La IA que hackea sola llegó a Chile y los bancos corren a evaluar su exposición

Fecha: 16 de abril de 2026

Medio: El Mercurio Inversiones

El riesgo de "Mythos" no solo implica un ataque externo:expertos advierten que la IA también puede erosionar el criteriohumano en decisiones de crédito, perfil de clientes y detecciónde fraudes.

Cuando el Tesoro de Estados Unidos reunió con urgencia a los principales ejecutivos deWall Street para advertirles sobre un nuevo modelo de inteligencia artificial, Canadá y el Reino Unidoreplicaron la señal días después. Y, en Chile, la CMF ya había activado una coordinación con la AgenciaNacional de Ciberseguridad. El detonante es un sistema inédito, capaz de detectar fallas en infraestructurabancaria y explotarlas de forma autónoma, sin intervención humana, operando en la práctica como unhacker de alto nivel disponible las 24 horas.

Claude Mythos —el modelo más avanzado de Anthropic, la startup de exinvestigadores de OpenAI,revelado por accidente en marzo de 2026— no es una IA común. Más allá de arrasar en pruebas clave derazonamiento, código y ciberseguridad, detecta y explota sola fallos "zero-day" en sistemas operativos,navegadores y software viejo sin parches, amenazando con vaciar cuentas o colapsar operaciones enbancos locales e internacionales. Esa potencia llevó a Anthropic a no lanzarlo al público, y a alarmar a losreguladores globales.

Según analistas de IA, el aterrizaje de Mythos en Chile puede marcar el inicio de una nueva fase para labanca local: más amenazante, y con niveles de exposición que los sistemas de seguridad actuales noestaban diseñados para enfrentar. Y si bien esto eleva los riesgos de ciberataques en el corto plazo,expertos sostienen que el nuevo escenario también puede convertirse en una herramienta estratégica si seutiliza adecuadamente, permitiendo identificar puntos ciegos de debilidad y niveles de exposición.

"Si bien existe el riesgo evidente de que una IA sea utilizada con fines maliciosos, también hay unaoportunidad estratégica", asegura Jaime Caiceo, Socio Líder de IA & Datos en Deloitte. "Esta misma tecnología permite identificar miles de vulnerabilidades que antes permanecían ocultas durante años".

VILLANO VIRTUAL

"Los bancos están entrando en una etapa donde la superficie de ataque crece más rápido que sucapacidad de controlarla", dice Marcelo Díaz, socio líder de cyber en Deloitte. "Ya no hablamos solo devulnerabilidades técnicas, sino de modelos que pueden ser manipulados, datos que pueden serenvenenados y decisiones automatizadas que pueden ser explotadas".

"Es un escenario sin precedentes y extraordinariamente complejo", sostiene Claudio Ordoñez, director deciberseguridad en PwC Chile. "Hoy, con el acceso de los ciberdelincuentes a la IA hay una democratizacióndel hacking de alto nivel".

Dos frentes de riesgo están a la vista. En primer lugar, "se abren casos de uso para la toma de decisionesautomatizadas (bancos están empezando a usar IA para tomar decisiones automáticas, por ejemplo,aprobar créditos, perfilar clientes o detectar fraudes) que conllevan riesgos legales y reputacionales",sostiene Erick Palencia, socio de consultoría y líder en ciberseguridad en KPMG Chile.

Esto "cobra especial relevancia a la luz de la Ley 21.719 —nueva normativa de protección de datospersonales que regula el tratamiento de la información de personas por parte de entidades públicas yprivadas— y que hoy la banca analiza en profundidad en sus matrices de tratamiento de datos personales",dice Palencia.

Palencia advierte sobre el riesgo de que los bancos pierdan el control de su juicio experto humano —elcorazón de sus decisiones tradicionales— al depender en exceso de la IA. Esto podría contaminar lageneración de estadísticas, prospecciones y hasta introducir sesgos éticos invisibles. En un mundo dondeherramientas de IA como Mythos ya amenazan sus sistemas, ceder el criterio propio podría ser un errorfatal.

EXPOSICIÓN

"Aquellas instituciones bancarias que asuman una posición reactiva serán las más expuestas a este tipo devulnerabilidades, porque es extremadamente costoso y complejo reaccionar frente a este tipo de ataques",cree Ordoñez, de PwC Chile. "Por otro lado, los bancos o instituciones que entiendan el nuevo escenariode la IA, podrán utilizar bien la inteligencia de amenazas, el compartir información por medio deasociaciones, incluso usar la propia IA para monitorear comportamientos anómalos y tener respuestasautomáticas ante eventos", plantea Ordoñez.

Los bancos mejor preparados "cuentan con sistemas más modernos y ordenados, revisan continuamentesus riesgos, prueban con regularidad cómo responder ante ataques y tienen equipos y responsabilidadesbien definidas", sostiene Paola Peñarrieta, socia adjunta en Consultoría de Riesgo Tecnológico enServicios Financieros de EY.

En contraste, "los bancos más expuestos son aquellos que usan IA sin inventario, sin validaciónindependiente y sin integración al modelo de riesgo corporativo", suma Palencia, de KPMG Chile.

Los bancos más vulnerables "suelen tener sistemas antiguos y poco conectados entre sí, tardan encorregir errores, dependen mucho de programas externos y no revisan de forma constante posibles fallas,además de tener una gestión poco clara de sus tecnologías críticas", dice Peñarrieta, de EY.

Otro vector de riesgo son las instituciones de negocio más abierto. "Aquellas instituciones que tengan unnegocio más abierto pueden verse más comprometidas, como fintechs y Openbanking", dice Ordoñez, dePwC Chile. "Entonces, una IA como Mythos puede, por ejemplo, analizar sus APIs públicas para encontrarservicios mal configurados, estudiar sus aplicaciones móviles para realizar ingeniería inversa o identificar yexplotar la velocidad de sus ciclos de desarrollo donde la seguridad se omitió".

La CMF fiscalizará esta nueva IA, pero el rol principal queda a manos de los propios bancos. Consultadapor El Mercurio Inversiones, la entidad sostuvo que "corresponde a los reguladores y supervisoresmonitorear los riesgos que emergen y sus posibles impactos en las instituciones supervisadas".

A su vez, "es responsabilidad de estas entidades fortalecer sus medidas de mitigación, que incluyan laseguridad y monitoreo del entorno, la revisión de los protocolos de 'parchado' de sus sistemas, y lacompartición entre entidades de las mejores prácticas de seguridad en este", concluyó la institución.

Mythos no es el único riesgo en emerger. Anthropic ha reconocido que modelos similares podrían estardisponibles para otros actores —incluidos potenciales atacantes— en un plazo de seis a dieciocho meses.Goldman Sachs ya confirmó que está reforzando su infraestructura de ciberseguridad. Para la bancachilena, el reloj está corriendo.