La inteligencia artificial está transformando la forma en que el sistema financiero gestiona las vulnerabilidades y reacciona ante los incidentes. Sin embargo, también está amplificando las ciberamenazas, que pueden socavar la estabilidad financiera cuando las capacidades ofensivas de los intrusos superan las defensas. Los análisis del FMI sugieren que las pérdidas extremas derivadas de incidentes cibernéticos podrían desencadenar problemas de financiación, generar inquietudes sobre la solvencia y perturbar mercados más amplios.
El sistema financiero se basa en una infraestructura digital compartida y altamente interconectada, que incluye software, servicios en la nube y redes para pagos y otros datos. Los modelos avanzados de IA pueden reducir drásticamente el tiempo y el costo necesarios para identificar y explotar vulnerabilidades, aumentando la probabilidad de descubrir y atacar simultáneamente las debilidades en sistemas de uso generalizado. En consecuencia, el riesgo cibernético se centra cada vez más en fallos correlacionados que podrían perturbar la intermediación financiera, los pagos y la confianza a nivel sistémico.
El reciente lanzamiento controlado de Claude Mythos Preview por parte de Anthropic, un modelo avanzado de IA con capacidades cibernéticas excepcionales, puso de manifiesto la rapidez con la que aumentan los riesgos. Mythos podía encontrar y explotar vulnerabilidades en todos los principales sistemas operativos y navegadores web, incluso cuando los utilizaban personas sin conocimientos técnicos. Esto presagia cómo los riesgos cibernéticos impulsados por la IA, que evolucionan rápidamente, podrían desestabilizar el sistema financiero si no se gestionan con cuidado, y por qué las autoridades deben centrarse en fortalecer la resiliencia mediante la supervisión y la coordinación, en lugar de tratar estos avances como meros problemas técnicos u operativos.
Por otro lado, la versión cibernética especializada y restringida de GPT-5.5 de OpenAI parte de la base de que las vulnerabilidades y los ataques aumentarán, y hace hincapié en equipar a los defensores de forma más rápida y a gran escala, bajo modelos de gobernanza y acceso de confianza adecuados.
Los avances modifican la ecuación de riesgo.
Modelos como Mythos ilustran la naturaleza del desafío, ya que amplifican las técnicas de ciberataque existentes al operar a la velocidad de las máquinas. Los atacantes tienen ventaja sobre los defensores, pues el descubrimiento y la explotación de vulnerabilidades pueden ocurrir más rápido que la aplicación de parches y la corrección de errores. En un sistema financiero basado en software común y proveedores de servicios compartidos, esto puede generar vulnerabilidades simultáneas en múltiples instituciones.
Por ahora, persisten algunos factores atenuantes. Las capacidades avanzadas de ciberseguridad basadas en IA aún no están ampliamente disponibles, y el software financiero cerrado y específico del sector es más difícil de atacar que la infraestructura de código abierto. Sin embargo, es probable que estas medidas de protección se agoten rápidamente a medida que se expanda el entrenamiento de modelos, se difundan las capacidades y se produzcan filtraciones. Es improbable que la contención temporal pueda sustituir a las defensas duraderas.
Implicaciones para la estabilidad financiera
Las nuevas herramientas cibernéticas basadas en inteligencia artificial centran el debate en la estabilidad financiera:
Los riesgos son sistémicos . Los ataques se vuelven más peligrosos cuando su descubrimiento y explotación se extienden rápidamente, lo que tiene implicaciones para la estabilidad financiera.
Los riesgos afectan a todos los sectores . El sector financiero comparte infraestructuras digitales con los sectores de energía, telecomunicaciones y servicios públicos. Esto significa que los ataques con asistencia de IA pueden propagarse a través de sectores que dependen de la misma infraestructura.
La IA puede concentrar aún más los riesgos y fallos, ya que una vulnerabilidad puede repercutir en numerosas instituciones. La dependencia de un número reducido de plataformas de software, proveedores de servicios en la nube o modelos de IA incrementa el impacto de cualquier debilidad explotada.
Estas características elevan el riesgo cibernético a un potencial shock macrofinanciero. Si varias instituciones se ven afectadas simultáneamente, podrían producirse efectos en la confianza, interrupciones en los pagos, problemas de liquidez y ventas forzadas. Para las autoridades financieras, la pregunta es si el sistema está preparado para absorber incidentes cibernéticos sin desestabilizar las funciones financieras esenciales.
Inteligencia artificial en la ciberdefensa
La IA también es una parte fundamental de la solución. Cuando los atacantes operan a la velocidad de las máquinas, los defensores deben hacer lo mismo. Las instituciones financieras utilizan cada vez más herramientas con soporte de IA para detectar amenazas, prevenir el fraude, identificar vulnerabilidades y responder a incidentes.
La IA también puede ayudar a reducir las vulnerabilidades durante la fase de desarrollo, en lugar de corregirlas después del lanzamiento. Para infraestructuras financieras de uso generalizado, estas ventajas pueden reducir significativamente la exposición sistémica. Sin embargo, estos beneficios solo se materializarán si las instituciones invierten en integración, gobernanza y supervisión humana, áreas que los supervisores deben evaluar cada vez con mayor frecuencia. Esto incluye la continuidad del negocio y la recuperación ante desastres, programas de ciberseguridad y garantía de calidad, y buenas prácticas de ciberhigiene.
Marco político que prioriza la resiliencia
El riesgo cibernético impulsado por la IA exige una respuesta política que considere la ciberseguridad como un aspecto fundamental de la estabilidad financiera. Las medidas existentes siguen siendo relevantes, pero deben ampliarse y perfeccionarse para un mundo de ataques más rápidos, automatizados y cada vez más sofisticados. Los responsables políticos deben priorizar estándares de resiliencia sólidos, una supervisión centrada en los canales de transmisión sistémica y una estrecha colaboración público-privada en materia de inteligencia sobre amenazas y respuesta a incidentes.
Las defensas inevitablemente se verán vulneradas, por lo que la resiliencia debe ser una prioridad, especialmente para limitar la propagación de incidentes y garantizar una recuperación rápida. Los controles para detener la propagación de ataques pueden evitar que las brechas locales se conviertan en interrupciones a nivel de sistema. Estas medidas suelen ser costosas y complejas, pero se encuentran entre las herramientas más eficaces para contener los ataques basados en IA.
Desde una perspectiva de supervisión, esto subraya la necesidad de centrarse no solo en la prevención, sino también en la respuesta, la recuperación y la continuidad de las funciones críticas. Las pruebas de estrés cibernético, el análisis de escenarios y la supervisión del riesgo cibernético a nivel de la junta directiva se están convirtiendo en componentes indispensables de los marcos de estabilidad financiera.
La cooperación internacional es vital
El episodio de Mythos también pone de relieve los desafíos de la gobernanza. El riesgo cibernético no conoce fronteras. A medida que las capacidades de IA se extienden por los países, una supervisión inconsistente podría debilitar un sistema globalmente interconectado.
Las economías emergentes y en desarrollo, que suelen tener mayores limitaciones de recursos, pueden verse desproporcionadamente expuestas a ataques dirigidos a regiones con defensas más débiles. Por ello, una mayor coordinación internacional, un mayor intercambio de información y un desarrollo de capacidades ampliado son fundamentales para preservar la estabilidad financiera mundial.
A medida que la IA transforma el panorama cibernético, la pregunta fundamental para las autoridades es si el sistema financiero podrá seguir funcionando bajo una presión extrema. Para responder a esta pregunta, es necesario situar el riesgo sistémico —y las herramientas para gestionarlo— en el centro del debate sobre la IA y la ciberseguridad.
