Anthropic publica el informe “Mythos”: Fed, Treasury y Wall Street se reúnen para discutir los riesgos relacionados con la ciberseguridad en el sector bancario.

El martes, el Secretario del Tesoro, Scott Bessent, y el presidente de la Reserva Federal, Jerome Powell, convocaron a los principales ejecutivos de las instituciones bancarias de Wall Street en Washington.La agenda prioritaria se centraba en el nuevo modelo de inteligencia artificial desarrollado por Anthropic PBC, conocido como Mythos. Este modelo ha generado serias preocupaciones entre los reguladores. Esta reunión de alto nivel indica un cambio fundamental en la relación entre el sector financiero mundial y la inteligencia artificial. La inteligencia artificial ya no es simplemente una herramienta para mejorar la eficiencia operativa de las empresas. Por el contrario, se ha convertido rápidamente en un factor crucial en los costos de seguridad y en las normas regulatorias aplicables a todas las instituciones financieras. La realidad es que los modelos avanzados, capaces de generar una enorme productividad, también pueden representar una amenaza para la estabilidad sistémica, si sus capacidades superan los mecanismos de defensa institucionales.

Importancia sistémica y el mandato de Washington

La reunión, que anteriormente no había sido reportada, se organizó con poco tiempo de anticipación en la sede del Departamento del Tesoro. Esto refuerza el consenso entre los principales reguladores de que la industria financiera enfrenta una gran exposición a nuevos tipos de ataques cibernéticos. La decisión de Bessent y Powell de convocar a este grupo destaca la gravedad de esta preocupación regulatoria. Todos los bancos convocados a la reunión son considerados sistemáticamente importantes por los principales reguladores. Esto significa que su estabilidad operativa continua es una prioridad absoluta para el sistema financiero mundial. Entre los directores ejecutivos presentes estaban Jane Fraser de Citigroup Inc., Ted Pick de Morgan Stanley, Brian Moynihan de Bank of America Corp., Charlie Scharf de Wells Fargo & Co., y David Solomon de Goldman Sachs Group Inc. El director ejecutivo de JPMorgan Chase & Co., Jamie Dimon, no pudo asistir a la reunión.

El objetivo principal de la cumbre fue claro: los reguladores debían verificar que estas instituciones estuvieran plenamente conscientes de los posibles riesgos futuros que podría generar el “Mythos” de Anthropic. Además, el Tesoro y la Fed necesitaban garantías de que estas bancos tomaran medidas preventivas para proteger sus sistemas críticos contra posibles modelos similares que pudieran surgir en el futuro. Tras las discusiones, un representante del Tesoro no respondió inmediatamente a la solicitud de comentarios, y un portavoz de la Fed se negó a hacer declaraciones al respecto.

Proyecto Glasswing y la Matriz de Amenazas Mythos

La principal preocupación de los reguladores federales es la capacidad ofensiva automatizada que se encuentra dentro del nuevo modelo. Anthropic ha declarado que Mythos es un sistema mucho más poderoso, capaz de identificar y explotar las vulnerabilidades presentes en todos los principales sistemas operativos y navegadores web, cuando así lo ordene el usuario. Durante pruebas internas rigurosas, el equipo de seguridad interno de Anthropic descubrió que las vulnerabilidades detectadas por el modelo eran de gran importancia. En una demostración específica, el modelo logró crear una técnica para aprovechar cuatro vulnerabilidades diferentes en un navegador web. El sistema de IA también encontró una vulnerabilidad de 27 años de antigüedad, utilizada en infraestructuras de software críticas relacionadas con Internet. Además, Mythos identificó una vulnerabilidad de 16 años de antigüedad en un código de software para videos. Esta falta de seguridad había sido detectada cientos de veces por herramientas de prueba automática, pero nunca antes había sido encontrada.

