Archivo - 30 April 2026, Hesse, Frankfurt/M.: View of the sign of the European Central Bank (ECB). In the afternoon, the ECB announces an interest rate decision after its regular Governing Council meeting. Photo: Florian Wiegand/dpa - Florian Wiegand/dpa - Archivo
MADRID 7 Jul. (EUROPA PRESS) -
El Banco Central Europeo (BCE), en su labor de supervisor bancario, ha instado a las principales entidades de la zona euro a presentar "antes del 31 de octubre de 2026" un plan de acción integral con medidas concretas para abordar las amenazas de ciberseguridad relacionadas con los modelos de IA de vanguardia, como Mythos, desarrollado por Anthropic.
En una carta remitida por Claudia Buch, presidenta del Consejo de Supervisión del BCE, a los consejeros delegados de las instituciones bancarias significativas de la eurozona, la alemana advierte de que la capacidad de los modelos emergentes de IA para identificar vulnerabilidades y generar 'exploits' funcionales tiene implicaciones potencialmente profundas para la confidencialidad, la integridad y la resiliencia de los sistemas de tecnología de la información y la comunicación (TIC) de los bancos.
"Se trata de un cambio a largo plazo en el panorama de amenazas, más que un fenómeno temporal o un riesgo vinculado a una sola herramienta", señala en la carta, publicada este viernes por el BCE.
A finales de mayo, el BCE se reunió con las entidades europeas para analizar las implicaciones de los modelos de IA de vanguardia para el sector, tras lo que Frank Elderson, representante neerlandés en el directorio del BCE y vicepresidente del Consejo de Supervisión de la institución, ya adelantó que la institución enviaría una carta a todos los CEO de los bancos significativos para solicitar la implementación de medidas proactivas para garantizar la solidez y la seguridad de sus sistemas ante estos cambios.
En este sentido, Claudia Buch insta en su carta a las entidades clave a evaluar sin demora el impacto del panorama de amenazas y a desarrollar "un plan de acción integral que describa medidas concretas" para reforzar los controles pertinentes, asignar los recursos necesarios, definir claramente las funciones y responsabilidades, y establecer los plazos de implementación.
Dicho plan de acción, que deberá presentarse al Equipo Conjunto de Supervisión (ECS) correspondiente antes del 31 de octubre de 2026, tendrá en cuenta la estrategia de ciberriesgo existente del banco y abordará tanto las prioridades inmediatas como los aspectos estratégicos a largo plazo.
En concreto, en el corto plazo, el BCE pide acelerar la gestión de vulnerabilidades y parches a gran escala; mejorar la monitorización, la detección y las capacidades defensivas basadas en IA; y verificar que la gestión de riesgos de terceros sea adecuada en la situación actual, teniendo en cuenta el papel de los proveedores de servicios de TIC en las cadenas de suministro críticas.
Además de estas acciones a corto plazo, el BCE señala que la resiliencia operativa y cibernética debe reforzarse mediante medidas estructurales, incluyendo el fortalecimiento de la defensa en profundidad y la higiene cibernética, y la modernización de la infraestructura mediante la sustitución o actualización de tecnologías obsoletas, sin soporte o al final de su ciclo de vida.
Asimismo, el BCE ha indicado que realizará un análisis transversal de los planes de acción presentados por los bancos para identificar tendencias, desafíos y áreas de mejora, y compartirá sus conclusiones de con las entidades para apoyarlas en el fortalecimiento de su resiliencia en materia de TIC.
Al margen de los modelos de IA de vanguardia, el BCE advierte también de que otras tecnologías emergentes, como la computación cuántica, tendrán un impacto significativo en el panorama de la ciberseguridad, señalando que abordará el riesgo emergente relacionado para los métodos de cifrado tradicionales en una carta aparte que se publicará próximamente.
"Si bien estos avances no introducen riesgos completamente nuevos, sí amplifican significativamente la velocidad y la escala con la que se materializan", concluye Buch, para quien las vulnerabilidades existentes que permanezcan aún sin resolver podrían adquirir mayor relevancia y suponer riesgos significativos para la resiliencia operativa de los bancos.