Jamie Dimon no es exactamente conocido por su comedimiento. El CEO de JPMorgan Chase, el mayor banco del mundo por capitalización, usó la presentación de resultados del primer trimestre de 2026 para decir en voz alta algo que muchos en el sector tech prefieren matizar con cuidado: la inteligencia artificial, antes de ayudar a defenderse de los ciberataques, va a facilitar que los ataques sean más numerosos y más eficaces.
JPMorgan está probando Claude Mythos, el modelo de Anthropic cuyo lanzamiento restringido la semana pasada convocó una reunión de emergencia en el Tesoro de Estados Unidos con los CEOs de la banca y la presencia del secretario Scott Bessent y el presidente de la Reserva Federal, Jerome Powell. Dimon no pudo asistir a esa reunión, pero sus palabras en el earnings call son, si cabe, más directas que cualquier comunicado oficial.
Un modelo que encuentra lo que nadie había encontrado
Lo que hace a Mythos diferente de cualquier herramienta de seguridad anterior es el tipo de vulnerabilidades que ha sido capaz de identificar de forma autónoma. No hablamos de fallos conocidos sin parchear, que ya son un problema suficientemente grave, sino de zero-days: vulnerabilidades que los propios fabricantes del software desconocen. El modelo encontró miles de ellas en sistemas operativos principales y navegadores ampliamente usados, incluyendo un fallo con 27 años de antigüedad en OpenBSD, un sistema conocido precisamente por su historial de seguridad.
Dimon lo resumió con la economía de palabras que caracteriza a alguien que ha leído el informe técnico: el modelo muestra que hay muchas más vulnerabilidades que corregir. No hay eufemismos. No hay "oportunidades de mejora". Hay agujeros, y ahora existe una herramienta que los encuentra a escala y velocidad que antes no eran posibles.
La doble cara que la industria conoce pero no le gusta nombrar
El responsable de seguridad de JPMorgan lo formuló en el mismo earnings call con bastante precisión: estas herramientas facilitan encontrar vulnerabilidades, pero también pueden ser desplegadas por actores maliciosos en modo ataque. No es una hipótesis de futuro. Es una descripción del presente.
La misma capacidad de razonamiento que hace a Mythos útil para un equipo de ciberseguridad lo hace peligroso si llega a manos de un grupo de ransomware o de una operación de ciberespionaje estatal. Anthropic lo sabe, por eso ha optado por un acceso controlado a través de Project Glasswing, un consorcio de 40 organizaciones entre las que están Apple, Microsoft, Google, Cisco, CrowdStrike y el propio JPMorgan. El modelo no tiene lanzamiento público y, según la compañía, no lo tendrá hasta que la cadena de parcheado haya tenido tiempo de actuar sobre los hallazgos.
El detalle que más debería preocupar no es que Anthropic tenga este modelo, sino que las capacidades que Mythos tiene hoy serán capacidades que otros modelos tendrán en entre 6 y 24 meses, según las estimaciones del propio equipo de defensa de Anthropic. La ventana de tiempo en la que Glasswing puede operar como carrera coordinada de parcheado es finita.
Lo que Dimon dice sobre lo que no cambia
Hay una parte del discurso de Dimon que es menos espectacular pero igual de relevante. Junto a la advertencia sobre la IA, insistió en que las prácticas básicas de ciberseguridad siguen siendo la primera línea de defensa: proteger los datos, asegurar las redes, cambiar contraseñas con regularidad, mantener los sistemas actualizados. Es el mismo argumento que sostiene el informe Cisco Talos sobre vulnerabilidades explotadas en 2025: el atacante de hoy no necesita un modelo de IA avanzado si encuentra un sistema sin parchear desde hace diez años.
JPMorgan dedica una cantidad de recursos que pocas organizaciones en el mundo pueden permitirse: equipos especializados, coordinación permanente con agencias gubernamentales, inversión continuada en infraestructura de seguridad. Incluso con ese nivel de inversión, Dimon reconoció que el riesgo cibernético no afecta solo a los bancos, sino a todo el ecosistema financiero: exchanges, plataformas de pago, infraestructura de compensación. La banca es el objetivo más visible, pero no el único vector de ataque con consecuencias sistémicas.
La reunión convocada por Bessent y Powell fue una señal de que el gobierno estadounidense trata esto como un riesgo de estabilidad financiera, no solo como un problema técnico de IT. Que la Fed y el Tesoro junten en la misma sala a los CEOs de los principales bancos del país para hablar de un modelo de IA que todavía no tiene lanzamiento público dice bastante sobre cómo están calibrando la amenaza. Y sobre lo que puede venir cuando modelos con capacidades similares sean accesibles sin restricciones.
0 Comentarios