Como pilar fundamental de la economía moderna, el sector bancario se rige por algunos de los estándares de ciberresiliencia más elevados del mundo. Frente a unas ciberamenazas que no dejan de crecer en volumen y sofisticación, la industria ha respondido con inversiones crecientes y una presión regulatoria cada vez mayor, que ha culminado en Europa con la introducción del reglamento DORA.

Hoy, sin embargo, el sector se enfrenta a un fenómeno que está llamado a redefinir el panorama de la ciberseguridad. Está emergiendo una nueva generación de modelos de inteligencia artificial con capacidades ciberofensivas, lo que marca la transición de la IA de herramienta de productividad a componente activo de la infraestructura global de ciberseguridad. Estos sistemas pueden aprovecharse para reforzar las defensas existentes, pero también para potenciar las capacidades ofensivas.

En este artículo analizamos esta tendencia emergente, sus implicaciones prácticas para la ciberresiliencia bancaria y los escenarios que podrían materializarse en el futuro próximo.

Puntos clave

• A partir de Mythos de Anthropic, los modelos de IA frontier están adquiriendo capacidades ciberofensivas y pueden alterar de forma significativa el equilibrio entre atacantes y defensores.
  
• La velocidad es el factor crítico. Para el sector bancario, el reto consiste en adaptarse a un entorno en el que el tiempo disponible para identificar y remediar vulnerabilidades podría reducirse drásticamente.
• La BCE ya ha actuado poniendo en marcha un plan supervisor estructurado que incluye CEO Letters, seguimiento de planes de acción y actividades de seguimiento dedicadas para las instituciones menos preparadas.

Los modelos de IA frontier reescriben las reglas del juego

Hasta hace poco, identificar vulnerabilidades complejas, desarrollar exploits sofisticados o diseñar sistemas de defensa avanzados requería una gran especialización, experiencia e inversión. La escasez de profesionales altamente cualificados actuaba como restricción tanto para atacantes como para defensores y, en cierta medida, contribuía a mantener un equilibrio entre ambas partes.

Hoy, ese equilibrio está siendo cuestionado por los modelos de IA más avanzados. Según Anthropic, los modelos de nueva generación están alcanzando niveles de competencia en análisis de software que superan a la mayoría de los especialistas humanos en tareas de identificación y explotación de vulnerabilidades. En el futuro, actividades que antes requerían tiempo y recursos considerables podrían ser realizadas por modelos de IA con niveles de automatización y escalabilidad sin precedentes.

Esta ventaja no se trasladará automáticamente a los atacantes, ya que las mismas capacidades pueden utilizarse para identificar vulnerabilidades antes de que sean explotadas, acelerar el desarrollo de parches y reforzar la seguridad del software en general. El verdadero problema radica en la velocidad a la que se adoptarán estas tecnologías. Si estas herramientas llegan a los actores hostiles antes de que las organizaciones, los gobiernos y las infraestructuras críticas sean capaces de integrarlas en sus defensas, podría surgir un periodo de desequilibrio significativo.

Para la resiliencia del sector bancario, se trata de un asunto que debe abordarse de inmediato. Aunque la banca sigue siendo uno de los entornos más protegidos, regulados y maduros desde el punto de vista de la ciberseguridad, una reducción drástica del coste y la complejidad de los ciberataques podría erosionar la eficacia de las barreras construidas en los últimos años.

El caso de Claude Mythos y la aparición de modelos con capacidades ciberofensivas

Un punto de inflexión en esta transición llegó en abril de 2026, cuando Anthropic anunció el desarrollo de Claude Mythos Preview. Diseñado originalmente como modelo de propósito general destinado a superar a Claude Opus en capacidades de razonamiento, Mythos demostró tal dominio del análisis de código y autonomía operativa en ciberseguridad que redefinió los parámetros de riesgo asociados a los modelos de IA frontier.

• La capacidad más disruptiva, que rápidamente atrajo la atención de los profesionales de la ciberseguridad, es el descubrimiento y explotación autónoma de vulnerabilidades zero-day. Durante las pruebas, el modelo identificó fallos previamente desconocidos en todos los principales sistemas operativos y navegadores, descubriendo bugs que habían permanecido ocultos durante décadas. 
  
• Otra innovación clave es su capacidad para encadenar múltiples vulnerabilidades para eludir defensas de seguridad en capas. Un ejemplo destacado por Anthropic fue la vinculación automática de cuatro vulnerabilidades independientes para eludir protecciones avanzadas como la Aleatorización del Espacio de Direcciones del Kernel de Linux (KASLR). 
  
