El BCE dice a los bancos de la eurozona que endurezcan la ciberseguridad a medida que la IA cambia el panorama de amenazas.

El BCE dice a los bancos de la eurozona que endurezcan la ciberseguridad a medida que la IA cambia el panorama de amenazas.

      El Banco Central Europeo ha informado formalmente a los bancos de la eurozona que deben reforzar su postura de ciberseguridad en respuesta a las herramientas de ataque lideradas por IA, en una declaración de seguimiento emitida el miércoles que convierte la orientación privada anterior en algo más cercano a una expectativa de supervisión.

      El vicepresidente del Mecanismo Único de Supervisión del BCE, Frank Elderson, enmarcó el cambio en el lenguaje que señala una postura regulatoria más estricta en lugar de un documento de discusión.

      El desencadenante sigue siendo Mythos de Anthropic, el modelo de IA de acceso restringido que puede descubrir y explotar de forma autónoma vulnerabilidades de ciberseguridad a la velocidad de la máquina. Se ha demostrado que Mythos combina debilidades menores en ataques más serios y que puede desensamblar parches en fallos explotables más rápido que las cadenas de herramientas más antiguas.

      El acceso ha sido limitado por Anthropic a aproximadamente 40 a 50 organizaciones, incluyendo un puñado de bancos estadounidenses; ninguna institución de la eurozona está en la lista. La posición del BCE, en palabras de Elderson a principios de este mes, es que "la falta de acceso no es una excusa para la inacción".

      La declaración del miércoles amplía ese marco. Se espera que los bancos asuman que los atacantes tendrán acceso a herramientas de IA de capacidad comparable, ya sea que los defensores lo tengan o no.

      La implicación supervisora es que los ciclos tradicionales de parches de software mensuales ya no son adecuados, que las relaciones con contratistas deben ser auditadas por la misma exposición, y que toda la postura institucional en torno a la gestión de vulnerabilidades necesita comprimirse a los plazos de los atacantes de IA. El BCE ha indicado que incorporará la preparación cibernética de IA en los diálogos de supervisión con bancos individuales.

      El contexto político y comercial también ha cambiado. BNP Paribas está trabajando públicamente con Mistral en una respuesta europea soberana a Mythos, en lo que es funcionalmente una cobertura a nivel continental. Bruselas ha estado en conversaciones estancadas con Anthropic durante varias semanas sobre la expansión del acceso a Mythos para las instituciones europeas; España ha descrito esas conversaciones como estancadas.

      La declaración del BCE es, en efecto, el lado supervisor del mismo problema: los reguladores no pueden esperar a que se resuelva la cuestión del acceso antes de insistir en una postura defensiva.

      La pregunta más difícil es qué cambio concreto se espera que hagan los bancos. El BCE no ha publicado una lista específica de controles técnicos, en parte porque la superficie de amenaza está evolucionando más rápido de lo que cualquier lista de verificación estática podría capturar.

      Lo más cercano a un manual de trabajo es la expectativa implícita de que los bancos ahora traten cualquier vulnerabilidad no parcheada como un objetivo descubrible, y que el tiempo medio para parchear sistemas críticos se reduzca de semanas a días u horas.

      Los bancos más pequeños de la eurozona, que históricamente han dependido de proveedores de infraestructura subcontratados para la capa técnica, están en una posición más débil para cumplir con ese cronograma que los tres grandes bancos universales.

      El BCE también destacó la exposición de los contratistas como el problema asimétrico. La mayoría de los bancos de la eurozona tienen una larga lista de proveedores de software de terceros cuya disciplina de parches es desigual; un atacante liderado por IA que descubra una vulnerabilidad en un solo producto de un proveedor ampliamente desplegado puede pivotar hacia múltiples entornos bancarios a través de esa relación con el proveedor.

      La exposición de la cadena de suministro al estilo Solarwinds que definió finales de la década de 2010 ahora se está reinterpretando en forma de atacante de IA. El marco de Elderson es que los supervisores responsabilizarán a los bancos por la seguridad de sus contratistas, no solo por la propia.

      Los bancos de la eurozona tienen hasta finales de 2026 para demostrar su preparación frente a la nueva postura del BCE, con diálogos de supervisión formales comenzando durante el verano. Mythos en sí, según los informes públicos actuales, no ha sido demostrado en el mundo real contra una institución europea.

Otros artículos

Airbnb lidera una ronda de financiación Serie C de $58 millones en WeRoad y contrata a su CEO para dirigir hoteles. Airbnb lidera una ronda de financiación Serie C de $58 millones en WeRoad y contrata a su CEO para dirigir hoteles. La plataforma de viajes de aventura en grupo WeRoad de Milán ha recaudado 58 millones de dólares en una ronda de financiación Serie C liderada por Airbnb, que adquirió una participación del 10% mientras contrataba al CEO Andrea D’Amico para dirigir su división de hoteles. El acuerdo de ASIC entre Qualcomm y ByteDance funciona alrededor de los controles de exportación de EE. UU. por diseño. El acuerdo de ASIC entre Qualcomm y ByteDance funciona alrededor de los controles de exportación de EE. UU. por diseño. Qualcomm ha cerrado un acuerdo de suministro y servicios de fabricación de chips de IA con ByteDance, la empresa matriz de TikTok, diseñado para mantenerse dentro de los umbrales de control de exportaciones de EE. UU. Airbnb lidera una ronda de financiación Serie C de $58 millones en WeRoad y contrata a su CEO para dirigir hoteles. Airbnb lidera una ronda de financiación Serie C de $58 millones en WeRoad y contrata a su CEO para dirigir hoteles. La plataforma de viajes de aventura en grupo de Milán, WeRoad, ha recaudado 58 millones de dólares en una ronda de financiación Serie C liderada por Airbnb, que adquirió una participación del 10% mientras contrataba al CEO Andrea D’Amico para dirigir su división de hoteles. Micron se acerca a $1 billón mientras UBS ve un camino hacia $1.8 billones en 12 meses. Micron se acerca a $1 billón mientras UBS ve un camino hacia $1.8 billones en 12 meses. El analista de UBS, Timothy Arcuri, elevó su precio objetivo para Micron a $1,625 el martes, lo que implica una valoración de $1.8 billones, basándose en que los acuerdos de HBM a largo plazo comprimen el ciclo de memoria. Taiwán sospecha que los chips de NVIDIA fueron contrabandeados a China a través de una ruta de transbordo en Japón. Taiwán sospecha que los chips de NVIDIA fueron contrabandeados a China a través de una ruta de transbordo en Japón. Los fiscales taiwaneses sospechan que al menos un envío de chips de IA de Nvidia restringidos por EE. UU. fue contrabandeado a China a través de Japón, en el primer caso público de desvío de chips de IA en Taiwán. El regulador del mercado de China multa a Luxshare y Wingtech por su acuerdo de desinversión. El regulador del mercado de China multa a Luxshare y Wingtech por su acuerdo de desinversión. La SAMR de China ha multado a Luxshare y Wingtech por violaciones de procedimiento en su acuerdo de activos ahora colapsado, lo que señala un endurecimiento en la aplicación de fusiones.

El BCE dice a los bancos de la eurozona que endurezcan la ciberseguridad a medida que la IA cambia el panorama de amenazas.

El BCE ha informado a los bancos de la eurozona que deben reforzar la ciberseguridad en respuesta a las herramientas de ataque impulsadas por IA, en un comunicado formal del miércoles tras semanas de orientación privada.