La Anthropic puso a Washington en estado de alerta.
Una reunión de emergencia convocada por el secretario del Tesoro de EE.UU., Scott Bessent, reunió a los principales CEOs de los mayores bancos estadounidenses para tratar un asunto que pocos esperaban ver tan pronto en la agenda del gobierno: los riesgos de ciberseguridad generados por el más reciente modelo de IA de la empresa.
El modelo en cuestión es el Claude Mythos, aún no disponible al público, y el motivo de la preocupación es directo al grano.
La propia Anthropic admitió que la tecnología identificó miles de vulnerabilidades en software popular, algunas con casi tres décadas de existencia, que nunca habían sido detectadas por humanos ni por sistemas de monitoreo.
Es mucho para procesar de golpe, ¿verdad?
Pero el panorama se pone aún más interesante cuando ves quién estaba sentado en esa sala:
- David Solomon, de Goldman Sachs
- Brian Moynihan, de Bank of America
- Jane Fraser, de Citigroup
- Ted Pick, de Morgan Stanley
- Charlie Scharf, de Wells Fargo
Sin contar a Jerome Powell, presidente de la Reserva Federal, que también estuvo presente. Jamie Dimon, CEO de JP Morgan, fue invitado, pero no pudo asistir.
Lo que trajo a todas estas figuras a la misma mesa dice mucho sobre el momento en que la inteligencia artificial ha llegado, y sobre lo que todavía está por venir. 🤖
Reciba el mejor contenido sobre innovación en su correo electrónico.
Todas las noticias, consejos, tendencias y recursos que buscas, directamente en tu bandeja de entrada.
Al suscribirte al boletín informativo, aceptas recibir comunicaciones de Método Viral. Nos comprometemos a proteger y respetar siempre tu privacidad.
Qué provocó la reunión de emergencia en Washington
El detonante de la convocatoria no surgió de la nada. Semanas antes de la reunión, una filtración del código de Claude ya había causado revuelo en la comunidad de tecnología y seguridad. Ante la situación, la Anthropic publicó un post en su blog a principios del mes alertando que modelos de IA habían superado a todos los humanos, excepto a los más habilidosos, en la tarea de encontrar y explotar vulnerabilidades de software. La empresa fue más allá y afirmó que las consecuencias para las economías, la seguridad pública y la seguridad nacional podrían ser severas.
Esa declaración, viniendo de la propia creadora del modelo, tuvo un peso enorme. Cuando una empresa dice abiertamente que su tecnología representa riesgos sin precedentes, los reguladores tienden a tomárselo bastante en serio. Y fue exactamente lo que pasó. El secretario Bessent aprovechó que los ejecutivos de los bancos ya estaban en Washington para un encuentro de un grupo de lobby del sector y convocó la reunión con foco en los dirigentes de los llamados bancos sistémicamente importantes, aquellos cuyo eventual fallo o interrupción en las operaciones pondría en riesgo la estabilidad financiera de todo el país.
El momento tampoco fue coincidencia. Pocas semanas antes, el gobierno estadounidense había designado a la Anthropic como un riesgo para la cadena de suministro, una clasificación seria que la empresa está impugnando judicialmente. Es decir, el panorama ya estaba cargado de tensión antes incluso de la filtración y la revelación de las capacidades del Claude Mythos. La reunión representó, en la práctica, el reconocimiento de que la IA salió del campo de las promesas futuristas y entró en el territorio de las amenazas concretas e inmediatas. 🚨
Lo que Claude Mythos encontró que nadie había encontrado antes
Cuando la Anthropic divulgó internamente los resultados de las pruebas del Claude Mythos, el nivel de detalle técnico de los descubrimientos sorprendió hasta a los propios ingenieros de la empresa. El modelo fue capaz de rastrear grandes bases de código e detectar fallos que estaban escondidos durante años, décadas en algunos casos, en software ampliamente utilizado por el mercado financiero, por organismos gubernamentales y por infraestructuras críticas alrededor del mundo. No estamos hablando de brechas pequeñas o de impacto marginal. Algunas de estas vulnerabilidades podrían permitir acceso no autorizado a sistemas enteros, manipulación de datos o incluso la interrupción de servicios esenciales, y simplemente nunca habían aparecido en los radares convencionales de seguridad.
Según la Anthropic, los fallos más antiguos identificados por el modelo tenían hasta 27 años de existencia. Ninguno de ellos había sido detectado por sus creadores ni por monitores de tecnología antes de ser señalados por la IA. Esto muestra el tamaño del hueco que existía y que las herramientas tradicionales de seguridad simplemente no lograban alcanzar.
El punto que más llamó la atención de los especialistas es que buena parte de estos fallos tiene origen en código escrito entre los años 1990 e inicios de los 2000, una época en la que las prácticas de desarrollo de software eran bastante diferentes a las actuales y en la que la preocupación por la ciberseguridad aún no se trataba como prioridad estratégica. Esos sistemas fueron actualizándose a lo largo del tiempo, pero las raíces del problema permanecieron intactas, simplemente porque ninguna herramienta hasta entonces tenía la capacidad analítica suficiente para ver tan profundo. La IA de Anthropic cambió este juego de manera bastante significativa, y eso creó una situación que es al mismo tiempo alentadora y preocupante: si Claude Mythos encontró esos fallos, otros modelos con intenciones menos transparentes también pueden encontrarlos.
