El BCE dice a los bancos de la eurozona que refuercen la ciberseguridad a medida que la IA cambia el panorama de amenazas.

El BCE dice a los bancos de la eurozona que refuercen la ciberseguridad a medida que la IA cambia el panorama de amenazas.

      El Banco Central Europeo ha informado formalmente a los bancos de la eurozona que deben reforzar su postura de ciberseguridad en respuesta a las herramientas de ataque impulsadas por IA, en una declaración de seguimiento emitida el miércoles que convierte la orientación privada anterior en algo más cercano a una expectativa de supervisión.

      El vicepresidente del Mecanismo Único de Supervisión del BCE, Frank Elderson, enmarcó el cambio en el lenguaje que señala una postura regulatoria más estricta en lugar de un documento de discusión.

      El desencadenante sigue siendo Mythos de Anthropic, el modelo de IA de acceso restringido que puede descubrir y explotar de forma autónoma vulnerabilidades de ciberseguridad a la velocidad de la máquina. Se ha demostrado que Mythos combina debilidades menores en ataques más serios y que puede revertir parches en fallos explotables más rápido que las cadenas de herramientas más antiguas.

      El acceso ha sido limitado por Anthropic a aproximadamente 40 a 50 organizaciones, incluyendo un puñado de bancos estadounidenses; ninguna institución de la eurozona figura en la lista. La posición del BCE, en palabras de Elderson a principios de este mes, es que "la falta de acceso no es una excusa para la inacción".

      La declaración del miércoles amplía ese marco. Se espera que los bancos asuman ahora que los atacantes tendrán acceso a herramientas de IA de capacidad comparable, ya sea que los defensores las tengan o no.

      La implicación supervisora es que los ciclos tradicionales de parches de software mensuales ya no son adecuados, que las relaciones con contratistas necesitan ser auditadas por la misma exposición, y que toda la postura institucional en torno a la gestión de vulnerabilidades necesita comprimirse a los plazos de los atacantes de IA. El BCE ha indicado que incorporará la preparación cibernética de IA en los diálogos de supervisión con bancos individuales.

      El contexto político y comercial también ha cambiado. BNP Paribas está trabajando públicamente con Mistral en una respuesta europea soberana a Mythos, en lo que es funcionalmente una cobertura a nivel continental. Bruselas ha estado en conversaciones estancadas con Anthropic durante varias semanas sobre la expansión del acceso a Mythos a instituciones europeas; España ha descrito esas conversaciones como estancadas.

      La declaración del BCE es, de hecho, el lado supervisor del mismo problema: los reguladores no pueden esperar a que se resuelva la cuestión del acceso antes de insistir en una postura defensiva.

      La pregunta más difícil es qué cambio concreto se espera que hagan los bancos. El BCE no ha publicado una lista específica de controles técnicos, en parte porque la superficie de amenaza está evolucionando más rápido de lo que cualquier lista de verificación estática podría capturar.

      Lo más cercano a un manual de trabajo es la expectativa implícita de que los bancos ahora traten cualquier vulnerabilidad no parcheada como un objetivo descubrible, y que el tiempo medio para parchear sistemas críticos se reduzca de semanas a días u horas.

      Los bancos más pequeños de la eurozona, que históricamente han dependido de proveedores de infraestructura subcontratados para la capa técnica, están en una posición más débil para cumplir con ese cronograma que los tres grandes bancos universales.

      El BCE también señaló la exposición de los contratistas como el problema asimétrico. La mayoría de los bancos de la eurozona tienen una larga lista de proveedores de software de terceros cuya disciplina de parches es desigual; un atacante liderado por IA que descubra una vulnerabilidad en un solo producto de un proveedor ampliamente desplegado puede pivotar hacia múltiples entornos bancarios a través de esa relación con el proveedor.

      La exposición de la cadena de suministro al estilo Solarwinds que definió finales de la década de 2010 ahora se está reformulando en forma de atacante de IA. El marco de Elderson es que los supervisores responsabilizarán a los bancos por la seguridad de sus contratistas, no solo por la propia.

      Los bancos de la eurozona tienen hasta finales de 2026 para demostrar su preparación ante la nueva postura del BCE, con diálogos de supervisión formales comenzando durante el verano. Mythos en sí, según los informes públicos actuales, no ha sido demostrado en la práctica contra una institución europea.

Otros artículos

Micron se acerca a $1 billón mientras UBS ve un camino hacia $1.8 billones en 12 meses. Micron se acerca a $1 billón mientras UBS ve un camino hacia $1.8 billones en 12 meses. El analista de UBS, Timothy Arcuri, elevó su precio objetivo para Micron a $1,625 el martes, lo que implica una valoración de $1.8 billones, basándose en que los acuerdos de HBM a largo plazo comprimen el ciclo de memoria. Micron se acerca a $1 billón mientras UBS ve un camino hacia $1.8 billones en 12 meses Micron se acerca a $1 billón mientras UBS ve un camino hacia $1.8 billones en 12 meses El analista de UBS, Timothy Arcuri, elevó su objetivo de precio para Micron a $1,625 el martes, lo que implica una valoración de $1.8 billones, basándose en que los acuerdos de HBM a largo plazo comprimen el ciclo de memoria. Micron se acerca a $1 billón mientras UBS ve un camino hacia $1.8 billones en 12 meses. Micron se acerca a $1 billón mientras UBS ve un camino hacia $1.8 billones en 12 meses. El analista de UBS, Timothy Arcuri, elevó su precio objetivo para Micron a $1,625 el martes, lo que implica una valoración de $1.8 billones, basándose en que los acuerdos de HBM a largo plazo comprimen el ciclo de memoria. El BCE dice a los bancos de la eurozona que endurezcan la ciberseguridad a medida que la IA cambia el panorama de amenazas. El BCE dice a los bancos de la eurozona que endurezcan la ciberseguridad a medida que la IA cambia el panorama de amenazas. El BCE ha informado a los bancos de la eurozona que deben reforzar la ciberseguridad en respuesta a las herramientas de ataque lideradas por IA, en un comunicado formal del miércoles tras semanas de orientación privada. El acuerdo de ASIC entre Qualcomm y ByteDance funciona en torno a los controles de exportación de EE. UU. por diseño. El acuerdo de ASIC entre Qualcomm y ByteDance funciona en torno a los controles de exportación de EE. UU. por diseño. Qualcomm ha cerrado un acuerdo de suministro de chips de IA y servicios de fabricación con ByteDance, la empresa matriz de TikTok, diseñado para mantenerse dentro de los umbrales de control de exportaciones de EE. UU. El regulador del mercado de China multa a Luxshare y Wingtech por su acuerdo de desinversión. El regulador del mercado de China multa a Luxshare y Wingtech por su acuerdo de desinversión. La SAMR de China ha multado a Luxshare y Wingtech por violaciones de procedimiento en su acuerdo de activos ahora colapsado, lo que señala un endurecimiento en la aplicación de las fusiones.

El BCE dice a los bancos de la eurozona que refuercen la ciberseguridad a medida que la IA cambia el panorama de amenazas.

El BCE ha informado a los bancos de la eurozona que deben reforzar la ciberseguridad en respuesta a las herramientas de ataque impulsadas por IA, en un comunicado formal del miércoles tras semanas de orientación privada.