Anthropic notificó de forma voluntaria al principal regulador financiero global los fallos de ciberseguridad detectados en Mythos, uno de sus sistemas de inteligencia artificial. La empresa actuó por iniciativa propia, sin requerimiento previo de ninguna autoridad.
Un movimiento que el sector raramente hace
La compañía detrás del asistente conversacional Claude decidió comunicar las vulnerabilidades encontradas en Mythos antes de que ningún organismo se lo exigiera. Es una postura que contrasta con la práctica habitual en la industria tecnológica, donde los fallos de seguridad suelen gestionarse de forma interna o se revelan solo cuando la presión regulatoria o mediática obliga a ello.
El gesto tiene peso simbólico y práctico. Anthropic eligió dirigirse al regulador financiero global de mayor rango, lo que indica que la empresa consideró que las implicaciones de estas vulnerabilidades superaban el ámbito estrictamente tecnológico y entraban en terreno sistémico.
La fuente original no especifica el nombre exacto del regulador contactado ni la fecha precisa de la comunicación. Tampoco detalla el número de vulnerabilidades reportadas ni el volumen de activos o usuarios potencialmente expuestos. Esa ausencia de cifras concretas es, en sí misma, un dato relevante sobre la opacidad que aún rodea este tipo de incidentes.
Qué es Mythos y por qué opera en entornos financieros
Mythos es un sistema de inteligencia artificial desarrollado por Anthropic que trabaja en infraestructuras del sector financiero. Eso lo distingue de los asistentes conversacionales de uso general: su entorno de operación incluye sistemas que gestionan datos económicos, transacciones o información de inversión.
Cuando una herramienta de este tipo presenta fallos de ciberseguridad, el riesgo no se limita a un error de software. Una vulnerabilidad en un sistema con acceso a infraestructura financiera puede convertirse en un vector de entrada para actores maliciosos que busquen datos de clientes, movimientos de capital o información sensible de mercado.
El sector financiero lleva años incorporando modelos de inteligencia artificial en sus procesos internos, desde la detección de fraude hasta la gestión automatizada de carteras. Esa integración ha aumentado la eficiencia, pero también ha ampliado la superficie de ataque disponible para amenazas externas.
Por qué la notificación voluntaria cambia el marco regulatorio
En la mayoría de jurisdicciones, las empresas tecnológicas no están obligadas a notificar fallos de seguridad en sistemas de inteligencia artificial a reguladores financieros. La normativa vigente en Europa, Estados Unidos y los principales mercados de América Latina cubre brechas de datos personales bajo marcos como el RGPD europeo o leyes sectoriales bancarias, pero no contempla de forma explícita los fallos en sistemas de IA como categoría autónoma de reporte.
Lo que hizo Anthropic abre un precedente incómodo para el resto del sector. Si una empresa comunica voluntariamente sus vulnerabilidades a un regulador financiero global, implícitamente está reconociendo que ese regulador tiene competencia para recibir y actuar sobre esa información. Eso puede acelerar el debate sobre si esa competencia debe formalizarse mediante norma.
El Reglamento de Inteligencia Artificial de la Unión Europea, en vigor desde 2024, establece obligaciones de transparencia y gestión de riesgos para sistemas clasificados como de alto riesgo. Los sistemas de IA que operan en infraestructuras financieras críticas entran en esa categoría. Sin embargo, el reglamento europeo no tiene alcance global directo, y su aplicación en mercados como Estados Unidos o Asia depende de acuerdos bilaterales y voluntad regulatoria local.
El precedente de la fontanería: avisar antes de que haya daño
La analogía que mejor describe la acción de Anthropic es la de un proveedor de infraestructura que alerta a la autoridad competente de un fallo estructural antes de que se produzca el accidente. En el sector tecnológico, eso es la excepción, no la norma.
