ASIC advierte a las firmas financieras sobre los riesgos de ciberataques con IA

La Comisión Australiana de Valores e Inversiones (ASIC) advirtió a las firmas financieras que fortalezcan sus defensas cibernéticas, señalando que modelos avanzados de IA como Mythos, de Anthropic, exponen fallos de software, según Reuters. La comisionada de la ASIC, Simone Constant, dijo que las empresas deberían actuar antes de que la amenaza se vuelva más clara y centrarse en medidas básicas de resiliencia cibernética.

Contexto regulatorio

La advertencia llegó un mes después de que la Autoridad Australiana de Regulación Prudencial publicara su propia alerta sobre prácticas de seguridad que luchan por ponerse al día con la IA. Una investigación separada del Cambridge Centre for Alternative Finance encontró que solo 20% de los reguladores habían adoptado IA avanzada y que los supervisores van rezagados frente a las firmas financieras al rastrear daños emergentes.

Capacidades del exploit de Mythos

La vista previa de Mythos, de Anthropologic, va más allá de identificar vulnerabilidades: puede escribir exploits funcionales para fallos de software. El modelo encontró y explotó de forma independiente un bug de 27 años en OpenBSD, un sistema operativo de código abierto construido para la seguridad. Mythos también utilizó CVE-2026-4747 para lograr ejecución remota de código con privilegios de root a través de Network File System (NFS) en FreeBSD, otro sistema operativo de código abierto.

Anthropic afirmó que el modelo encontró miles de vulnerabilidades de alta criticidad en sistemas operativos importantes y navegadores web, muchas de las cuales no habían sido detectadas durante años o décadas. El acceso a Mythos Preview está limitado, y Project Glasswing reúne a Amazon Web Services, los equipos de seguridad de Apple, Google, Microsoft, NVIDIA y otros para asegurar software ampliamente utilizado antes de que herramientas similares se difundan.

Impacto en la economía de la ciberseguridad

La capacidad altera significativamente el costo y el cronograma para lanzar ciberataques. Fallos que antes se trataban como de bajo riesgo ahora generan mayor preocupación porque Mythos Preview puede construir exploits en horas, un trabajo que los probadores de penetración expertos dijeron que habría tomado semanas usando métodos tradicionales. Este cambio significa que las firmas financieras y otras organizaciones podrían necesitar ciclos de parcheo más rápidos y defensas más automatizadas.

Las pruebas con otros modelos de IA de frontera sugieren que las habilidades cibernéticas avanzadas acompañan el progreso más amplio de la IA, lo que indica que la amenaza probablemente crecerá.

FAQ

¿Qué es Mythos y por qué es una preocupación para las firmas financieras?

Mythos es el modelo avanzado de IA de Anthropic que puede identificar vulnerabilidades de software y escribir exploits funcionales. La ASIC advirtió a las firmas financieras porque Mythos puede exponer fallos de seguridad en sistemas ampliamente utilizados, reduciendo el tiempo y el costo necesarios para lanzar ciberataques hasta el precio de una clave de API. El modelo ha demostrado la capacidad de encontrar miles de vulnerabilidades de alta criticidad en sistemas operativos y navegadores web.

¿Qué tan rápido puede Mythos generar exploits en comparación con métodos tradicionales?

Mythos puede construir exploits en horas, mientras que los probadores de penetración expertos dijeron que el mismo trabajo habría tomado semanas usando métodos tradicionales. Esta aceleración cambia fundamentalmente la economía de la ciberseguridad y la urgencia de parchear vulnerabilidades.

¿Qué están haciendo los reguladores para abordar riesgos cibernéticos impulsados por IA?

La ASIC recomendó a las firmas financieras fortalecer sus defensas cibernéticas y centrarse en medidas básicas de resiliencia cibernética antes de que las amenazas se vuelvan más claras. La Autoridad Australiana de Regulación Prudencial emitió una advertencia similar sobre prácticas de seguridad que van rezagadas frente al desarrollo de la IA. Project Glasswing, que involucra a importantes compañías tecnológicas y de la nube, trabaja para asegurar software ampliamente utilizado antes de que herramientas similares de generación de exploits se vuelvan generalizadas.