El 7 de abril de 2026, el Secretario del Tesoro Scott Bessent y el presidente de la Reserva Federal Jerome Powell convocaron a los CEOs de Bank of America, Citigroup, Wells Fargo, Goldman Sachs y Morgan Stanley en Washington. No fue una reunión de política monetaria. El motivo era una advertencia sobre un modelo de inteligencia artificial de Anthropic llamado Claude Mythos Preview, lanzado ese mismo día a un grupo reducido de empresas seleccionadas.
La capacidad que genera alarma es concreta: Mythos detecta vulnerabilidades extremas en software, navegadores y sistemas de seguridad con una precisión que no tiene precedente comercial conocido. Anthropic lo admite sin eufemismos: si la herramienta cae en manos equivocadas, ofrece a potenciales atacantes una ventaja para robar datos o interrumpir infraestructura crítica. Por eso el lanzamiento es restringido. Por eso el gobierno llamó a los banqueros. Y por eso este caso merece leerse más allá del titular de ciberseguridad.
Lo que Mythos revela sobre el portafolio de innovación bancario
Los cinco bancos convocados gestionan colectivamente más de 20 billones de dólares en activos y concentran más del 40% de la cuota de mercado bancaria estadounidense. JPMorgan Chase, el mayor ausente —su CEO Jamie Dimon no pudo asistir— procesa más de 20 mil millones de transacciones diarias. Son instituciones cuya infraestructura tecnológica es, por definición, el objetivo más rentable para cualquier atacante sofisticado.
El sector ya pagó caro su exposición: las brechas de seguridad costaron un promedio de 5,9 millones de dólares por incidente en 2025, y las pérdidas agregadas del sistema bancario estadounidense por ciberataques ese año rondaron los 12 mil millones de dólares. Frente a esas cifras, la llegada de una IA que automatiza la detección de vulnerabilidades no es una novedad académica. Es una palanca de poder que redistribuye quién tiene ventaja en la guerra ofensiva-defensiva.
El problema estructural que expone la reunión del 7 de abril es este: los grandes bancos invierten masivamente en ciberseguridad —JPMorgan destina 15 mil millones anuales en tecnología— pero lo hacen desde la lógica del negocio maduro, donde el objetivo es proteger el motor de ingresos existente con procesos estandarizados, auditorías cíclicas y cumplimiento regulatorio. Mythos no encaja en ese modelo. Es una herramienta de exploración activa de vulnerabilidades, no de mantenimiento defensivo pasivo. Absorberla correctamente requiere un diseño organizacional que la mayoría de estas instituciones no tiene operativo.
Anthropic construyó una empresa dentro de su empresa, y los bancos no
Lo más revelador del caso no está en la advertencia gubernamental, sino en el contraste entre cómo Anthropic ejecutó el lanzamiento y cómo el sistema financiero está posicionado para responder.
Anthropologic lanzó Mythos bajo un modelo de acceso restringido a socios seleccionados. No lo liberó al mercado. No lo integró en una suite de productos existente. Lo trató como lo que es: una capacidad de alto potencial y alto riesgo que requiere validación controlada antes de escalar. Ese es exactamente el comportamiento de una organización que gestiona la innovación como si fuera una unidad autónoma con sus propias reglas de operación, separada del negocio central. El respaldo de Amazon y Google por más de 8 mil millones de dólares le da el capital para sostener esa disciplina sin presión de monetización inmediata.
Los bancos, en cambio, operan bajo la lógica inversa. Sus unidades de innovación, laboratorios internos y equipos de ciberseguridad avanzada suelen rendir cuentas ante los mismos indicadores que cualquier línea de negocio madura: retorno sobre inversión trimestral, reducción de costos medible, cumplimiento de auditorías. Cuando una tecnología como Mythos aparece en el radar, el proceso habitual es enviarla al área de compliance, esperar aprobación legal, evaluar compatibilidad con sistemas legacy y, si sobrevive ese tránsito burocrático, integrarla dieciocho meses después en una versión diluida de su potencial original.
La Reserva Federal ya tiene personal supervisorio embebido evaluando los sistemas internos de estos bancos. Esa presencia no es nueva, pero el foco sí: ahora están auditando capacidades, sistemas y defensas frente a amenazas impulsadas por IA. Lo que encontrarán, en la mayoría de los casos, es una brecha entre la velocidad a la que evoluciona la amenaza y la velocidad a la que las instituciones pueden adaptar sus defensas cuando esas defensas están atrapadas dentro de estructuras de gobierno diseñadas para otro tipo de riesgo.
El costo de medir la exploración con métricas de explotación
El mercado global de IA aplicada a ciberseguridad alcanzó 24,8 mil millones de dólares en 2024 y proyecta un crecimiento anual compuesto del 24,5% hasta 2030. Esos números describen un sector que está pasando de herramientas de detección reactiva a sistemas de análisis ofensivo proactivo. Mythos no es el punto de llegada de esa curva; es la señal de que la curva se aceleró antes de lo previsto.
Para los bancos, el costo de no reposicionar su modelo de gestión de riesgos tecnológicos es doble. Primero, el costo directo: si atacantes sofisticados acceden a capacidades equivalentes a Mythos —a través de versiones no restringidas, derivados de código abierto o actores estatales con recursos similares—, la exposición de instituciones que procesan decenas de miles de millones en transacciones diarias se multiplica de forma no lineal. Los analistas estiman que ataques amplificados por IA podrían duplicar las pérdidas actuales del sector.
Segundo, el costo de oportunidad: los bancos que logren integrar herramientas como Mythos en sus operaciones defensivas de forma funcional —no como proyecto piloto decorativo, sino como capacidad operativa real— obtendrán una ventaja asimétrica para detectar y cerrar vulnerabilidades antes de que sean explotadas. Eso reduce primas de seguros cibernéticos, que ya subieron un 25% en 2025, y disminuye la probabilidad de eventos sistémicos que activen obligaciones bajo regulaciones como Dodd-Frank.
El obstáculo no es la voluntad de invertir. Los presupuestos existen. El obstáculo es que integrar una herramienta de exploración activa dentro de una estructura diseñada para la estabilidad operativa requiere crear una unidad con autonomía real, métricas propias —aprendizaje validado, velocidad de detección, reducción de superficie de ataque— y protección frente a los ciclos de aprobación que ralentizan cualquier iniciativa que no genere ingresos visibles en el corto plazo.
La ventana de diferenciación se cierra antes de lo que parece
La ausencia de Jamie Dimon en la reunión del 7 de abril no implica desatención estratégica de JPMorgan. Sin embargo, ilustra una dinámica que el sistema financiero no puede darse el lujo de ignorar: cuando la amenaza evoluciona a la velocidad de un ciclo de lanzamiento de IA, la preparación no puede depender de si el CEO estaba disponible ese martes.
Anthropologic construyó un mecanismo de lanzamiento que separa el riesgo del aprendizaje. Los bancos necesitan construir un mecanismo equivalente que separe la innovación defensiva de los ciclos de gobernanza corporativa ordinaria. No como excepción temporal, sino como diseño permanente. Los que lo logren antes de que Mythos —o su sucesor— llegue al mercado abierto habrán convertido el costo de cumplimiento en ventaja competitiva medible. Los que no lo logren seguirán pagando primas más altas por proteger sistemas cuyas vulnerabilidades descubrirán tarde.
