Guía de Portal FinDev sobre Mythos

La reciente cobertura sobre el nuevo modelo de inteligencia artificial (IA) llamado Mythos ha generado preocupación en diversos sectores por el aumento de los riesgos de ciberseguridad, especialmente en el ámbito financiero. En Portal FinDev hemos estado siguiendo de cerca estas noticias y analizando qué implicaciones podrían tener para la inclusión financiera. Por ahora, hay más preguntas que respuestas. Aun así, hemos recopilado la información disponible públicamente para ofrecer una guía inicial sobre las inquietudes que plantea Mythos y lo que podría significar para las finanzas inclusivas. Conviene tener presente que los modelos de IA están evolucionando rápidamente, por lo que es probable que durante algún tiempo sigan predominando las incertidumbres.

¿Qué es Mythos?

Mythos es un modelo de IA desarrollado por la empresa estadounidense Anthropic, anunciado el 7 de abril de 2026. Lo que lo diferencia de otros modelos de lenguaje de propósito general como Claude o ChatGPT es su supuesta capacidad para encontrar y explotar lo que se conoce como vulnerabilidades de “día cero” (zero-day). Se trata de fallas en el software que aún no han sido detectadas y que pueden ser aprovechadas antes de que alguien siquiera sepa que existen.

En evaluaciones controladas, Mythos fue capaz de ejecutar “ataques en múltiples etapas sobre redes vulnerables y de descubrir y explotar vulnerabilidades de forma autónoma -tareas que a profesionales humanos les llevarían días-”, según el Instituto de Seguridad de IA del Reino Unido. Hasta ahora, Mythos no ha sido lanzado al público. Sin embargo, Anthropic ha dado acceso anticipado a varias grandes empresas tecnológicas y financieras de EE. UU., como Microsoft, Google, Apple, Amazon Web Services y JPMorgan Chase, para que puedan analizar sus redes y corregir problemas antes de que esas vulnerabilidades queden expuestas.

¿Cuáles son las principales preocupaciones sobre Mythos?

La principal preocupación no es Mythos en sí, sino lo que este tipo de modelos podría significar para los ciberataques del futuro. Mythos demuestra que la misma tecnología que ayuda a las organizaciones a detectar vulnerabilidades también puede usarse para explotarlas antes de que se solucionen. El temor es que estos modelos no permanezcan restringidos para siempre. Si llegan a manos equivocadas, ataques que antes requerían habilidades altamente especializadas y días de trabajo podrían realizarse más rápido, a mayor escala y por actores mucho menos sofisticados.

La mayoría de los expertos coincide en que los ciberataques impulsados por IA representan una amenaza seria y creciente, y hay consenso en que riesgos como los asociados a Mythos deben tomarse en serio. Sin embargo, no todos están de acuerdo en el nivel de alarma: algunos especialistas en seguridad consideran que este modelo es un paso esperado en la evolución de la IA, más que una amenaza existencial.

¿Quiénes podrían verse afectados por este tipo de modelo? 

Los riesgos asociados a modelos como Mythos podrían afectar a todos los sectores, aunque de diferentes maneras. Los gobiernos están preocupados por la seguridad nacional. Las infraestructuras críticas -como redes eléctricas, sistemas de agua y otros servicios públicos- dependen del software, lo que las hace vulnerables a ciberataques impulsados por IA.

Los reguladores financieros temen riesgos sistémicos. Bancos y otras instituciones financieras son especialmente vulnerables porque muchos aún operan con sistemas antiguos, desarrollados décadas antes de la existencia de internet, que hoy conviven con tecnologías modernas conectadas al exterior. Los puntos donde se conectan estos sistemas suelen ser donde se esconden las debilidades de seguridad, precisamente el tipo de vulnerabilidades que herramientas como Mythos pueden identificar y explotar. Además, el sector bancario depende de un número reducido de grandes proveedores de servicios en la nube, lo que implica que un ataque a uno de ellos podría tener efectos en cadena en todo el sistema financiero.

Para los consumidores, los ciberataques a sistemas bancarios y de pago pueden traducirse en cuentas bloqueadas, transacciones fallidas o filtración de datos personales. Este tipo de interrupciones puede erosionar la confianza del público, algo que tarda años en construirse.

