El BCE convoca a la banca: 'El reloj corre' ante los fallos expuestos por Claude Mythos

La respuesta de emergencia del BCE: tres exigencias clave

El 26 de mayo de 2026, el BCE reunió a los bancos en una sesión especial para abordar los riesgos de ciberseguridad revelados por Claude Mythos Preview y otros modelos avanzados similares . La reunión cristalizó un enfoque regulador basado en tres demandas inmediatas.

Acelerar los parches, sin excusas. El vicepresidente del Consejo de Supervisión del BCE, Frank Elderson, advirtió a la banca de que "el reloj corre" y les instó a "acelerar significativamente" sus esfuerzos de seguridad para corregir los fallos que el modelo había dejado al descubierto . Lo describió como un trabajo urgente para "arreglar las brechas que han quedado expuestas" .

Compartir la información disponible. Dado que los bancos europeos están en gran medida excluidos del reducido consorcio que prueba el modelo, el BCE pidió a las entidades estadounidenses que sí tienen acceso que compartan sus conclusiones con sus homólogos europeos. Elderson reconoció que la situación era "desafortunada", pero subrayó que "la falta de acceso al modelo no es excusa para la inacción" .

Rendir cuentas al supervisor. El BCE está utilizando su diálogo supervisor ordinario para interrogar sistemáticamente a los bancos sobre su preparación ante ciberamenazas impulsadas por IA, recabando datos sobre la exposición a amenazas, la cadencia de aplicación de parches y las herramientas defensivas disponibles . Este enfoque refleja una acción reguladora global coordinada, aunque el BCE no ha emitido el tipo de citación de alto perfil que sí se ha visto desde el Tesoro de Estados Unidos .

La urgencia se sustenta en validaciones del mundo real. El Instituto de Seguridad de la IA del Reino Unido (AISI) comprobó que Mythos Preview resolvía el 73% de los desafíos de Capture the Flag (CTF) de nivel experto, un umbral que ningún modelo de IA había podido superar antes de abril de 2025. Mozilla lanzó Firefox 150 con 271 parches para vulnerabilidades encontradas por el modelo .

Lo que Claude Mythos Preview descubrió realmente

Las vulnerabilidades no son teóricas. Durante un periodo de evaluación controlado, el modelo identificó de forma autónoma y produjo exploits funcionales para miles de fallos de alta gravedad, entre ellos:

• Un fallo de ejecución remota de código con 17 años de antigüedad en el servidor NFS de FreeBSD, que otorga acceso root sin autenticación a cualquier atacante conectado a internet.
• Una vulnerabilidad de 27 años de antigüedad en OpenBSD que provocaba fallos del sistema y que había evadido a los auditores humanos durante décadas .

El alcance es sistémico, no limitado a un proveedor concreto. Todos los sistemas operativos y navegadores principales están afectados . Más del 99% de las vulnerabilidades descubiertas aún no han sido parcheadas, lo que deja una vasta superficie de ataque expuesta en la envejecida infraestructura tecnológica del sector financiero .

La capacidad de explotación del modelo va más allá de la detección pasiva. Durante la ventana de evaluación, demostró de forma autónoma rutas de explotación para fallos críticos en software ampliamente implantado, confirmando los hallazgos con pruebas de concepto funcionales . Los expertos en ciberseguridad consideran ahora que el modelo plantea desafíos significativos para la industria bancaria y sus sistemas tecnológicos heredados .

Por qué Europa avanza a ciegas

El desafío más acuciante para las instituciones europeas no es solo la existencia de las vulnerabilidades, sino el acceso asimétrico a la herramienta que las encontró. Anthropic estructuró el lanzamiento de Claude Mythos Preview a través de Project Glasswing, una vista previa de investigación restringida que prioriza los casos de uso defensivo en ciberseguridad, pero limitada a un consorcio de socios tecnológicos principalmente estadounidenses que incluye a AWS, Google Cloud y CrowdStrike .

Los bancos, reguladores y empresas de ciberseguridad europeos están en gran medida excluidos. Deben remediar fallos que no pueden sondear ni verificar de forma independiente con la misma capacidad de IA . Esto crea una asimetría defensiva en la que los atacantes con acceso podrían explotar vulnerabilidades que los defensores en Europa no pueden analizar ni reproducir fácilmente.

La brecha regulatoria resulta especialmente frustrante para los responsables políticos de la UE. El BCE y el Parlamento Europeo exigen respuestas y acciones, pero carecen del acceso tecnológico directo del que disfrutan los miembros del consorcio estadounidense, lo que complica la supervisión y la evaluación de riesgos independiente . La Asociación de Bancos Alemanes declaró a S&P Global Market Intelligence que mantiene un "diálogo continuo" con sus bancos miembros, el Ministerio Federal de Finanzas, BaFin, el banco central alemán y las instituciones europeas e internacionales, pero admitió que esta interlocución sigue siendo "reactiva en lugar de proactiva" .

Anthropic se ha comprometido a informar públicamente en un plazo de 90 días sobre los hallazgos de Project Glasswing, una divulgación que el sector sigue muy de cerca . Hasta entonces, los reguladores europeos se encuentran atrapados entre una amenaza operativa urgente y una herramienta que no pueden tocar, pidiendo a los bancos que apliquen parches más rápido contra un adversario que aún no pueden ver del todo.