En los últimos días ha crecido la alarma entre entidades financieras internacionales por el despliegue controlado del modelo Mythos, desarrollado por Anthropic. Aunque el acceso inicial se concedió solo a socios seleccionados, la noticia ha desatado una ola de reuniones entre supervisores y bancos para evaluar vulnerabilidades. Las conversaciones se intensificaron tras publicaciones de prensa y sesiones informativas, y algunos reguladores han pedido a las instituciones que revisen sus defensas con urgencia.
Este artículo analiza por qué surge la preocupación y qué pasos están estudiando las autoridades y los bancos.
La reacción no es puramente técnica: combina inquietudes de ciberseguridad, gobernanza y cumplimiento normativo. Organismos como el RBI de India han mantenido contactos con homólogos globales —incluyendo a la Reserva Federal y al Banco de Inglaterra— para compartir evaluaciones preliminares. Al mismo tiempo, entidades locales como la NPCI buscan acceso anticipado a Mythos para identificar riesgos de día cero y fallos en sistemas críticos.
Esa mezcla de prudencia y presión pública explica la velocidad de las respuestas regulatorias.
Qué es Mythos y por qué genera alerta
Mythos es un modelo de IA avanzado creado por Anthropic que puede, según expertos, automatizar tareas complejas de análisis de código y detectar vulnerabilidades encadenadas. Esta capacidad para buscar y conectar fallos en software hace que muchas infraestructuras bancarias heredadas, diseñadas sin prever estas técnicas, queden expuestas.
La posibilidad de que el modelo acelere la identificación de vectores de ataque obliga a replantear estrategias: ya no basta con parches puntuales; se requiere una visión integral de riesgo tecnológico.
Capacidades técnicas y limitaciones del acceso
El despliegue inicial de Mythos se ha realizado bajo el paraguas del Project Glasswing, con acceso restringido a organizaciones que mantienen infraestructura crítica. Bancos estadounidenses como JPMorgan y Bank of America figuraron entre los primeros en probar la herramienta, y Anthropic planea extender el acceso a entidades europeas «en días o semanas», según fuentes.
Sin embargo, el sistema está alojado en servidores controlados en EE. UU., lo que complica las pruebas con datos locales por las restricciones de acceso restringido y soberanía de datos.
Respuesta de reguladores y acciones en marcha
Las autoridades en Asia, Europa y Estados Unidos han emitido advertencias y convocado reuniones. En Japón se han programado encuentros con bancos, mientras que el Banco de la Reserva de Australia monitoriza la situación. En India el RBI ha liderado consultas con reguladores extranjeros y prepara directrices más amplias para asociaciones empresariales con modelos de IA como Mythos y la familia Claude de Anthropic. La intención es exigir marcos de gobernanza, gestión de riesgos y cumplimiento con normas locales.
Medidas específicas y retos regulatorios
Una de las exigencias clave será la localización de datos: el RBI insiste en que cualquier analítica basada en datos de clientes indios cumpla con la regla vigente de 2018 que obliga a almacenar información de pagos en servidores dentro del país. Además, la NPCI intenta obtener acceso anticipado a Mythos junto a algunos bancos para detectar vulnerabilidades de día cero. No obstante, el control del hosting en EE. UU. y las políticas de Anthropic sobre quien puede usar el sistema pueden limitar estas pruebas.
Implicaciones prácticas para los bancos y próximos pasos
Para las entidades financieras la recomendación emergente es pasar de soluciones reactivas a un enfoque sistémico de riesgo: integración de IA en marcos de gobernanza, revisiones continuas de seguridad y pruebas controladas de penetración. Expertos aconsejan que los bancos no dependan de parches puntuales, sino que actualicen modelos operativos y controles internos para cubrir escenarios donde herramientas como Mythos aceleren la búsqueda de fallos.
En paralelo, se prevén auditorías, cuestionarios regulatorios y, en algunos casos, acceso equitativo a la tecnología para mantener condiciones de competencia justas, como demandó el presidente del Bundesbank. Anthropic ha declarado que realizará comprobaciones de seguridad antes de ampliar el acceso a Europa y Reino Unido. Mientras tanto, los supervisores y las entidades siguen en diálogo para equilibrar innovación, seguridad y cumplimiento, conscientes de que el ritmo de la tecnología exige respuestas coordinadas.
