Mythos de Anthropic, un nuevo modelo de IA que, según advierten la compañía y los expertos en ciberseguridad, podría potenciar los ciberataques complejos, plantea importantes desafíos para el sector bancario con sus sistemas tecnológicos heredados, dijeron los expertos en los días posteriores al anuncio del modelo.
El modelo, anunciado el 7 de abril, es el «más capaz hasta la fecha para tareas de codificación y de gestión de agentes» de la compañía, según indicó la empresa en una publicación de blog, refiriéndose a la capacidad del modelo para actuar de forma autónoma. Según los expertos, su capacidad para programar a un alto nivel le ha otorgado una habilidad potencialmente sin precedentes para identificar vulnerabilidades de ciberseguridad e idear formas de explotarlas.
Según TJ Marlin, director ejecutivo de Guardrail Technologies, empresa de seguridad de IA empresarial, esto supone un problema particular para los bancos y otras instituciones financieras, que utilizan plataformas tecnológicas que integran herramientas de última generación con software de décadas de antigüedad, lo que podría generar un gran número de vulnerabilidades.
Marlin afirmó que Mythos Preview puede «analizarse en una arquitectura muy compleja, incluyendo esta infraestructura heredada donde, francamente, estas vulnerabilidades y complejidades no descubiertas ahora son accesibles y representan factores de amenaza». El sector bancario también está estrechamente relacionado, ya que muchas empresas utilizan el mismo conjunto limitado de software para incorporar clientes, realizar controles de identidad y gestionar transacciones. «Debido a que es una industria muy especializada y altamente regulada, existen muchas interconexiones de TI», afirmó Naresh Raheja, consultor radicado en San Francisco que anteriormente trabajó en la Oficina del Contralor de la Moneda. «Muchos bancos utilizan los mismos proveedores y las mismas soluciones».
Marlin afirmó que eso podría actuar como un multiplicador de fuerza para las brechas de seguridad, haciendo que cualquier ataque impulsado por IA sea «potencialmente catastrófico a gran escala». Funcionarios gubernamentales de al menos tres países (Estados Unidos, Canadá y Gran Bretaña) se han reunido con altos funcionarios bancarios para analizar las amenazas que plantea Claude Mythos Preview. El Departamento del Tesoro de Estados Unidos declaró que la administración de Donald Trump estaba presionando a las instituciones financieras para que «comprendieran y anticiparan una amplia gama de acontecimientos del mercado» y que se habían programado más reuniones sobre el tema. Anthropic declinó hacer comentarios más allá de su anuncio del 7 de abril.
Anthropic ha declarado que la versión preliminar de Claude Mythos no estará disponible para el público en general. En su lugar, la compañía anunció el Proyecto Glasswing, en el que invitó a importantes empresas tecnológicas, proveedores de ciberseguridad y JPMorgan Chase, junto con varias docenas de otras organizaciones, a evaluar de forma privada el modelo y preparar las defensas correspondientes.
IDENTIFICACIÓN DE VULNERABILIDADES
Claude Mythos Preview es capaz de identificar y explotar vulnerabilidades hasta ahora desconocidas en todos los principales sistemas operativos y navegadores web, según anunció la compañía al presentar el Proyecto Glasswing. En un blog técnico publicado junto con el anuncio principal, los investigadores de Anthropic describen cómo Mythos Preview identificó «miles» de vulnerabilidades de alta y crítica gravedad, lo que significa que los objetivos podrían sufrir graves consecuencias, incluyendo la pérdida de datos y el compromiso operativo.
Los investigadores describieron cómo el modelo identificó una vulnerabilidad de 16 años de antigüedad en la biblioteca de software FFmpeg, ampliamente utilizada y de código abierto para el procesamiento de archivos de audio y vídeo, y cómo identificó un fallo en un programa de monitorización de máquinas virtuales no identificado, que permite a los usuarios crear ordenadores virtuales aislados dentro del suyo propio de forma que se supone que protege el sistema anfitrión.
Una coalición de ejecutivos de ciberseguridad y ex altos funcionarios del gobierno estadounidense, la Cloud Security Alliance, advirtió en una sesión informativa estratégica del 12 de abril que Mythos representa «un cambio radical» en la trayectoria de los modelos de IA capaces que «reducen el costo y el nivel de habilidad requerido para descubrir y explotar vulnerabilidades más rápido de lo que las organizaciones pueden parchearlas».
Costin Raiu, investigador de seguridad con una larga trayectoria y cofundador de la empresa de ciberseguridad TLPBLACK, afirmó en una entrevista que el sector bancario cuenta con sistemas tecnológicos heredados clave, lanzados inicialmente hace décadas, que se han actualizado numerosas veces a lo largo de los años, y puso como ejemplo productos fabricados por empresas como IBM. «Un modelo como Mythos sería ideal para encontrar vulnerabilidades» en ciertos sistemas de IBM, afirmó Raiu, señalando ejemplos de investigaciones sobre vulnerabilidades relacionadas con IBM. «Y este es solo un ejemplo de cómo las tecnologías antiguas impulsan la industria financiera».
En una publicación de blog del 9 de abril, IBM afirmó que Mythos está «obligando a los equipos de seguridad empresarial a replantearse sus defensas desde cero» y abogó por un enfoque de código abierto, donde más empresas e investigadores tengan acceso al modelo para mejorar la seguridad de todos. La compañía no respondió a las solicitudes de comentarios. JPMorgan Chase declaró la semana pasada que formaba parte de un grupo de empresas líderes que estaban evaluando de forma privada a Mythos, lo que denominó «una oportunidad única en fase inicial para evaluar herramientas de IA de próxima generación para la ciberseguridad defensiva en infraestructuras críticas». La empresa no respondió a la solicitud de comentarios.
Wells Fargo tampoco respondió al mensaje. FS-ISAC, la organización sin fines de lucro que trabaja para reforzar la ciberseguridad del sistema financiero global, no respondió a las preguntas escritas. Bank of America, Citibank, la Asociación de Banqueros Estadounidenses y la Asociación de Banqueros de Consumo declinaron hacer comentarios.
Información de AJ Vicens en Detroit y Raphael Satter en Washington; Edición de Nick Zieminski.
Fuente: reuters
