Bancos y reguladores entran en la carrera de ciberseguridad con IA

En Australia, el regulador bancario APRA alertó que modelos de IA de frontera inspirados en Claude Mythos podrían dar a los atacantes herramientas que el sector financiero aún no está preparado para enfrentar ^[3]. Incluso sugirió que los bancos podrían necesitar acceso controlado a estas tecnologías para probar sus propias defensas.

Como resultado, los reguladores están impulsando varias medidas en el sector financiero:

• pruebas de penetración y ejercicios de "red team" apoyados por IA
• detección y corrección más rápida de vulnerabilidades
• mayor supervisión de proveedores de software y terceros
• requisitos más estrictos de reporte de incidentes y gobernanza cibernética

La idea central es que las instituciones deben prepararse para amenazas que evolucionan a velocidad de máquina, no a velocidad humana ^[1][3][5].

Qué hace preocupante a Claude Mythos

Anthropic presentó Claude Mythos Preview como un sistema de IA avanzado con capacidades destacadas en ciberseguridad. Según informes, el modelo demostró la capacidad de localizar y explotar fallos ocultos en sistemas operativos y navegadores ampliamente utilizados ^[1][7].

La empresa indicó que el sistema encontró “miles de vulnerabilidades de alta gravedad” en diferentes plataformas de software ^[1]. En uno de los ejemplos reportados, habría detectado una falla en OpenBSD que había pasado desapercibida durante décadas ^[7].

El problema clave es la velocidad. Un sistema de IA puede automatizar tareas que antes requerían semanas o meses de investigación humana, como por ejemplo:

• analizar enormes bases de código
• identificar vulnerabilidades potenciales
• generar código de explotación
• combinar múltiples fallos en un ataque más complejo

Para los bancos, que a menudo operan con infraestructuras heredadas y sistemas fragmentados, esto supone un riesgo significativo. Muchas instituciones financieras todavía dependen de software antiguo que podría contener fallos que una IA avanzada detectaría rápidamente ^[1].

Cabe señalar que buena parte de la información pública sobre las capacidades de Mythos proviene de reportes y análisis externos, por lo que algunos detalles técnicos siguen siendo difíciles de verificar de forma independiente ^[1][3][5].

La respuesta defensiva: OpenAI Daybreak

Mientras algunos sistemas de IA pueden acelerar la búsqueda de vulnerabilidades, otras iniciativas buscan usar la misma tecnología para defenderse.

Una de ellas es Daybreak, una iniciativa de OpenAI centrada en detectar y reparar vulnerabilidades antes de que los atacantes puedan explotarlas.

Daybreak combina modelos avanzados de IA con Codex Security, un sistema basado en agentes que ayuda a equipos de seguridad a analizar código, identificar debilidades y generar correcciones verificadas ^[24][27]. La idea es integrar la seguridad directamente en el proceso de desarrollo de software, en lugar de reaccionar después de que se produzca un ataque.

Entre las funciones defensivas que admite el sistema se encuentran:

• detección automática de vulnerabilidades en repositorios de código
• modelado de amenazas y análisis de riesgos
• generación y validación de parches
• revisión de dependencias y seguridad de la cadena de suministro

OpenAI también introdujo niveles especializados de modelos centrados en seguridad, incluyendo GPT‑5.5‑Cyber, destinados a investigadores y equipos de defensa que realizan pruebas de seguridad autorizadas ^[20][26].

Según los informes sobre su lanzamiento, el objetivo es reducir el tiempo entre descubrir una vulnerabilidad y desplegar un parche, algo crucial en un contexto donde la IA acelera la explotación de fallos de software ^[27].

Una carrera tecnológica entre ataque y defensa

La aparición simultánea de herramientas como Claude Mythos y plataformas defensivas como Daybreak refleja un cambio estructural en la ciberseguridad.

La IA avanzada puede acelerar tanto el ataque como la defensa:

• Los modelos ofensivos pueden descubrir vulnerabilidades a una escala sin precedentes.
• Las herramientas defensivas impulsadas por IA pueden escanear código, simular ataques y generar parches mucho más rápido que los métodos tradicionales.

Por eso, el futuro de la ciberseguridad podría depender de quién logre automatizar primero y mejor: los atacantes o los defensores.

Qué deben preparar bancos y grandes empresas

Más allá de la tecnología, los reguladores insisten en que la gobernanza y la gestión del riesgo serán claves. Las instituciones financieras deberán demostrar que pueden usar IA de forma segura mientras controlan los riesgos que introduce.

Entre las prioridades que están emergiendo en el sector destacan:

• gobernanza rigurosa del riesgo de IA
• acceso controlado a modelos con capacidades cibernéticas avanzadas
• prácticas seguras de desarrollo de software
• pruebas de resiliencia frente a ataques potenciados por IA
• cooperación entre bancos, reguladores y empresas de ciberseguridad

El cambio es profundo. En lugar de descubrir vulnerabilidades ocasionalmente, las organizaciones podrían enfrentarse pronto a una exploración constante de sus sistemas realizada por IA.

Conclusión

Los modelos de IA capaces de descubrir vulnerabilidades explotables están obligando a reguladores y entidades financieras a replantear su estrategia de ciberseguridad.

Mientras herramientas como Claude Mythos muestran la rapidez con la que pueden aparecer nuevos fallos críticos, iniciativas defensivas como Daybreak buscan ofrecer a los defensores la misma velocidad y automatización.

El equilibrio final entre ataque y defensa dependerá de qué tan rápido adopten las instituciones las herramientas de seguridad impulsadas por IA y de cómo los reguladores garanticen su uso responsable.