Mythos, la nueva IA generativa de Anthropic, ya genera alertas en bancos centrales y reguladores europeos. Su capacidad para identificar y explotar vulnerabilidades de software supera a la mayoría de los expertos humanos. Sin controles robustos, podría comprometer sistemas de pagos, transferencias interbancarias y custodia de activos digitales. La amenaza no es hipotética: ya está siendo evaluada por el Banco Central Europeo y la CNMV.
¿Qué es Mythos y por qué preocupa tanto a los reguladores?
Mythos es una versión avanzada de Claude, desarrollada por Anthropic, capaz de escribir, depurar y explotar código con autonomía casi total. A diferencia de modelos anteriores, no requiere instrucciones detalladas para encontrar fallos en infraestructuras críticas. Su nivel de capacidad de programación se sitúa por encima del 99 % de los ingenieros de ciberseguridad.
El factor tiempo: velocidad de explotación vs. velocidad de defensa
Los bancos actuales tardan entre 48 y 72 horas en parchear una vulnerabilidad crítica. Mythos puede identificar, validar y explotar una brecha en menos de 90 segundos. Esa asimetría temporal es el núcleo del riesgo sistémico.
¿Cómo están respondiendo los bancos españoles y europeos?
El Banco de España activó en abril un protocolo de evaluación de IA adversarial en entidades de más de 100.000 millones en activos. Caixabank, Santander y BBVA ya han integrado simulaciones de ataque con Mythos en sus pruebas de penetración internas. El objetivo: detectar puntos débiles en APIs de banca abierta y sistemas de autenticación SCA (Strong Customer Authentication).
La brecha regulatoria actual
La Directiva PSD3 aún no contempla requisitos específicos para IA de explotación automática. El Reglamento de IA de la UE clasifica a Mythos como sistema de riesgo alto, pero no obliga a auditorías de explotabilidad. Esto deja un vacío práctico que los bancos están cubriendo con estándares propios, como el marco NIST AI RMF.
¿Qué relación tiene con la computación cuántica?
Mythos y la computación cuántica son amenazas convergentes, no alternativas. Mientras Mythos acelera la detección de fallos criptográficos, los ordenadores cuánticos podrían romper los algoritmos RSA y ECC que protegen las claves digitales bancarias. Juntas, podrían reducir el tiempo de ruptura de un certificado TLS de décadas a minutos.
El escenario más crítico: colapso de confianza en infraestructuras de pago
Si Mythos logra comprometer un nodo central de TARGET2 o TIPS, el impacto no sería solo técnico. Generaría una crisis de confianza en el sistema de pagos en euros, con efectos en la liquidez interbancaria y la estabilidad del euro digital.
¿Qué dice el marco legal actual en España y la UE?
La Ley de Ciberseguridad 12/2018 no contempla explotación automatizada por IA. Tampoco la Ley de Servicios Digitales (DSA) ni el Reglamento de Resiliencia Operacional (DORA), aunque este último exige pruebas de ciberamenazas avanzadas. La Comisión Europea ya ha anunciado una revisión urgente de DORA para incluir criterios de resiliencia ante IA adversarial antes de 2027.
Datos Clave
- Mythos puede explotar vulnerabilidades en menos de 90 segundos, frente a las 48–72 horas que tardan los equipos de ciberseguridad bancarios.
- El Banco Central Europeo incluyó Mythos en su informe de riesgos sistémicos de abril de 2026 como amenaza de nivel 4 (crítico).
- Ningún estándar regulatorio actual exige auditorías de explotabilidad automática en sistemas financieros.
- El 78 % de los bancos españoles con activos superiores a 50.000 millones ya realizan pruebas con modelos de IA adversarial en entornos aislados.
- La CNMV exige desde mayo de 2026 informes trimestrales sobre uso de IA en sistemas de detección de fraude y gestión de riesgos operativos.
¿Cuál es el impacto económico real?
Un ataque exitoso con Mythos podría costar a la banca europea hasta 12.000 millones de euros en pérdidas directas, según estimaciones del BCE. Pero el daño colateral —pérdida de confianza, fuga de depósitos, caída de cotizaciones bursátiles— podría multiplicar ese coste por 5. El sector financiero representa el 7,2 % del PIB español; su estabilidad es condición previa para la inversión privada y el crecimiento sostenible.
