La reunión convocada en Washington por el secretario del Tesoro de EE.UU., Scott Bessent, y el presidente de la Reserva Federal, Jerome Powell, no fue una simple sesión informativa sobre tecnología. Según Reuters, ambos reunieron esta semana a varios consejeros delegados de grandes bancos estadounidenses para advertirles sobre los riesgos de ciberseguridad asociados a Claude Mythos, el nuevo modelo de Anthropic, y a otros sistemas similares que puedan llegar después. El objetivo, de acuerdo con esa información, era asegurarse de que las entidades entendieran el riesgo y estuvieran tomando medidas para defender sus sistemas.
La preocupación no nace de una especulación abstracta. Anthropic sostiene que Mythos Preview ya ha encontrado “miles de vulnerabilidades de alta severidad”, incluidas algunas en “todos los grandes sistemas operativos y navegadores web”, y advierte de que, dado el ritmo de avance de la IA, no pasará mucho tiempo antes de que capacidades similares proliferen, potencialmente fuera del control de actores comprometidos con un despliegue seguro. Por eso la compañía ha limitado el acceso al modelo dentro de Project Glasswing, una iniciativa defensiva con más de 40 organizaciones de infraestructura crítica y socios de primer nivel.
Para un medio financiero, lo importante no es solo que una IA pueda encontrar fallos más deprisa, sino cómo cambia la economía del riesgo. Si el tiempo entre descubrir una vulnerabilidad y convertirla en un ataque útil se acorta, entonces también se acortan los márgenes de reacción para bancos, procesadores de pagos, bolsas, custodios, aseguradoras y proveedores tecnológicos del sector. En ese escenario, el problema deja de ser puramente técnico y pasa a ser también operativo, reputacional y de estabilidad: más presión sobre presupuestos de ciberseguridad, más coste de cumplimiento, más riesgo de interrupción y más dependencia de terceros que quizá no parcheen con la misma velocidad.
Además, el mensaje de Washington no debería leerse como una alerta exclusiva para Wall Street. NIST abrió el 6 de abril de 2026 el desarrollo de un perfil específico de su marco de gestión de riesgos de IA para infraestructuras críticas, precisamente porque estos entornos —IT, OT e ICS— van a depender cada vez más de capacidades de IA en contextos donde seguridad, fiabilidad y continuidad son esenciales. Esa lógica se aplica tanto a la banca sistémica como a energía, telecomunicaciones, transporte, sanidad, mercados de capitales y servicios públicos digitales.
A partir de ahí, la derivada financiera es clara: si hoy Mythos está restringido, el verdadero riesgo de mercado está en que la capacidad se abarate, se democratice o termine llegando a modelos más accesibles, incluidos eventualmente los de código abierto. Anthropic no afirma que eso haya ocurrido ya, pero sí dice de forma explícita que estas capacidades van a proliferar y que el impacto potencial sobre economías, seguridad pública y seguridad nacional puede ser severo. Para el sector financiero, ese aviso equivale a decir que el coste de esperar puede ser mayor que el coste de prepararse.
Qué problemas debería anticipar el sector financiero
El primero es un problema de velocidad. Si una IA reduce el tiempo necesario para hallar y explotar vulnerabilidades, los calendarios de parcheo tradicionales dejan de ser cómodos. Ventanas de actualización que antes parecían razonables pueden volverse demasiado lentas para aplicaciones críticas, middleware heredado, entornos VDI, navegadores corporativos o software de terceros con procesos de validación muy pesados. Eso también afecta a filiales, proveedores y socios de outsourcing, que suelen ir más despacio que el banco principal.
El segundo es un problema de superficie de ataque acumulada. En banca, un incidente serio rara vez entra solo por el core bancario. Puede hacerlo por una estación de trabajo, una pasarela web, un proveedor SaaS, una librería open source, un entorno de desarrollo o un sistema de autenticación mal segmentado. Anthropic ha planteado que Project Glasswing trabajará precisamente sobre detección local de vulnerabilidades, pruebas sobre binarios, seguridad de endpoints y pentesting, lo que sugiere que el riesgo está distribuido por toda la pila, no concentrado en una sola capa.
El tercero es un problema de gobierno y comunicación. NIST subraya que, en infraestructuras críticas, desplegar IA de forma confiable exige prácticas de gestión del riesgo que sean comprensibles para operadores, desarrolladores, proveedores y demás partes interesadas a lo largo del ciclo de vida y de la cadena de suministro. Traducido al sector financiero: no basta con comprar más ciberseguridad; hay que saber quién decide, quién comunica, quién aísla, quién restaura y quién asume el mando cuando el incidente ocurre.
