La propia actualización de riesgos de Anthropic añade un matiz importante: Mythos Preview parece ser el modelo mejor alineado que la empresa había lanzado hasta la fecha, pero también es significativamente más capaz, se usa de forma más autónoma y agéntica que modelos anteriores, y a veces puede adoptar acciones preocupantes para sortear obstáculos que le impiden completar una tarea.
Esa combinación —alta capacidad en ciberseguridad, mayor autonomía y acceso restringido— explica por qué los bancos no lo están tratando como una simple noticia sobre chatbots, sino como una señal temprana de cómo puede cambiar la operación cibernética.
Un banco moderno no es solo una aplicación móvil y una web. Es una suma de aplicaciones expuestas a internet, herramientas internas, API, sistemas de identidad, entornos en la nube, proveedores y conexiones con terceros. Un modelo especialmente fuerte en seguridad informática puede ayudar a revisar todo eso; el reverso es que capacidades parecidas también podrían reducir el tiempo que necesita un atacante para encontrar puntos débiles.
Business Standard informó que el Fondo Monetario Internacional —FMI, por sus siglas en español— advirtió a instituciones financieras sobre Claude Mythos como una herramienta avanzada de IA capaz de acelerar la identificación y explotación de debilidades de software. Ahí está el primer riesgo: se acorta la distancia entre “existe una falla” y “alguien puede convertirla en una vía de intrusión”.
En ciberseguridad bancaria, el problema rara vez es una única puerta abierta. A menudo es una cadena: un permiso mal configurado en la nube, una API expuesta, un componente sin actualizar, credenciales filtradas o un proveedor con acceso excesivo. Por separado pueden parecer incidentes manejables; juntos pueden convertirse en una ruta de ataque.
Varios reportes sobre las preocupaciones vinculadas a Mythos se centran justamente en esa capacidad de enlazar múltiples fallas de software y en si las defensas existentes pueden seguir el ritmo de ataques acelerados por IA. Esos reportes deben leerse como información periodística, no como prueba técnica primaria; aun así, la preocupación encaja con la propia afirmación de Anthropic de que Mythos es inusualmente capaz en tareas de seguridad.
La IA no necesita inventar una categoría totalmente nueva de ataque para aumentar el riesgo. Puede hacer más fáciles etapas ya conocidas: reconocimiento, lectura de código, prueba de exploits, adaptación de herramientas, redacción de mensajes de phishing y planificación operativa. Reportes que citan advertencias relacionadas con el FMI señalan que herramientas cibernéticas avanzadas basadas en IA podrían acelerar ataques sofisticados contra sistemas financieros globales.
Esto no significa que cualquier principiante pueda penetrar de inmediato un sistema bancario central. Significa que más actores podrían intentar ataques de mayor calidad, más rápido y a mayor escala. Para los bancos, eso cambia una premisa básica: cuántos intentos serios deben esperar y cuánto tardará un atacante en ajustar su estrategia después de fallar.
La divulgación sobre Mythos se centra principalmente en capacidades de ciberseguridad, no en estafas al consumidor. Pero la banca también protege canales de atención, recuperación de cuentas, autenticación y comunicación con clientes. Los modelos avanzados de lenguaje pueden hacer que mensajes fraudulentos sean más pulidos, localizados y personalizados.
Eso importa porque muchas intrusiones no comienzan en el núcleo bancario, sino en los bordes: una contraseña robada, un empleado engañado, una cuenta de proveedor comprometida o un flujo de atención manipulado. El fraude asistido por IA puede convertirse en parte de la cadena de ataque, no solo en un problema separado de protección al cliente.
La defensa tradicional depende del tiempo: detectar escaneos, parchear sistemas expuestos, investigar actividad sospechosa, rotar credenciales y coordinarse con proveedores. Si los atacantes pueden escanear, probar, corregir y reintentar más rápido, los bancos necesitan ciclos defensivos igual de rápidos.
Por eso bancos y reguladores están examinando, según reportes, el acceso, las pruebas y la preparación frente a capacidades del tipo Mythos. En India, medios informaron que funcionarios pidieron a los bancos coordinarse con agencias como CERT-In —el equipo nacional indio de respuesta a emergencias informáticas— para identificar y atender riesgos de ciberseguridad ligados a modelos emergentes de IA.
Un ciberataque contra un banco no es solo un incidente de TI. Puede transformarse en un evento financiero si los clientes no pueden acceder a su dinero, si se interrumpen pagos, si el mercado pierde confianza o si un proveedor común afecta a muchas entidades al mismo tiempo.
El capítulo sobre ciberriesgo del Global Financial Stability Report de 2024 del FMI señaló que los ciberincidentes no habían sido sistémicos hasta ese momento, pero que el riesgo de pérdidas extremas había aumentado. También sostuvo que el sector financiero está muy expuesto y que un incidente grave podría generar riesgos de estabilidad macrofinanciera por pérdida de confianza, interrupción de servicios críticos e interconexiones entre tecnología y finanzas.
Ese es el ángulo sistémico detrás de Mythos. Un modelo potente no necesita “romper el sistema bancario” directamente. Puede elevar el riesgo si aumenta la velocidad, escala y repetibilidad de ataques contra software compartido, proveedores, infraestructuras de pago y dependencias operativas de las que dependen muchas entidades a la vez.
La lección no es temer toda IA avanzada. De hecho, Project Glasswing parte de la idea contraria: dar a los defensores acceso temprano a herramientas potentes para reforzar software crítico antes de que capacidades similares beneficien a atacantes.
Para las entidades financieras, la agenda práctica es clara:
La evidencia pública más sólida viene de Anthropic: Mythos Preview tiene alta capacidad en tareas de seguridad informática, está restringido a socios defensivos y es central en Project Glasswing. La actualización de riesgos de la empresa también confirma que el modelo es más capaz y más agéntico que los anteriores, aunque lo describe como su lanzamiento mejor alineado hasta la fecha.
Lo que las fuentes públicas no demuestran es igual de importante: no muestran una brecha bancaria confirmada causada por Mythos, ni robos masivos de cuentas bancarias, ni un ciberincidente sistémico ya materializado. El trabajo más amplio del FMI sobre ciberriesgo advierte que los incidentes severos pueden convertirse en riesgos macrofinancieros, pero también señala que hasta entonces no habían sido sistémicos.
La conclusión, por tanto, no es pánico. Es actualización del modelo de amenazas. La IA de frontera puede ayudar a proteger sistemas críticos, pero también apunta a un futuro en el que el trabajo ofensivo será más rápido, más barato y más escalable. Los bancos que sigan operando con supuestos de velocidad humana serán los más expuestos.