• El modelo también demostró una gran eficacia en el análisis de ingeniería inversa de código propietario. Partiendo de un binario compilado, Mythos puede reconstruir una versión plausible del código fuente del programa, analizarlo en busca de vulnerabilidades y validar sus hallazgos. Este enfoque abre la puerta al análisis ofensivo de firmware, aplicaciones comerciales y cualquier software cuyo código fuente no esté disponible. 

Proyecto Glasswing: una salvaguarda preventiva frente a las amenazas emergentes

Las capacidades descritas —y muchas otras— convierten a Mythos en una herramienta capaz de transformar el panorama global de la ciberseguridad. Es precisamente esta conciencia la que llevó a Anthropic a renunciar a publicarlo.

En su lugar, la compañía puso en marcha el Proyecto Glasswing, un programa de acceso ultraselectivo y estrictamente controlado diseñado para restringir las capacidades de Mythos exclusivamente a fines defensivos. La iniciativa se ha desarrollado en dos fases.

1. En la primera fase, Anthropic involucró a un pequeño grupo de aproximadamente 50 socios estratégicos globales, incluidos los principales proveedores de cloud y grandes actores de ciberseguridad como Microsoft, AWS, Google y CrowdStrike. El objetivo era aprovechar las capacidades de Mythos para escanear sus infraestructuras y remediar vulnerabilidades antes de cualquier exposición pública. Solo durante los primeros meses de pruebas, se identificaron y resolvieron más de 10.000 vulnerabilidades críticas o de alto riesgo. 
2. En junio de 2026, Anthropic anunció la ampliación de la asociación a aproximadamente 150 organizaciones adicionales en más de 15 países. Esta ampliación busca cubrir sectores estratégicos adicionales como la energía, el agua, la sanidad y las comunicaciones. Estas organizaciones comparten una característica común: un compromiso exitoso podría tener consecuencias catastróficas para más de 100 millones de personas por socio, lo que representa una amenaza significativa para la seguridad global. 

El objetivo último de Glasswing es claro: crear una ventaja asimétrica sostenible para los defensores, permitiéndoles aprovechar la velocidad impulsada por la IA para anticiparse a las amenazas antes de que modelos similares —pero sin restricciones— sean desarrollados y desplegados por actores malintencionados.

La respuesta del sector bancario: los modelos frontier entran en la agenda del BCE

En la práctica, el sector no ha permanecido inactivo. Las primeras señales llegaron de la autoridad supervisora europea, que ha estado evaluando el impacto potencial de los modelos frontier en la estabilidad del sistema financiero europeo. El 26 de mayo, el BCE celebró un Evento del Sector centrado en los riesgos cibernéticos asociados a los LLM frontier, que reunió a ENISA, grandes instituciones financieras como Bank of America e Intesa Sanpaolo, así como a altos directivos europeos responsables de la supervisión TIC y la resiliencia operativa. Al mismo tiempo, el BCE está ultimando una CEO Letter dirigida a los Consejos de las Instituciones Significativas europeas, que se espera distribuir en breve.

El BCE acelera: los bancos deben prepararse ante las amenazas emergentes

Il settore, di fatto, non è stato a guardare. I primi segnali sono arrivati dall’autorità di vigilanza europea, intenta a valutare gli impatti che i frontier model potrebbero avere sulla stabilità del sistema finanziario europeo: lo scorso 26 maggio la BCE ha organizzato un Industry Event dedicato ai rischi cyber derivanti dai Frontier LLM, coinvolgendo ENISA, importanti istituzioni finanziarie come Bank of America e Intesa Sanpaolo, oltre ai vertici europei della supervisione ICT e della resilienza operativa. Parallelamente, la BCE sta finalizzando una CEO Letter destinata ai Board delle Significant Institutions europee, che verrà inviata a breve

Las iniciativas del BCE indican que no se trata simplemente de una nueva amenaza que aislar y neutralizar, sino de un cambio de paradigma que exige una reconsideración fundamental de los modelos de gestión del ciberriesgo. Esta reconsideración no puede delegarse y exige la implicación directa de los máximos órganos de gobierno. En este sentido, las próximas CEO Letters representan una señal inequívoca.

La posición de la autoridad supervisora es clara y se articula en torno a cuatro principios fundamentales:

1. La IA se considera un factor estructural de transformación del ciberriesgo, no un fenómeno temporal ni un problema vinculado a un modelo específico.
   