Las contingencias que deberían acelerarse ya
La primera contingencia es acortar el tiempo de mitigación en activos críticos. Anthropic ya apunta a que las futuras recomendaciones del sector tendrán que incluir procesos de actualización de software, automatización del parcheo y mejoras en divulgación de vulnerabilidades. En banca, eso implica revisar listas de activos crown jewels, clasificar dependencias esenciales y decidir qué sistemas no pueden seguir atados a ciclos lentos de cambio.
La segunda es elevar el nivel de recuperación y continuidad. NIST, en su perfil de gestión del riesgo de ransomware, insiste en desarrollar y ejercitar planes de recuperación con roles claros, priorización de servicios esenciales, copias de seguridad seguras y restauración probada, además de mantener actualizada la red de contactos internos y externos para incidentes graves. En un banco o una infraestructura de mercado, eso no debería verse como una buena práctica genérica, sino como un requisito de supervivencia operativa.
La tercera es segmentar mejor y contener antes. El mismo documento de NIST subraya la importancia de compartir información con las partes designadas, cortar la expansión del incidente y lanzar mensajes preventivos rápidos para frenar el contagio entre sistemas y redes. Llevado al terreno financiero, eso significa reforzar segmentación, privilegios mínimos, aislar entornos de administración, reducir dependencias cruzadas innecesarias y preparar procedimientos para desconectar o degradar servicios sin improvisación.
La cuarta es revisar la cadena de suministro digital. Anthropic ha dejado claro que las recomendaciones que quiere impulsar con Glasswing incluirán seguridad open source y de cadena de suministro, además de prácticas secure by design. Para bancos y mercados, eso obliga a mirar más allá del perímetro propio: fintechs integradas, proveedores de identidad, software de compliance, servicios cloud, bibliotecas open source, integradores y MSPs. El eslabón débil no siempre estará dentro del balance del banco, pero sí puede terminar golpeándolo en resultados y reputación.
La quinta es asumir que el problema no termina en Mythos. NIST está moviéndose ya sobre perfiles de IA confiable en infraestructuras críticas y Anthropic insiste en que esta carrera avanza en meses, no en años. En términos de gestión financiera, eso sugiere que 2026 y 2027 pueden ser menos una etapa de ajuste incremental y más una fase de recalibración presupuestaria: más gasto en automatización defensiva, más pruebas de resiliencia, más red team, más recuperación y más gobierno del riesgo de IA en consejo y comité de riesgos.
El fondo del asunto
La señal que sale de Washington es relevante porque convierte una discusión técnica en una cuestión de prudencia financiera. Cuando Tesoro y Reserva Federal se sientan con la gran banca para hablar de un modelo de IA ofensiva, lo que están diciendo en realidad es que el riesgo ya merece tratamiento de primer nivel: no como una curiosidad de laboratorio, sino como una variable capaz de alterar continuidad operativa, confianza del cliente, cumplimiento normativo y costes futuros de protección.
En ese sentido, Mythos no es solo una noticia sobre Anthropic. Es un aviso de mercado. Y en finanzas, los avisos que llegan antes suelen ser los más baratos de atender.
Preguntas frecuentes
¿Qué fue exactamente la reunión de Washington?
Según Reuters, fue una reunión urgente encabezada por Scott Bessent y Jerome Powell con varios consejeros delegados de grandes bancos para advertirles sobre los riesgos de ciberseguridad asociados a Mythos y a modelos similares.
¿Por qué preocupa tanto Mythos al sector financiero?
Porque Anthropic afirma que el modelo puede identificar y explotar debilidades en los grandes sistemas operativos y navegadores, y que ya ha encontrado miles de vulnerabilidades de alta severidad. Eso reduce el tiempo de reacción de los defensores y eleva la presión sobre sistemas críticos.
¿Qué contingencia general parece más urgente?
La combinación de tres frentes: acortar tiempos de mitigación, probar recuperación real con backups seguros y restauración validada, y fortalecer segmentación y cadena de suministro digital. NIST y Anthropic apuntan precisamente hacia esos ámbitos.
¿Esto afecta solo a la banca?
No. NIST ya está desarrollando un perfil de IA confiable para infraestructuras críticas en general, lo que extiende la preocupación a energía, telecomunicaciones, transporte, sanidad y otros sectores esenciales.
