Mythos y el mito del cero: por qué los bancos deben dejar de perseguir un registro impecable de vulnerabilidades.

La tecnología bancaria se construyó como un edificio extenso y constantemente ocupado, diseñado para la escalabilidad, el tiempo de actividad y el uso continuo. Nunca estuvo desprotegido.  

Las puertas tenían cerraduras, los corredores cámaras y para acceder a ciertas habitaciones era necesario presentar una identificación e ir acompañado. Si se encontraba una puerta sin cerrar, existía un procedimiento repetible para cerrarla con llave.

Ese proceso a menudo se basaba en el riesgo. Cuando no se disponía de un parche, se seguía un enfoque metódico para aplicar controles compensatorios mientras se desarrollaba la solución del problema.  

Esa es la disciplina bancaria normal. Y funcionó cuando el ritmo de los descubrimientos era humano.

El modelo de IA de vanguardia Claude Mythos de Anthropic cambió eso, al sacar a la luz las vulnerabilidades más rápido de lo que cualquier proceso de remediación estaba diseñado para manejar y dar a los adversarios una ventana para actuar antes de que las defensas puedan cerrarla.

El viejo pacto: encuentra la debilidad, corrige la debilidad.

Durante la mayor parte de la última década, la acumulación de vulnerabilidades se gestionó mediante un proceso estándar de aplicación de parches, control de cambios y ciclo de validación que incluso los reguladores llegaron a aceptar.

Los reguladores reforzaron ese modelo con expectativas en torno a la ciberhigiene, las pruebas rigurosas y la gestión estricta de parches. El Departamento de Servicios Financieros del Estado de Nueva York (NYDFS), por ejemplo, integró la corrección de vulnerabilidades y el control de cambios directamente en sus exámenes de ciberseguridad.

Pero como bien sabe cualquiera que vivió una actualización importante, una ventana de parches de fin de semana o una dependencia heredada frágil, algunas puertas se pueden cerrar rápidamente, mientras que otras requieren más fuerza y esfuerzo.  

Cerrarlas sin preparación puede interrumpir el procesamiento de nóminas, las cadenas de liquidación, los flujos de trabajo de subscripción de pólizas y el acceso de los clientes. Eso es precisamente lo que los programas de resiliencia están diseñados para evitar.

Las instituciones siempre trabajaron con una acumulación de riesgos y vulnerabilidades. Para abordar esta situación, se siguió un proceso de gestión de riesgos bien definido. Mythos hace que el retraso sea imposible de ignorar y vuelve obsoleto el antiguo proceso.

La nueva realidad: el descubrimiento se aceleró a la velocidad de las máquinas.

Durante las pruebas controladas, Mythos Preview de Anthropic descubrió de forma autónoma miles de vulnerabilidades previamente desconocidas en los principales sistemas operativos y navegadores. Muchos existieron sin ser detectados durante décadas.  

Lo que antes requería equipos especializados y ciclos de auditoría prolongados se comprimió en una única pasada basada en modelos.

En la conferencia telefónica sobre resultados de JPMorgan Chase, el director ejecutivo Jamie Dimon describió la IA como un arma de doble filo. Según él, Mythos demuestra que aún quedan muchas vulnerabilidades por corregir.

Tiene razón. Pero la pregunta más importante es qué sucede con los que no se reparan a tiempo.

El reporte de Verizon de 2026 sobre investigaciones de filtraciones de datos muestra que los atacantes suelen alcanzar la explotación masiva de vulnerabilidades recién descubiertas en aproximadamente cinco días. La subsanación completa en los sectores regulados suele tardar varias semanas más.  

La brecha entre el descubrimiento y la aplicación del parche siempre existió. Mythos simplemente hizo visibles ambos lados de esa brecha al mismo tiempo.

En los bancos, las puertas siempre estaban ahí. Ahora están etiquetados, mapeados y explotados más rápido de lo que se puede renovar el edificio.

La pregunta cambió

Durante años, las conversaciones sobre vulnerabilidad se plantearon como una carrera: ¿con qué rapidez puedes solucionarlo?