¿Qué significan estos crecientes riesgos para la inclusión financiera?

Los riesgos de ciberseguridad en la inclusión financiera ya estaban aumentando antes de Mythos. En julio de 2024, un ataque de ransomware contra un proveedor tecnológico que atendía a cientos de pequeños bancos en zonas rurales de India paralizó los sistemas de pago de casi 300 instituciones, dejando a millones de personas sin poder retirar efectivo ni realizar pagos digitales. Fue un claro ejemplo de cómo una brecha en un punto de un sistema financiero interconectado puede propagarse y afectar especialmente a las comunidades más vulnerables. Lo que cambia Mythos es la escala y la sofisticación de lo que podría llegar a ser posible.

Un marco desarrollado por MITRE describe cómo los ataques a sistemas financieros suelen desarrollarse como una cadena de pasos: encontrar una debilidad, moverse a través de sistemas conectados, acceder a cuentas y finalmente extraer fondos o interrumpir operaciones. Herramientas como Mythos podrían automatizar toda esa cadena. El Instituto de Seguridad de IA del Reino Unido encontró que el modelo podía ejecutar este tipo de ataques de múltiples etapas de forma autónoma y a una velocidad sin precedentes. La preocupación para las instituciones financieras -incluidos bancos pequeños, instituciones de microfinanzas, fintechs y operadores de dinero móvil- es enfrentar ataques más rápidos, simultáneos y mucho más difíciles de detectar antes de que causen daño.

El Fondo Monetario Internacional (FMI) ha señalado que los marcos de ciberseguridad del sector financiero en economías emergentes y en desarrollo suelen ser insuficientes. Muchos países aún carecen de estrategias nacionales o regulaciones específicas para este tema. La aparición de modelos como Mythos podría ampliar aún más esa brecha.

¿Qué se está haciendo para abordar estos riesgos?

A nivel global, Anthropic lanzó el proyecto Glasswing para dar a grandes empresas tecnológicas e instituciones financieras una ventaja inicial en la identificación y corrección de vulnerabilidades antes de que herramientas como Mythos se difundan más ampliamente. Reguladores en EE. UU., Europa, Asia y Australia han expresado preocupación, pero todavía no existe una respuesta global coordinada.

Dado que las organizaciones involucradas en este proyecto son principalmente grandes empresas tecnológicas estadounidenses y grandes instituciones financieras, no está claro si estas protecciones llegarán a instituciones más pequeñas -como microfinancieras, fintechs, operadores de dinero móvil y bancos comunitarios- que atienden a poblaciones de bajos ingresos en países en desarrollo, muchas de las cuales no tienen los recursos para construir defensas equivalentes.

El FMI ha señalado recientemente una fuerte demanda de apoyo por parte de los países para fortalecer sus marcos de ciberseguridad en el sector financiero. La aparición de modelos como Mythos hace que este trabajo sea aún más urgente. Sin embargo, qué significa esto en la práctica para los países en desarrollo y la inclusión financiera -y cómo responderá la comunidad internacional- sigue siendo incierto. 

Mantente al tanto

Mythos puede ser el ejemplo más visible de los crecientes riesgos en ciberseguridad, pero probablemente no será el último. El Foro Económico Mundial Forum ha señalado que, aunque las capacidades defensivas están mejorando, lo hacen de manera desigual, y que se avecina un periodo de mayor riesgo. Que la respuesta internacional a modelos como Mythos llegue también a las instituciones y reguladores que atienden a las comunidades más pobres -y no solo a los grandes bancos de los países más ricos- podría tener implicaciones importantes para la inclusión financiera digital. FinDev Gateway continuará monitoreando estos avances y compartirá actualizaciones a medida que el panorama se aclare.

Nos gustaría escuchar a profesionales que trabajan en inclusión financiera. ¿Considera que las amenazas de ciberseguridad impulsadas por IA son una preocupación real y creciente para su organización o el sector? ¿Ya está tomando medidas para abordarlas? ¿Dónde creen que se encuentran las principales vulnerabilidades en las instituciones y comunidades con las que trabajan? Comparta sus opiniones en los comentarios.