Las grandes empresas de software han operado históricamente bajo el principio de divulgación responsable coordinada, que consiste en notificar primero al propio equipo interno, corregir el fallo y solo entonces informar públicamente, a menudo minimizando el alcance del problema. Los reguladores financieros suelen enterarse tarde, cuando el daño ya es visible o cuando un tercero denuncia la vulnerabilidad.
El movimiento de Anthropic sugiere una estrategia diferente: posicionarse como actor de buena fe ante los reguladores antes de que la presión normativa los obligue a hacerlo. Eso puede traducirse en mayor margen de maniobra cuando lleguen las negociaciones sobre las reglas del juego en inteligencia artificial aplicada al sector financiero.
Claude, Mythos y la arquitectura de riesgo de Anthropic
Anthropic gestiona al menos dos productos con perfiles de riesgo muy distintos. Claude es un asistente conversacional de uso amplio, con millones de usuarios en contextos cotidianos y profesionales. Mythos opera en un entorno acotado y de mayor sensibilidad, el financiero, lo que implica un nivel de escrutinio diferente.
La empresa fue fundada en 2021 por Dario Amodei y Daniela Amodei, junto con otros ex investigadores de OpenAI. Desde su origen, Anthropic ha construido su identidad corporativa sobre la seguridad en inteligencia artificial como eje central, no como característica secundaria. Ese posicionamiento es coherente con la decisión de notificar a un regulador externo sin esperar a ser requerida.
La fuente original no proporciona cifras sobre el número de instituciones financieras que usan Mythos, el volumen de datos gestionados por el sistema ni el coste estimado de las vulnerabilidades detectadas. La ausencia de esos datos impide calibrar la magnitud real del incidente.
El debate que llega a los reguladores: ¿obligación o voluntariedad?
La acción de Anthropic reactiva una discusión que lleva meses circulando en foros regulatorios internacionales: si las empresas que desarrollan sistemas de inteligencia artificial para el sector financiero deben estar sujetas a obligaciones de reporte similares a las que rigen para los bancos cuando detectan incidentes de ciberseguridad.
En el sistema bancario tradicional, las entidades tienen plazos estrictos para notificar brechas de seguridad a sus supervisores. El Banco Central Europeo, la Autoridad Bancaria Europea y la Reserva Federal de Estados Unidos cuentan con protocolos específicos para gestionar esos reportes. Los proveedores tecnológicos que sirven a esos bancos, en cambio, operan con mucha mayor discrecionalidad.
La pregunta que deja sobre la mesa el caso de Anthropic y Mythos es si esa asimetría regulatoria tiene sentido cuando el proveedor tecnológico tiene acceso a la misma infraestructura crítica que el banco al que sirve. La respuesta regulatoria a esa pregunta definirá parte del marco normativo de la inteligencia artificial financiera en los próximos años.
Lo que está en juego
El caso de Anthropic y Mythos no es un incidente aislado de ciberseguridad. Es un test sobre cómo el sector de la inteligencia artificial gestiona su relación con los reguladores financieros en un momento en que esa relación está tomando forma.
Si la notificación voluntaria de Anthropic genera una respuesta regulatoria constructiva, otras empresas tendrán incentivos para hacer lo mismo. Si el regulador reacciona con sanciones o restricciones inmediatas, el efecto disuasorio será el contrario: las empresas guardarán silencio y gestionarán sus vulnerabilidades en privado, alejadas del escrutinio público.
La magnitud real del fallo en Mythos, el número de sistemas afectados y las consecuencias concretas para usuarios o instituciones financieras no han sido divulgados en la información disponible. Esa opacidad es el principal límite para evaluar el impacto verificable de este episodio.
Imagen ilustrativa generada con inteligencia artificial.
Edición con asistencia de herramientas de IA bajo supervisión editorial. Cómo trabajamos.
IBERIA
IBERIA es la redacción de LaPrensaIA. Cubrimos la actualidad de la inteligencia artificial con criterio propio: tecnología, empresas y sociedad. Cada artículo es producido por agentes de IA y revisado por su editor humano.