Ahora, las instituciones que se hacen la pregunta correcta se plantean algo más operativo: si esto no se soluciona esta noche, ¿hasta dónde puede llegar un atacante a través de nuestra red?

Es la diferencia entre un modelo de seguridad basado en la prevención perfecta y otro basado en consecuencias limitadas. Y esto se refleja en la forma en que los reguladores están formulando cada vez más sus expectativas.

La norma OSFI B-13, por ejemplo, hace hincapié en las pruebas basadas en amenazas, que reflejan el mismo instinto: la contención en el mundo real.  

El Banco de Inglaterra fue claro al afirmar que el riesgo cibernético evoluciona a la par de las defensas y no desaparece sin más. La resiliencia debe ser algo que se construya, se pruebe y se renueve.

Los debates sobre las amenazas regulatorias están convergiendo en el mismo punto. La mayoría de los programas de detección de vulnerabilidades no se pusieron al día.

Por qué “extremo pero plausible” es el eslabón perdido

Si bien el acceso a Mythos está controlado actualmente, no seguirá siéndolo por mucho tiempo.  

La inteligencia artificial de vanguardia se pondrá al día y convertirá esta capacidad en un producto básico. Cuando esto sucede, la asimetría se invierte de forma permanente. Los atacantes podrán identificar y explotar las vulnerabilidades más rápidamente de lo que cualquier ciclo de parches puede responder.

Esto significa que las instituciones deben dejar de organizar su estrategia de seguridad en torno a una meta que ya no existe.

El escenario que los bancos están contemplando ahora es el de un atacante con inteligencia artificial que se mueve a través de un entorno bancario estrechamente interconectado (sistemas de pago, motores de liquidación, canales de atención al cliente e infraestructura compartida) antes de que las herramientas de detección señalen algo inusual. Esto convierte la contención de la brecha de seguridad en la única estrategia viable.

Los bancos ya cuentan con más beneficios de las que a veces reconocen:

• Prueba de estrés DORA
• Simulaciones CBEST
• Planeación de escenarios

Estos marcos normativos existen precisamente porque los reguladores entienden que una eventual vulneración forma parte del modelo de amenazas. La pregunta que plantean es si diseñaste tu entorno para que pueda sobrevivir a una brecha de seguridad.

El cambio práctico: de la velocidad del parche al radio de explosión

La gestión de vulnerabilidades necesita un segundo eje.

El primer eje es el que ya tienes, que incluye la gravedad, la posibilidad de explotación y la criticidad del activo. El segundo eje es el que falta en la mayoría de los programas: el potencial de movimiento lateral.  

Si esta vulnerabilidad se explota esta noche, ¿qué podrá lograr un atacante desde aquí? ¿Qué hay a un salto de distancia? ¿Dos?

No todas las vulnerabilidades tienen la misma probabilidad, ni todas tienen el mismo radio de explosión. Un fallo en la capa de autenticación con acceso a Internet de un sistema central de pagos es categóricamente diferente de uno en un sistema de reportes heredado que no se empleó en producción en tres años.  

El riesgo reside en la vía, no en la vulnerabilidad.

Las instituciones que lo están haciendo bien no necesariamente están aplicando parches más rápido, sino diseñando la arquitectura de tal manera que las puertas sin cerrar den a corredores que no llevan a ningún lugar importante.

¿Qué significa esto para los CISO bancarios en este momento?

El mito es un espejo. Refleja un paisaje que ya existía, con miles de vulnerabilidades, muchas de ellas antiguas y toleradas en silencio. Y pregunta si su programa fue diseñado para esa realidad.

La respuesta consiste en dejar muy claros dos puntos. Es necesario saber qué vulnerabilidades, de ser explotadas, pueden convertir en sistémicas y qué controles arquitectónicos limitan ese alcance, independientemente del estado de los parches.

Ese es el trabajo ahora: contención mediante el diseño.

¿Quieres saber más sobre cómo Mythos afectará al sector financiero? Lea nuestra ficha informativa.