Mythos fuerza al sector financiero a rediseñar el seguro de ciberriesgos
La nueva generación de IA acelera la detección de vulnerabilidades. Bancos y aseguradoras deben replantear cómo cubren el riesgo
Claude Mythos Preview, el nuevo modelo de inteligencia artificial (IA) desarrollado por Anthropic, ha suscitado interés y preocupación en el sector tecnológico y financiero, lo que ha llevado a la compañía a ampliar su perímetro de colaboración más allá de Estados Unidos y Reino Unido. Capaz de exponer fallos en sistemas que sustentan infraestructuras críticas, desde la defensa nacional hasta la banca o el sector energético, la firma anunció esta semana la ampliación del Proyecto Glasswing, un programa para identificar y corregir vulnerabilidades de seguridad que se extenderá a 150 organizaciones de más de 15 países, entre ellos España.
La iniciativa toma su nombre de la mariposa de alas transparentes que se camufla a plena luz, una metáfora de la doble naturaleza de esta tecnología, capaz de hacer visibles fallos que hasta ahora podían pasar inadvertidos y que pueden utilizarse tanto para reforzar la seguridad como para comprometerla. La decisión llega tras semanas de peticiones de acceso por parte de gobiernos, reguladores y empresas de todo el mundo.
La inquietud en torno a Mythos comenzó a hacerse visible desde Frankfurt a mediados de abril, cuando el Banco Central Europeo solicitó a las principales entidades financieras información sobre sus planes de contingencia en ciberseguridad. El supervisor quería saber hasta qué punto están preparadas para afrontar una nueva generación de IA que puede agilizar la ejecución de ataques cibernéticos sofisticados que hasta ahora requerían días de trabajo humano.
“Mythos acelera el proceso de identificación de riesgos”, explica Javier Planelles, director general adjunto de Tecnología del Grupo Andbank. “Los ataques que combinan ingeniería social con tecnología son cada vez más sofisticados y verosímiles. A los ciberdelincuentes, la IA les aporta eficiencia, permitiéndoles llegar a más personas con un coste menor. Lo que hace Mythos es llevar todo eso a otra escala”.
El sector asegurador observa el mismo fenómeno desde otro ángulo. Patricia Fernández, directora de Cyber en Howden Iberia, advierte de que el avance de los modelos de IA está tensionando la asegurabilidad del riesgo. “Estamos viendo cómo la IA no solo aumenta la frecuencia de los incidentes, sino también su sofisticación. Inevitablemente, esto cambia las reglas del juego porque ayuda a reducir el coste de lanzar un ataque y amplía el perímetro de potenciales amenazas”.
La velocidad
Durante décadas, los modelos de riesgo financiero se han construido sobre dos variables principales: la probabilidad de que ocurra un evento adverso y su impacto. La nueva generación de IA introduce la velocidad. “Cuando un ataque automatizado puede escalar en cuestión de minutos, el margen para detectar, decidir y actuar se comprime de forma drástica”, explica Marta Sanz, directora de Tecnología de Qaracter. Así, el mismo riesgo que antes se consideraba “de baja frecuencia y alto impacto” puede transformarse en “un riesgo de alta frecuencia potencial y efecto prácticamente instantáneo”.
Este cambio altera la previsibilidad y reconfigura la relación entre el sector asegurador y el financiero. El primero afronta un problema de cuantificación, ya que la IA ofensiva genera ataques nuevos en tiempo real, sin un precedente histórico sólido, lo que reduce la capacidad de predecir pérdidas y fijar coberturas con precisión. Como consecuencia, el seguro podría dejar de funcionar como “una red de seguridad plenamente garantizada”, obligando a los bancos a “reforzar significativamente sus propias capacidades de defensa, más que apoyarse en pólizas de transferencia de riesgo”, advierte.
El contrato
Este desplazamiento, a su vez, empieza a tensionar los límites del marco jurídico. La aparición de modelos de IA capaces de identificar vulnerabilidades a gran escala desborda parcialmente la lógica clásica del contrato de seguro, diseñada para entornos relativamente más estables y previsibles. “El riesgo ciber es dinámico y la regulación tradicional del seguro no contempla amenazas que mutan diariamente”, explica Alejandro Padín, socio responsable del área de Ciberseguridad de Garrigues. Por eso, considera necesaria “una definición flexible del riesgo asegurado, con cláusulas de actualización periódica y referencias a estándares técnicos reconocidos que se actualicen con la evolución tecnológica”.
Este cambio no se limita a la teoría del contrato, sino que se traslada al terreno de la responsabilidad. En un escenario en el que los fallos pueden ser identificados y explotados con mayor rapidez, también se redefine qué significa actuar con diligencia. “Si las herramientas de IA permiten identificar vulnerabilidades que un operador diligente debería haber detectado, su omisión puede comprometer la cobertura”, explica Jaime Bofill, socio de litigación de Herbert Smith Freehills Kramer.
El movimiento no es unidireccional. A medida que se eleva el estándar tecnológico del asegurado, también se desplaza el de las aseguradoras, que deben actualizar sus propios mecanismos de evaluación del riesgo. “Su capacidad de auditoría quedará desactualizada si no incorporan herramientas equivalentes en el proceso de suscripción y en la gestión de siniestros”, añade.
En ese equilibrio, el estándar jurídico adquiere un carácter contextual, en la medida en que se mide frente al comportamiento del operador razonable en cada sector. En consecuencia, la consolidación de determinadas herramientas de ciberseguridad como práctica habitual puede elevar el umbral de diligencia exigible. Su ausencia podría llegar a considerarse un incumplimiento a efectos de responsabilidad civil y, en el ámbito asegurador, del deber de mantenimiento del riesgo asegurado. “La evolución de la normativa NIS2 y del Reglamento DORA en el sector financiero acelerará este proceso”, opina el abogado.
El foco se desplaza así del contrato hacia la gobernanza corporativa. ¿Qué debe acreditar un consejo de administración para sostener que ha cumplido? Para Javier Arnaiz, socio de Ciberseguridad de Ecija, ambas normas han reforzado la responsabilidad directa de los órganos de administración. “La ciberseguridad ha dejado de ser una cuestión que se pueda delegar en el equipo técnico y ha pasado a integrarse en el deber de gobierno y supervisión del consejo”. Aunque no se le pide un conocimiento técnico exhaustivo, “sí una gobernanza activa, informada y proporcional al riesgo”. En un escenario en el que la IA permite anticipar vulnerabilidades con una precisión inédita, la cuestión ya no es solo quién responde cuando se produce un ataque, sino quién pudo haberlo visto venir.