ¿solución o privilegio?
Anthropic no lanzó Mythos al mercado en general. En lugar de ello, diseñó un protocolo denominado “Project Glasswing” que restringe el acceso del modelo a aproximadamente 40 organizaciones seleccionadas, entre ellas JPMorgan Chase, Apple y Microsoft.
La lógica es comprensible: permitir que estas instituciones usen Mythos de forma defensiva —es decir, para encontrar y corregir sus propias vulnerabilidades antes de que actores maliciosos desarrollen herramientas similares—, con lo que se pretende reducir la ventana de exposición global.
Sin embargo, este enfoque ha generado una controversia de fondo. Rob Thomas, vicepresidente senior de IBM, criticó abiertamente la decisión de Anthropic en un comunicado fechado el 9 de abril: “En el caso de la IA como infraestructura esencial, la seguridad mejora más frecuentemente a través del escrutinio que mediante la ocultación”.
El argumento es sólido. Un modelo con capacidades ofensivas que solo está disponible para un club selecto de actores privilegiados no democratiza la defensa: la concentra. Los bancos y gobiernos que quedan fuera del círculo del “Project Glasswing” tienen que permanecer a la espera mientras sus vulnerabilidades —que Mythos ya conoce— se mantienen expuestas.
El presidente del banco central alemán, Joachim Nagel, fue más directo: hizo un llamado a que todas las instituciones financieras tengan acceso al modelo para mantener la equidad en el sector y evitar su uso indebido. Su argumento tiene ecos de política pública que van más allá de la ciberseguridad: cuando una tecnología de doble uso (es decir, ofensivo y defensivo) se convierte en infraestructura crítica, su acceso no puede depender de quién tenga los mejores contactos con una “startup” de San Francisco.
La respuesta global: todos en guardia
El impacto de Mythos no se detuvo en las fronteras anglosajonas. En Asia, los reguladores reaccionaron con rapidez. Singapur instó a sus bancos a cerrar brechas de seguridad, Corea del Sur convocó a reuniones interinstitucionales de respuesta, y Australia, a través de su Comisión de Valores e Inversiones, declaró que monitorea de cerca las implicaciones del modelo para su mercado financiero.
Los bancos alemanes consultaron de inmediato a autoridades y expertos, mientras que el Banco de Inglaterra intensificó sus pruebas de riesgo de IA. El Grupo de Resiliencia Operativa del Banco de Inglaterra programó reuniones de emergencia para discutir Mythos dentro de las dos semanas posteriores al anuncio de su lanzamiento restringido.
El FMI, por su parte, señaló que la ciberseguridad de la IA será “absolutamente esencial” en la agenda internacional durante el resto de 2026. Y el pasado 21 de abril, Reuters confirmó que Anthropic planea ampliar el acceso de Mythos a bancos europeos y del Reino Unido en cuestión de días, bajo un proceso de verificación para garantizar un despliegue seguro.
Las voces que piden calma también merecen atención
No todo en este panorama es catastrofismo. Existe una minoría crítica dentro de la comunidad de ciberseguridad que pide serenidad. Peter Swire, profesor del Georgia Institute of Technology y ex asesor de las administraciones Clinton y Obama, señaló que muchos de sus colegas consideran que las capacidades de Mythos son “en gran medida, lo esperado”.
El Instituto de Seguridad de IA del Reino Unido, que evaluó el modelo de forma independiente, apuntó que las pruebas se realizaron en entornos sin defensas activas, lo que distorsiona el resultado. Es decir, fue como juzgar a un delantero por los goles que metió contra el peor portero del mundo.
También hay incentivos institucionales que inflan la narrativa del riesgo. Los responsables de seguridad informática y los proveedores de ciberseguridad tienen razones lógicas para destacar las consecuencias más severas de cualquier amenaza nueva, aunque sus estimaciones internas sean más moderadas. Es muy raro que alguien pierda su empleo por predecir calamidades.
Esto no significa que el riesgo sea imaginario. Significa que la respuesta debe ser calibrada: ni parálisis regulatoria ni complacencia. El sector financiero necesita actuar, pero con inteligencia estratégica y no como reacción al pánico.
Lo que está en juego
Al final, el debate sobre Mythos y el sistema financiero es un debate en torno al control de las herramientas más poderosas en el tablero de la seguridad global. Por primera vez en la historia, una empresa privada ha desarrollado un sistema capaz de encontrar las llaves de casi cualquier cerradura digital en el planeta, y ella sola ha escogido —bajo criterios hasta ahora desconocidos— a quiénes se lo confía.
Para los bancos, los reguladores y los gobiernos, la lección es doble. Primero: la ciberseguridad ya no es un problema técnico relegado al área de sistemas; es un riesgo sistémico de primer orden que pertenece a los órganos reguladores, los consejos de administración y los parlamentos. Segundo: la concentración del acceso a tecnología de doble uso en manos de unos pocos actores privados no es una solución de largo plazo; es una nueva fuente de asimetría y vulnerabilidad.
Mythos no es el comienzo del fin del sistema financiero como hoy lo conocemos. Pero sí es el recordatorio más contundente en muchos años de que ese sistema descansa sobre una infraestructura digital más frágil de lo que sus custodios quisieran admitir. Y que el plazo para reforzarla, como siempre ocurre con las crisis, ya empezó a correr.
Precio de Bitcoin de hoy
Puede ver el precio de hoy de Bitcoin aquí, así como también el precio de hoy de Ethereum y de las principales criptomonedas.
Por Emilio Carrillo Peñafiel, abogado especializado en temas de financiamiento, tecnología y M&A. Página web: https://mx.linkedin.com/in/transactionalmexico/es