El Banco central Europeo (BCE) ha situado entre los asuntos más candentes para el sector financiero la amenaza que pueden suponer algunos modelos de inteligencia artificial (IA) por su potencia en detectar agujeros de ciberseguridad. En concreto, el programa Mythos de Anthropic. Por ello, el regulador ha reclamado a los principales bancos de la Eurozona que le remitan antes del 31 de octubre un plan de acción para enfrentar este nuevo riesgo.
Este es el principal contenido de la carta que ha remitido el BCE a los bancos en las última semanas, tal y como publicó este periódico el pasado 19 de junio. Se trata de un tipo de misiva conocida en el argot como Dear CEO, puesto que el destinatario de la misma son los primeros espadas de los bancos europeos, presidentes ejecutivos o consejeros delegados. El BCE la ha hecho pública este martes. Es uno de los mecanismos de más nivel que cuenta el regulador para alertar a las entidades y, de hecho, la última vez que la utilizó fue en 2022. Su objetivo con ello es que los bancos debatan sobre esta cuestión al más alto nivel, en el consejo de administración.
Por el momento, el sector está trabajando con los equipos de supervisión (conocidos en el mundo de las finanzas como JST) en ese plan de acción, en el que tendrán que proponer medidas para ejecutar tanto en el corto como en el largo plazo. En concreto, el BCE busca que las entidades aceleren la gestión de vulnerabilidades de software y su parcheo, monitoricen y detecten las capacidades defensivas de la IA y verifiquen que sus proveedores trabajen con seguridad. En el largo plazo, plantea que modernicen y reemplacen su tecnología más antigua y que mejoren su resiliencia operativa con mecanismos de recuperación tras crisis o compartiendo información.
El envío de estas cartas se trata de un punto culminante de una serie de actuaciones que ha llevado a cabo el BCE en los últimos meses. El regulador ha realizado en los últimos meses una serie de reuniones con los principales ejecutivos de los grandes bancos europeos para conocer de primera mano cuáles son sus salvaguardas ante los ciberataques y cómo se están protegiendo contra los potenciales riesgos de Mythos.
La cuestión con este modelo —como puede ser Chat GPT con Open AI, Gemini con Google o Copilot con Microsoft— está en su elevada capacidad de detectar fallos de software y como explotarlos. Los fallos de programas que hasta ahora los bancos tardaban mucho tiempo en encontrar y reparar, esta herramienta lo hace en unos minutos. En el caso de los bancos, les puede ayudar a detectar las vulnerabilidades de sus sistemas y hacerlos inexpugnables. Mal utilizado, puede provocar que el dinero de las cuentas corrientes de sus clientes se evapore en cuestión de minutos.
Así, el BCE ha propuesto en su misiva medidas más concretas. Un núcleo importante de ellas versan sobre la gestión de estos riesgos y reclama a los bancos que evalúen si el presupuesto actual dedicado a tecnología, los equipos son suficientes para abordar esta nueva realidad en el arreglo de las vulnerabilidades de los software, al tiempo que insta a potenciar las actividades de formación a la plantilla sobre estas cuestiones y a revisar la cadena de suministro y los acuerdos con proveedores tecnológicos.
La cuestión que más preocupa al regulador es precisamente la necesidad de que con la aparición de Mythos, y otros modelos similares que desarrollan otras tecnológicas, los bancos deben acelerar ese proceso de búsqueda de vulnerabilidades en su software y su remedio. Por tanto, les instan a hacer análisis para buscar previamente estas vulnerabilidades, ayudados eventualmente por el uso de estas herramientas de IA, así como a estar preparados a parchear estos fallos rápidamente y hacer los cambios necesarios en la tecnología para ello. También reclama que identifiquen todos lo activos tecnológicos con los que trabaja la entidad, también los de terceros, o minimizar los expuestos a internet y accesibles desde fuera de la entidad, incluidos los entornos en la nube.
El BCE, además, seguirá de cerca la aplicación de estas medidas por los bancos. Tras la presentación del plan de acción, también realizará un análisis horizontal de todos los planes recibidos para identificar tendencias, retos y áreas de mejora. Prevé compartir este análisis con los bancos, así como deja la puerta abierta a convocar nuevas reuniones con los equipos tecnológicos de los bancos.
El Banco central Europeo (BCE) ha situado entre los asuntos más candentes para el sector financiero la amenaza que pueden suponer algunos modelos de inteligencia artificial (IA) por su potencia en detectar agujeros de ciberseguridad. En concreto, el programa Mythos de Anthropic. Por ello, el regulador ha reclamado a los principales bancos de la Eurozona que le remitan antes del 31 de octubre un plan de acción para enfrentar este nuevo riesgo.. Seguir leyendo