Es ahí donde entra la urgencia de la reunión en Washington. El gobierno estadounidense entendió rápidamente que hay dos caras en esta moneda. Por un lado, tener una herramienta capaz de mapear vulnerabilidades con esa profundidad es una ventaja enorme para quien quiere proteger sistemas. Por otro, esa misma capacidad en las manos equivocadas representa un vector de ataque sin precedentes. Los bancos presentes en la reunión son exactamente el tipo de objetivo que actores malintencionados, ya sean grupos de hackers o incluso Estados-nación con intereses geopolíticos, tendrían interés en comprometer. La combinación entre la sofisticación del modelo y la escala de los fallos descubiertos fue suficiente para justificar una convocatoria de emergencia al más alto nivel. 🔐
La decisión inédita de Anthropic de restringir el acceso al modelo
Ante la gravedad de lo que el Claude Mythos es capaz de hacer, la Anthropic tomó una decisión que nunca había tomado antes: restringir el lanzamiento de uno de sus productos. Esta es la primera vez que la empresa limita el acceso a un modelo de IA, poniéndolo a disposición únicamente de un grupo selecto de empresas y organizaciones.
Entre quienes recibieron acceso están nombres de peso como Amazon, Apple y Microsoft, además de las empresas de infraestructura de red Cisco y Broadcom, y la Linux Foundation, que promueve el sistema operativo Linux de código abierto. La elección no es aleatoria. Se trata de organizaciones que mantienen tecnologías utilizadas a escala global y que tendrían mayor capacidad y responsabilidad para actuar sobre los fallos encontrados por el modelo.
La lógica detrás de esta restricción es relativamente simple de entender, aunque la ejecución sea compleja. Si el Claude Mythos se liberara al público general con toda su capacidad de detección de fallos, hackers y grupos malintencionados podrían usar la herramienta para mapear brechas en sistemas antes de que se implementaran las correcciones. Al limitar el acceso a empresas que efectivamente pueden corregir las vulnerabilidades, Anthropic creó una especie de ventana de protección, dando tiempo para que los fallos sean resueltos antes de que cualquiera pueda explotarlos.
Este enfoque plantea un debate interesante sobre la responsabilidad de las empresas que desarrollan IA avanzada. Anthropic optó por actuar de forma preventiva, lo cual es elogiable, pero también expone una realidad incómoda: la capacidad técnica ya superó los mecanismos de gobernanza disponibles. Todavía no existen regulaciones claras que determinen cómo debe proceder una empresa cuando su modelo de IA descubre vulnerabilidades sistémicas de alcance global. La decisión de Anthropic fue voluntaria, y eso plantea la pregunta inevitable sobre qué sucede cuando otra empresa, quizás menos cautelosa, llegue al mismo punto tecnológico. ⚠️
Por qué los bancos están en el centro de esta conversación
El sector financiero es, históricamente, el principal objetivo de ataques cibernéticos en el mundo. No es exagerado decir que los bancos viven en estado permanente de alerta digital. Invierten miles de millones de dólares al año en infraestructura de seguridad, en equipos especializados y en sistemas de monitoreo en tiempo real, justamente porque saben que son un blanco constante. Pero lo que el caso del Claude Mythos sacó a la luz es que toda esa inversión puede tener una limitación estructural importante: fue construida para encontrar amenazas conocidas o variaciones de ellas, y no necesariamente para detectar fallos que nunca habían sido catalogados antes. Es una brecha que la IA ahora expuso de manera bastante concreta.
Jamie Dimon, CEO de JP Morgan, aun sin haber podido asistir a la reunión, reforzó esta preocupación en su carta anual a los accionistas, publicada la misma semana. Afirmó que la ciberseguridad sigue siendo uno de los mayores riesgos que enfrenta el banco y que la IA casi con toda seguridad va a empeorar ese riesgo. Cuando el líder de una de las mayores instituciones financieras del planeta hace una declaración así, el mercado presta atención.
Los CEOs que estaban en la sala en Washington entienden muy bien lo que está en juego. Una vulnerabilidad no corregida en un sistema bancario central puede significar desde la exposición de datos de millones de clientes hasta la posibilidad de movimientos financieros fraudulentos a gran escala. Y lo que la reunión señaló, de forma bastante clara, es que el sector necesita revisar sus estrategias de ciberseguridad teniendo en cuenta un nuevo tipo de amenaza: aquella que viene de la propia evolución de la IA. Ya no basta con monitorear ataques externos tradicionales. Ahora es necesario considerar que modelos avanzados pueden ser utilizados para encontrar y explotar brechas que los métodos convencionales simplemente no ven.
