Medios estadounidenses revelaron que el secretario del Tesoro, Scott Bessent, y el presidente de la Reserva Federal, Jerome Powell, convocaron a los máximos ejecutivos de los principales bancos del mundo a una cumbre urgente. El motivo: los avances de Mythos, un modelo de inteligencia artificial que ha demostrado capacidad para identificar de manera autónoma las llamadas vulnerabilidades de “día cero”. Es decir, fallas de seguridad informática desconocidas incluso para quienes desarrollaron los sistemas afectados.
La reunión, celebrada en Washington, reunió a figuras de primer nivel del sistema financiero estadounidense. La señal política fue clara: cuando el responsable de las finanzas del gobierno y el titular del banco central citan a los CEO de la banca en simultáneo, el mensaje trasciende la rutina regulatoria. No se trató de una actualización de cumplimiento, sino de una advertencia sobre un riesgo sistémico emergente.
Lo que distingue a Mythos —y a una nueva generación de modelos similares— de las herramientas de ciberseguridad tradicionales es su autonomía. Mientras que los sistemas convencionales de detección de amenazas operan sobre bases de datos de vulnerabilidades ya conocidas, Mythos puede razonar sobre arquitecturas de software e inferir puntos débiles que aún no figuran en ningún registro público. Esta capacidad, valorada enormemente en contextos defensivos, se convierte en una amenaza de primer orden si el modelo cae en manos maliciosas o si su acceso no está debidamente restringido.
El sector bancario es un blanco de especial sensibilidad. Los sistemas que procesan transferencias, custodian datos de millones de clientes y sostienen la infraestructura de pagos globales representan objetivos de alto valor para actores de intenciones delictivas, ya sean grupos criminales organizados o Estados con capacidades cibernéticas avanzadas. Una vulnerabilidad de día cero en una institución sistémicamente importante podría desencadenar efectos en cadena difíciles de contener.
Desde la reunión, las principales entidades financieras habrían recibido lineamientos concretos para reforzar sus defensas, incluyendo auditorías de los sistemas expuestos a interfaces de inteligencia artificial, revisión de protocolos de acceso y actualización de planes de respuesta ante incidentes de naturaleza desconocida. No trascendieron detalles sobre si el gobierno contempla restricciones regulatorias específicas sobre el desarrollo o la comercialización de modelos con estas capacidades.
En los últimos dos años, la intersección entre inteligencia artificial y ciberseguridad se ha convertido en uno de los frentes más activos —y menos regulados— de la competencia tecnológica global. Gobiernos, corporaciones y grupos de investigación independientes desarrollan modelos con capacidades ofensivas y defensivas en paralelo, sin que exista aún un marco internacional vinculante que establezca límites claros.
Europa avanzó con el AI Act, que entró en vigor en fases durante 2025 y clasifica como de “alto riesgo” ciertos usos de la inteligencia artificial en infraestructura crítica. Sin embargo, la normativa no contempla de forma explícita los modelos con capacidad autónoma de detección de “exploits”, una categoría que hasta hace poco era territorio casi exclusivo de laboratorios de élite y agencias de inteligencia estatales.
En ese escenario, la reunión organizada por el Tesoro y la Reserva Federal supone una dimensión adicional: no es únicamente una respuesta a una herramienta específica, sino el reconocimiento de que la ventana para establecer salvaguardas efectivas se está achicando. El encuentro dejó en claro que la administración considera al sistema financiero como el primer perímetro a proteger —antes incluso que la infraestructura energética o de comunicaciones— en un eventual escenario de ataque cibernético asistido por inteligencia artificial.
