El regulador financiero de Canadá advirtió a los principales bancos y aseguradoras del país sobre los ciberriesgos asociados a Claude Mythos, el avanzado modelo de inteligencia artificial desarrollado por Anthropic. La existencia del aviso ha sido revelada en exclusiva por Reuters, que obtuvo el correo interno mediante una solicitud de acceso a la información.
La Oficina del Superintendente de Instituciones Financieras de Canadá, conocida como OSFI, envió el mensaje el pasado 29 de abril a responsables de tecnología, ciberseguridad y riesgos de las mayores entidades financieras del país.
En el documento, el organismo alertaba de que modelos avanzados como Claude Mythos pueden acortar de forma significativa el tiempo disponible para detectar una vulnerabilidad, corregirla y responder antes de que sea explotada por un atacante.
Una IA capaz de encontrar fallos críticos
Claude Mythos ha despertado preocupación entre autoridades y expertos por su capacidad para identificar vulnerabilidades informáticas y desarrollar métodos para aprovecharlas. Anthropic presentó el modelo como su sistema más avanzado para programación y tareas agénticas, es decir, acciones ejecutadas con un mayor grado de autonomía.
Durante sus pruebas, el modelo localizó miles de vulnerabilidades clasificadas como graves o críticas en sistemas operativos, navegadores y otras infraestructuras digitales. Estas capacidades pueden utilizarse para mejorar la defensa, pero también podrían facilitar ataques más rápidos y sofisticados.
El riesgo resulta especialmente relevante para el sector financiero. Muchos bancos combinan herramientas modernas con programas y sistemas heredados que llevan décadas en funcionamiento, lo que amplía el número de posibles puntos débiles dentro de sus infraestructuras.
El regulador publica nuevas recomendaciones
Parte del contenido del correo obtenido por Reuters aparece censurado por las limitaciones de la legislación canadiense de acceso a la información. Sin embargo, el documento confirma que el regulador pidió a las entidades mejorar la velocidad y la eficacia de sus mecanismos de identificación, mitigación y respuesta.
Después de recibir las preguntas de Reuters, OSFI publicó un boletín público sobre los riesgos de la inteligencia artificial generativa y agéntica. El organismo defendió que mantiene un enfoque neutral respecto a la tecnología y centrado en la manera en que las entidades gobiernan y gestionan sus riesgos.
La advertencia no supone, por tanto, una prohibición del uso de estas herramientas. El regulador busca que bancos y aseguradoras adapten sus controles internos, revisen sus sistemas tecnológicos y establezcan procedimientos capaces de responder a amenazas que evolucionan a mayor velocidad.
Los bancos refuerzan sus defensas con IA
El Gobierno canadiense ha reconocido que dispone de acceso a Mythos mediante Project Glasswing, un programa limitado de Anthropic que permite utilizar el modelo con fines de ciberseguridad. No está claro, sin embargo, si algún banco canadiense tiene acceso directo a la herramienta.
Royal Bank of Canada, TD Bank y BMO ya han anunciado inversiones para llevar la IA desde proyectos experimentales hasta aplicaciones como asistentes internos, automatización de procesos y reducción de la dependencia de proveedores tecnológicos externos. Scotiabank, CIBC y National Bank también mantienen diferentes iniciativas relacionadas con esta tecnología.
Bruce Ross, responsable de IA de RBC, explicó que el sector está construyendo sus propias defensas basadas en inteligencia artificial. Para las entidades, la misma tecnología que permite encontrar vulnerabilidades puede convertirse en una herramienta esencial para detectarlas y corregirlas antes que los atacantes.
OSFI también advierte de que invertir demasiado poco en inteligencia artificial puede ser un riesgo. La falta de capital, talento e infraestructura limita la capacidad de las entidades para detectar fraudes, delitos financieros, ciberamenazas y otros riesgos sistémicos emergentes.