Para reducir el riesgo de que estas capacidades caigan en manos de los hackers, las autoridades reguladoras mantienen una actitud cautelosa, al igual que lo hace Anthropic. La empresa limita severamente la distribución de Mythos, dejándola únicamente disponible para unas pocas empresas importantes del sector tecnológico y financiero. Por ahora, la startup de IA no tiene intención de poner Mythos a disposición del público en general. En cambio, ha creado una iniciativa especializada llamada Project Glasswing. Este grupo incluye socios corporativos como Amazon.com Inc., Apple Inc., Microsoft Corp. y Cisco Systems Inc., además de JPMorgan Chase & Co. Las empresas participantes tendrán acceso controlado a Mythos, con el fin de probar el modelo contra sus propios productos y detectar posibles vulnerabilidades. La idea principal de Project Glasswing es que los miembros compartan sus hallazos defensivos con otros profesionales del sector. Anthropic utilizará estos datos para determinar qué medidas de seguridad deben incorporarse permanentemente en la tecnología. Esto supone una enorme presión sobre toda la industria tecnológica. Se dice que el costo operativo para detectar nuevas vulnerabilidades en la seguridad de redes utilizando estas capacidades avanzadas ha disminuido drásticamente, hasta tan solo 5 dólares.

Los precios en Wall Street y el cambio en el paradigma de las valores mobiliarios

Wall Street está experimentando rápidamente un cambio de paradigma en materia de riesgos de ciberseguridad, debido a los modelos avanzados de IA como el Mythos de Anthropic. Este desarrollo motiva a los inversores a reevaluar las consecuencias financieras que trae consigo el auge de la tecnología AI. Los inversores deben prever un aumento significativo en los costos de seguridad, en los requisitos de cumplimiento normativo y en la infraestructura defensiva necesaria para bancos, proveedores de servicios en la nube y empresas especializadas en ciberseguridad.

Las noticias relacionadas con los mitos provocaron una presión de venta inmediata en las acciones de empresas especializadas en ciberseguridad y servicios SaaS. Los operadores temían que la detección de vulnerabilidades mediante tecnologías de IA pudiera perturbar los modelos tradicionales de defensa y reducir las ganancias de las empresas del sector de software. Las acciones de empresas relacionadas con la ciberseguridad experimentaron fuertes caídas: CrowdStrike bajó un 6.73%, a 366.21 dólares; Zscaler cayó un 5.17%, a 134.19 dólares; y Palo Alto Networks bajó un 4.30%, a 149.64 dólares. Otras acciones afectadas incluyeron SentinelOne, Okta, Netskope, Tenable y Qualys. Las pérdidas variaron entre el 5% y el 15% en las semanas siguientes al descubrimiento de los detalles del modelo de seguridad utilizado por estas empresas.

La caída en las cotizaciones de las acciones de Mythos refleja el miedo de que esta empresa, capaz de detectar y aprovechar los defectos en un costo bajo, pueda acelerar los ataques automatizados. Esto obligará a las empresas a reorientar sus presupuestos de TI, pasando de herramientas SaaS a medidas urgentes para corregir los errores y mejorar la detección de amenazas mediante tecnologías de IA. Los analistas advierten que habrá una volatilidad prolongada en este sector, ya que cada nueva versión del software de IA requerirá una reevaluación de las valoraciones relacionadas con la ciberseguridad y las perspectivas de crecimiento de las herramientas SaaS.

Una nueva era de supervisión regulatoria

En última instancia, cuando los vectores de amenaza relacionados con la inteligencia artificial comiencen a ocupar un lugar importante en las agendas políticas urgentes del Departamento del Tesoro, la Reserva Federal y los ejecutivos de Wall Street, la narrativa general del mercado cambiará radicalmente. Los inversores ya no podrán evaluar a las empresas tecnológicas únicamente basándose en métricas como el rendimiento de sus modelos, la capacidad de computación o las tasas de adopción por parte de los usuarios. En cambio, el foco principal de los participantes en el mercado será determinar qué empresas son las que podrán beneficiarse o, por el contrario, sufrirán pérdidas debido a esta nueva ola de requisitos de seguridad y reestructuraciones regulatorias. Las instituciones financieras se verán obligadas a invertir una cantidad significativa de capital en infraestructuras de protección, lo que fortalecerá la posición de los proveedores de soluciones de ciberseguridad basadas en la inteligencia artificial. Por el otro lado, los sistemas de software tradicionales que no se adapten a la velocidad y eficiencia de modelos como Mythos enfrentarán riesgos cada vez mayores, tanto por parte de los reguladores federales como de los mercados de capitales.