Un modelo de inteligencia artificial ha empujado al Banco Central Europeo a recuperar una de sus señales más poco frecuentes hacia la banca. En las próximas semanas enviará cartas Dear CEO a presidentes ejecutivos y consejeros delegados para exigir que la ciberseguridad frente a Mythos, el sistema de Anthropic, se trate como una prioridad estratégica.
No es un gesto rutinario. La última carta de este tipo salió en 2022 y la fórmula ya se había usado en 2020, en plena pandemia de covid-19, para suspender el pago de dividendos bancarios.
Frank Elderson quiere que el riesgo llegue al consejo
Frank Elderson, vicepresidente del Consejo de Supervisión del BCE, no dejó mucho margen para la duda al explicar el movimiento.
"Hemos decidido enviar una carta Dear CEO en las próximas semanas. No es algo que hagamos muy a menudo, por lo que constituye una señal clara. Queremos que los consejeros delegados tomen nota". - Frank Elderson, vicepresidente del Consejo de Supervisión del BCE
El mensaje no entra en el detalle técnico de cada banco, pero sí fija el nivel al que debe discutirse el problema. El BCE recomienda usar como guía la normativa europea sobre inteligencia artificial DORA y llevar el debate al consejo de administración, porque entiende que ya no basta con dejar esta cuestión en manos de los equipos de seguridad.
Los equipos de supervisión conjuntos del banco y del BCE vigilarán la aplicación de esas recomendaciones en cada entidad. Ahí estarán los JST, los grupos que siguen de cerca a los bancos de forma individual.
El cambio no está solo en la potencia, sino en la velocidad
Elderson sitúa la novedad en dos planos que cualquier directivo puede entender. Uno afecta al tiempo que tarda una máquina en encontrar vulnerabilidades y el otro a su capacidad para convertir ese hallazgo en una estrategia de ataque que funcione.
"Este modelo es más potente. No es el final, y verán esto repetirse en el futuro a medida que surjan nuevos modelos. Hay una especie de cambio de escala. Una parte tiene que ver con la velocidad a la que pueden identificarse las vulnerabilidades. La otra es la capacidad de estos modelos para explotar esas vulnerabilidades y convertirlas en una estrategia de ataque exitosa". - Frank Elderson, vicepresidente del Consejo de Supervisión del BCE
Dicho de otra forma, no cambia solo la herramienta, cambia el ritmo del ataque. Esa aceleración ya asoma en agentes de IA para ataques persistentes, donde la distancia entre descubrir un fallo y aprovecharlo se encoge hasta volverse incómoda para cualquier organización.
Las entidades europeas ni siquiera pueden probar Mythos en igualdad de condiciones. La Casa Blanca prohibió el pasado fin de semana que compañías fuera de Estados Unidos accedieran al modelo, al revocar un acuerdo previo que sí incluía a empresas de España y a su sector financiero.
La banca europea ya busca alternativas mientras Anthropic sale a Bolsa
Ante ese veto, varias entidades financieras europeas han empezado a utilizar una nueva versión de ChatGPT con funciones parecidas a las de Mythos. El movimiento tiene algo de paradoja, porque el supervisor pide blindarse frente a un sistema al que buena parte de sus bancos no puede entrar y que solo conocen por comparación con herramientas ya disponibles.
Elderson también quiso dejar claro que el BCE no va a dictar un manual único para usar estos sistemas.
"No estamos diciendo a los bancos exactamente cómo deben utilizar estos sistemas. Sin embargo, queremos que entiendan claramente que esto representa un cambio de escala, que se trata de una cuestión estratégica. Y por eso queremos que se debata a nivel de consejo de administración en los bancos. Es algo mucho más importante que el consejo deberá abordar. Por eso dirigimos la carta a los consejeros delegados. Lo que estamos diciendo a los bancos es: háganse resilientes. Hay modelos a los que quizá no tengan acceso en el momento, pero se puede hacer mucho utilizando los modelos ya disponibles". - Frank Elderson, vicepresidente del Consejo de Supervisión del BCE
Mientras tanto, Anthropic ha registrado su salida a Bolsa en Nueva York, apenas una semana después del debut de SpaceX en el mercado. La escena reúne dos tiempos que pocas veces coinciden con tanta claridad, el de una empresa que se abre a los inversores y el de un supervisor que avisa a la banca de que el problema ya ha subido hasta la sala donde se deciden los riesgos.