Otro punto que entró en la discusión es la cuestión de la responsabilidad compartida. Cuando una empresa como Anthropic desarrolla una tecnología con este nivel de capacidad y decide llevar los descubrimientos al gobierno antes que a cualquier otra parte, está señalando que reconoce el peso de lo que tiene en sus manos. Pero los bancos también tienen un papel activo en esto. A partir del momento en que las vulnerabilidades son conocidas, la presión para corregirlas aumenta exponencialmente, y el plazo para hacerlo de forma controlada puede ser mucho menor de lo que cualquiera quisiera. La carrera para cerrar esas brechas antes de que alguien con malas intenciones las explote es, en la práctica, el nuevo campo de batalla de la ciberseguridad financiera. 💻
Herramientas que usamos a diario
La preocupación por las contraseñas, la criptografía y la próxima generación de ataques
Una de las mayores preocupaciones que planteó el caso del Claude Mythos tiene que ver con la posibilidad de que herramientas de IA con este nivel de sofisticación sean utilizadas para descifrar contraseñas o comprometer sistemas de criptografía que hoy se consideran seguros. Este es un escenario que los especialistas en seguridad digital vienen discutiendo desde hace algún tiempo, pero que ganó una capa de urgencia mucho mayor tras las revelaciones de la Anthropic.
La criptografía es la base de prácticamente toda la comunicación digital segura. Desde transacciones bancarias online hasta mensajes privados y datos gubernamentales, todo depende de algoritmos que hacen la información ilegible para quien no tiene la clave correcta. El problema es que modelos de IA cada vez más poderosos pueden, en teoría, encontrar atajos en esos algoritmos o identificar implementaciones defectuosas que crean brechas explotables. Si Claude Mythos ya demostró la capacidad de encontrar fallos que estaban escondidos durante casi tres décadas, no es descabellado pensar que modelos futuros puedan ir aún más lejos.
Para los bancos, esta perspectiva es particularmente aterradora. La seguridad de las transacciones financieras, la protección de datos de clientes y la integridad de las comunicaciones internas dependen directamente de sistemas criptográficos robustos. Si esos sistemas fueran comprometidos, el impacto va mucho más allá de una filtración de datos. Estamos hablando de la posibilidad de afectar la confianza en el sistema financiero en su conjunto, algo que puede tener repercusiones económicas en cascada. 🔑
Qué cambia a partir de ahora para la IA y la seguridad digital
El episodio que involucra a la Anthropic y a los mayores bancos estadounidenses marca un punto de inflexión importante en la forma en que gobiernos, empresas y reguladores van a encarar el desarrollo de modelos de IA de alta capacidad. Durante mucho tiempo, el debate giró en torno a cuestiones como la desinformación, el sesgo algorítmico y el impacto en el mercado laboral. Son temas relevantes, claro, pero lo que el Claude Mythos puso sobre la mesa es algo de naturaleza diferente: la posibilidad concreta de que una IA sea capaz de comprometer infraestructuras críticas de forma pasiva, simplemente al revelar lo que siempre estuvo ahí y nunca fue visto. Esto coloca a la ciberseguridad en el centro del debate sobre regulación de IA de una manera que no había ocurrido antes con tanta urgencia.
Desde el punto de vista técnico, lo que Claude Mythos representa es un salto cualitativo en la capacidad de análisis estático y dinámico de código. Modelos anteriores de IA ya se utilizaban en herramientas de seguridad, pero generalmente de forma auxiliar, ayudando a ingenieros humanos a priorizar alertas o a identificar patrones en grandes volúmenes de datos. Lo que se discute sobre el nuevo modelo de la Anthropic es que habría dado un paso más allá, operando con un nivel de comprensión semántica del código que va más allá de la detección de patrones y logra razonar sobre el comportamiento del sistema en escenarios que nunca fueron probados antes. Esto es relevante tanto para quien quiere defender como para quien quiere atacar, y es exactamente esa dualidad la que preocupa a los especialistas. 🧠
Cabe recordar que todas las partes involucradas, incluyendo la Reserva Federal, la Anthropic, los bancos estadounidenses y el propio Tesoro de EE.UU., se negaron a comentar sobre los detalles de la reunión cuando fueron contactados por Bloomberg, que fue el primer medio en reportar los detalles del encuentro. Ese silencio institucional dice bastante sobre la sensibilidad del asunto y sobre el nivel de cautela con que todos están tratando la situación.
Lo que viene a continuación aún está por definirse, pero algunas direcciones ya están claras. Los gobiernos van a presionar por mayor transparencia en los procesos de prueba de modelos avanzados de IA, especialmente cuando estas tecnologías tienen potencial de impacto en sectores regulados como el financiero. Las empresas de ciberseguridad van a necesitar incorporar la IA no solo como herramienta de defensa, sino también como parte del modelo de amenaza que deben considerar. Y los bancos, que salieron de aquella reunión en Washington con una lista de preguntas mucho mayor que cuando entraron, van a tener que revisar sus arquitecturas de seguridad con una mirada que va mucho más allá de los frameworks tradicionales. El futuro de la ciberseguridad ya llegó, y vino con la forma de un modelo de lenguaje. 🔒
