Durante a�os, la banca europea ha vivido con una tranquilidad inc�moda: lanzar un ciberataque sofisticado era un lujo al alcance de muy pocos. Un ataque dirigido y avanzado exig�a un conocimiento profundo, semanas de reconocimiento, de prueba y error, y un conocimiento t�cnico que escaseaba. Esa escasez de talento ofensivo funcionaba como una barrera de entrada natural. Adem�s, el sector financiero supo aprovechar la �ltima d�cada para invertir en detecci�n y respuesta, con el marco europeo DORA como acelerador, empujando a los cibercriminales hacia sectores menos preparados.Pero esa ventaja se ha roto. Y no lo decimos solo los que nos dedicamos a esto. El pasado 3 de junio, el vicepresidente del Consejo de Supervisi�n del Banco Central Europeo describi� ante la conferencia de banca de Goldman Sachs un cambio que calific�, sin matices, de estructural en la econom�a del riesgo cibern�tico. Le puso nombre propio: Mythos.Hablamos de una nueva generaci�n de modelos capaces de descubrir y explotar vulnerabilidades a una velocidad nunca vista, encadenar fallos menores para realizar ataques complejos sobre sistemas y aplicar ingenier�a inversa a un parche de seguridad para convertirlo en una nueva vulnerabilidad en un tiempo muy reducido.Lo m�s relevante en este cambio de paradigma es lo que implica para el defensor. Cuando el ataque se 'industrializa', la asimetr�a que ya exist�a entre atacantes y defensores se amplifica. El BCE ha sido muy directo con su mensaje: estos modelos no solo buscan entornos d�biles, pueden superar est�ndares que hasta ayer consider�bamos el estado del arte. Su met�fora para resumirlo fue clara: si antes bastaba con avanzar andante, ahora toca moverse presto.El supervisor no se ha quedado en el PowerPoint. Ya ha reunido a las entidades y ha enviado una carta a sus CEO exigiendo medidas proactivas con seguimiento individual. El mensaje es directo: act�en ya, inviertan ahora y no esperen al pr�ximo incidente para ver d�nde est�n sus principales debilidades. Sobre todo cuando el 85% de los bancos supervisados ya usa IA en sus procesos, lo que ampl�a enormemente la superficie de ataque.�D�nde encaja Espa�a en este escenario? Esta amenaza nos pilla justo cuando el Consejo de Estabilidad Financiera (FSB) ha publicado una revisi�n sobre nuestro pa�s que identifica debilidades que no son t�cnicas, sino de coordinaci�n. En su an�lisis, deja claro que no existe un panorama sectorial consolidado de amenazas que oriente a las entidades m�s peque�as. El an�lisis de los riesgos en terceros y proveedores cr�ticos es insuficiente y cada incidente se reporta por un canal distinto, sin que se comuniquen entre s�. Frente a un adversario que ataca con IA, estas deficiencias dejan de ser un asunto de gobernanza para convertirse en un riesgo real.Capacidades defensivasLa respuesta l�gica parece ser incluir la IA como ayuda y acelerador de las capacidades defensivas, pero es un error peligroso pensar que con eso basta. Unas capacidades defensivas automatizadas y potenciadas con IA pero que nunca se han enfrentado a un rival a su altura no es una defensa: es una hip�tesis. Y en ciberseguridad, las hip�tesis sin probar siempre fallan en el peor momento.La �nica forma real de saber si una IA defensiva es capaz de hacer frente a la IA con grandes capacidades ofensivas, representadas principalmente con modelos como GPT-5.5 Cyber (OpenAI) o Mythos (Anthropic), es poni�ndola a prueba. Hay que enfrentarla de manera continua a ataques reales potenciados con IA sobre cada capa de protecci�n, incluyendo: la identidad, aplicaciones, los usuarios y todo un per�metro que, seamos sinceros, ya casi no existe. Simular un ataque con las t�cnicas y armas que tiene un adversario real es la �nica forma de ponernos a prueba de verdad. Pero esto no es solo un asunto del SOC (centro de operaciones de seguridad) ni de las �reas t�cnicas. El cambio alcanza a las �reas de riesgos, de continuidad y resiliencia, a la relaci�n con terceros y al propio negocio, entre otras. Prepararse exige ejercicios de simulaci�n de crisis peri�dicos que sienten a todas esas �reas en la misma mesa, bajo el liderazgo del CEO y la alta direcci�n. Y esto no se improvisa en solitario: el terreno es nuevo, y distinguir lo que funciona de lo que solo lo aparenta exige un criterio que casi nadie ha tenido tiempo de acumular.Mythos no es el fin del mundo, pero s� es un ba�o de realidad. Nos obliga a comprobar si las defensas de las entidades bancarias espa�olas son tan s�lidas como cre�amos o solo lo parec�an porque nadie las hab�a puesto a prueba de verdad.El supervisor ya ha cambiado el paso. Las entidades financieras que asimilen este cambio saldr�n reforzadas y aquellas que asuman que un incidente grave es una posibilidad remota descubrir�n demasiado tarde que el tiempo ya jugaba en su contra.*Socio de Ciberseguridad de KPMG en Espa�a
La nueva asimetr�a en ciberseguridad
Durante a�os, la banca europea ha vivido con una tranquilidad inc�moda: lanzar un ciberataque sofisticado era un lujo al alcance de muy pocos. Un ataque dirigido y avanzado...








