El BCE convoca a los bancos sobre los riesgos de ciberseguridad de la IA provenientes de Mythos

      TL;DR El BCE está convocando a los bancos el martes para abordar los riesgos de ciberseguridad derivados de modelos de IA como Mythos de Anthropic, que ha encontrado miles de vulnerabilidades de día cero. El miembro del consejo ejecutivo Frank Elderson dice que los bancos deben aplicar parches más rápido porque la IA puede explotar fallos en minutos después del lanzamiento de una solución. El Banco Central Europeo está llamando a los bancos a una reunión el martes para abordar los riesgos de ciberseguridad creados por una nueva generación de modelos de IA que pueden encontrar y explotar vulnerabilidades de software más rápido que cualquier equipo humano. La reunión sigue a meses de creciente ansiedad en las finanzas europeas sobre el Preview de Claude Mythos de Anthropic, el modelo de IA de frontera que ha identificado miles de fallos de día cero en los principales sistemas operativos y navegadores. El miembro del Consejo Ejecutivo del BCE, Frank Elderson, dijo al Financial Times que los bancos necesitan acelerar el trabajo que se ha estado realizando durante años. “Hay toda una serie de problemas de ciberseguridad en los que hemos estado trabajando con los bancos durante años que siguen siendo válidos, pero dado el progreso en IA, deben abordarse más rápido”, dijo. El banco central planea advertir a los prestamistas sobre las amenazas específicas que plantea Mythos y sistemas de IA similares. También pedirá a los bancos estadounidenses que tienen acceso a la tecnología, a través del programa de distribución controlada de Anthropic llamado Project Glasswing, que compartan lo que han aprendido con sus pares europeos que siguen excluidos. Esa brecha de acceso es el problema central. Hasta ahora, solo alrededor de 40 a 50 organizaciones han obtenido acceso a Mythos, incluyendo Amazon, Microsoft, Google, Nvidia, CrowdStrike, Palo Alto Networks y JPMorgan Chase. Ningún banco europeo está en la lista. En pruebas controladas, el modelo produjo exploits funcionales en su primer intento más del 83 por ciento de las veces, superando a menudo a los especialistas en ciberseguridad humanos. Anthropic ha advertido que los adversarios podrían replicar la capacidad en un plazo de seis a doce meses. El mensaje de Elderson a los bancos es contundente: aplica parches más rápido. Los modelos de IA ahora pueden desensamblar soluciones de software en minutos después de su lanzamiento, lo que significa que la ventana entre un fallo siendo parcheado y siendo explotado se ha colapsado. Los bancos y sus contratistas de TI ya no pueden permitirse dejar vulnerabilidades menores para ciclos de actualización más largos. Los bancos europeos no pueden usar su falta de acceso a Mythos como excusa para la inacción, dijo Elderson, porque los actores maliciosos podrían pronto obtener acceso a tecnología equivalente. La intervención del BCE sigue a una carrera regulatoria más amplia en toda Europa. Los ministros de finanzas de la zona euro han exigido acceso a Mythos, y el comisionado europeo Valdis Dombrovskis confirmó el 4 de mayo que la UE está en conversaciones con Anthropic sobre la realización de pruebas a empresas y bancos para las vulnerabilidades que el modelo descubre. Esas conversaciones han avanzado poco. Informes de funcionarios españoles a mediados de mayo indicaron que las negociaciones se habían estancado efectivamente. El estancamiento ha creado una oportunidad para los rivales. La startup francesa de IA Mistral AI está en conversaciones con bancos europeos sobre el despliegue de su propio modelo de ciberseguridad, diseñado para identificar vulnerabilidades de la misma manera que lo hace Mythos. El CEO Arthur Mensch ha enmarcado el esfuerzo como una cuestión de soberanía tecnológica, aprovechando clientes bancarios existentes, incluidos HSBC y BNP Paribas. El modelo aún está en desarrollo y no tiene fecha de lanzamiento confirmada. Anthropic ha elegido un camino diferente al de un lanzamiento público. En lugar de hacer que Mythos esté disponible en general, lanzó Project Glasswing, un consorcio de la industria en el que las organizaciones asociadas utilizan el modelo para encontrar y corregir fallos en sus propios sistemas. Los socios de Glasswing ahora pueden compartir sus hallazgos más allá del programa, lo que puede ayudar a abordar la brecha de información que preocupa a los reguladores europeos. Las apuestas no son teóricas. Anthropic informó al Consejo de Estabilidad Financiera sobre lo que Mythos ha estado encontrando, a solicitud del gobernador del Banco de Inglaterra, Andrew Bailey, quien preside el consejo. La Reserva Federal y el Tesoro de EE. UU. convocaron por separado a los CEO de los bancos para discutir los riesgos cibernéticos. Los datos del mundo real de Palo Alto Networks muestran que los modelos de IA avanzados están descubriendo vulnerabilidades a siete veces la tasa habitual, y la firma ha advertido que la industria solo tiene de tres a cinco meses de margen defensivo restante. La reunión del BCE el martes presionará a los bancos para que actúen bajo la Ley de Resiliencia Operativa Digital, la ley de ciberseguridad de la UE para servicios financieros. DORA requiere que los bancos gestionen el riesgo de TI, prueben la resiliencia e informen sobre incidentes. La pregunta es si el marco de regulación puede mantenerse al día con los modelos de IA que están encontrando vulnerabilidades de décadas de antigüedad más rápido que las instituciones responsables de corregirlas. Para los bancos europeos, la situación es incómoda. La herramienta más poderosa para encontrar los fallos en sus sistemas existe, no se les permite usarla, y el regulador les está diciendo que solucionen los problemas que revela de todos modos. La presión política para resolver la cuestión del acceso está aumentando, pero hasta que lo haga, se les está pidiendo a los prestamistas europeos que se defiendan contra amenazas que no pueden ver completamente.