2. La velocidad se está convirtiendo en el principal factor disruptivo. Las capacidades de los modelos avanzados pueden comprimir drásticamente el tiempo disponible para detectar, evaluar y remediar las debilidades del sistema.
   
3. El paradigma tradicional de “detectar y corregir” muestra limitaciones cada vez más evidentes. En un escenario en el que el descubrimiento y la explotación de vulnerabilidades pueden acelerarse significativamente, la capacidad de identificar y remediar fallos por sí sola podría dejar de garantizar niveles de resiliencia adecuados.
4. Se espera que los bancos actúen de inmediato. El BCE insta a las instituciones a evaluar el impacto de los modelos frontier en sus perfiles de riesgo, definir planes de acción específicos y reasignar recursos, inversiones y controles hacia las áreas consideradas más expuestas.

Los mensajes transmitidos durante el evento del 26 de mayo fueron reiterados pocos días después por Frank Elderson, miembro del Comité Ejecutivo del BCE y Vicepresidente del Consejo de Supervisión del BCE, quien aclaró aún más la posición de la autoridad supervisora europea al respecto.

Áreas prioritarias y acciones recomendadas

Las CEO Letters ofrecen orientaciones más detalladas sobre las áreas que los supervisores consideran más expuestas a los efectos de los modelos frontier, es decir, aquellas en las que se espera que las instituciones concentren su atención, recursos y capacidades en el corto y medio plazo.

Las prioridades identificadas pueden dividirse en dos categorías: iniciativas a acelerar en los próximos tres a seis meses y medidas estructurales a largo plazo orientadas a reforzar la resiliencia. La primera categoría incluye:

• Protección de las superficies de ataque mediante una mayor visibilidad de los activos expuestos y la reducción de las oportunidades de compromiso;
• Aceleración y refuerzo de las capacidades de Gestión de Vulnerabilidades y Parches;
• Mejora de las capacidades de monitorización, detección y defensa asistidas por IA;
• Refuerzo de la gobernanza, las inversiones y la seguridad de la cadena de suministro.

Junto a estas acciones inmediatas, el BCE destaca también varias medidas estructurales destinadas a mejorar la resiliencia a largo plazo, entre ellas la adopción de arquitecturas de defensa en profundidad, la mejora continua de las prácticas de ciberhigiene, la modernización de las infraestructuras tecnológicas y el refuerzo de las capacidades de resiliencia operativa, gestión de crisis e intercambio de información.

El BCE establece un plan de supervisión

Un aspetto particolarmente interessante è che non stiamo assistendo all’introduzione di nuovi requisiti regolamentari, ma ad un'accelerazione delle aspettative di vigilanza su DORA, Resiliencia Cibernética y Gestión del Riesgo TIC, cuyos efectos podrían materializarse en un plazo muy breve.

El BCE ya ha esbozado un plan de supervisión integral estructurado en varias capas:

• Distribución de la mencionada CEO Letter;
  
• Implicación directa de los Equipos de Supervisión Conjunta (JSTs), encargados de debatir el impacto potencial de los modelos frontier y las iniciativas relacionadas con los bancos;
  
• Recogida y seguimiento de los planes de acción para evaluar cómo las instituciones pretenden abordar el panorama de riesgos en evolución;
  
• Actividades de seguimiento específicas para las organizaciones consideradas menos preparadas, con especial atención a las carencias en resiliencia operativa y ciberseguridad;
  
• Potencial reasignación de recursos supervisores hacia las iniciativas consideradas más urgentes y relevantes.
  

Estos desarrollos demuestran que el BCE no considera los modelos frontier como un riesgo hipotético o a largo plazo, sino como una transformación en curso que exige una respuesta inmediata y una supervisión aún más rigurosa.

A tu lado ante las amenazas emergentes

En Kirey, acompañamos a las principales instituciones financieras a lo largo de su transformación digital, ayudándoles a gestionar el ciberriesgo, cumplir con los marcos regulatorios y reforzar la resiliencia operativa.

Hoy, este compromiso es más importante que nunca, dado el rápido ritmo de evolución de las ciberamenazas y un entorno regulatorio cada vez más exigente, caracterizado por las crecientes expectativas de las autoridades supervisoras.

Contáctanos para conocer cómo estamos abordando estas amenazas emergentes y cómo podemos ayudarte a fortalecer la postura de seguridad de tu organización, cumplir eficazmente los nuevos requisitos de cumplimiento y construir una resiliencia operativa preparada para el futuro.