Entre abril y mayo de 2026 ocurrieron tres anuncios concurrentes reconfiguraron el cálculo económico de la ciberseguridad y la arquitectura tecnológica de la banca y del sector financiero global.
Primero, Anthropic presentó Claude Mythos, modelo frontier que encontró un fallo de veintisiete años en OpenBSD por menos de veinte mil dólares de cómputo total; la corrida específica que lo descubrió costó menos de cincuenta. Segundo, OpenAI abrió GPT-5.5-Cyber a defensores acreditados mediante un esquema denominado Trusted Access for Cyber. Y por último, EPAM y Anthropic firmaron una alianza multianual con foco explícito en banca regulada y modernización de núcleos legacy. Tres movimientos consecutivos que marcan el inicio del ciclo de veinticuatro meses donde la banca dominicana decidirá su posición competitiva por la próxima década.
El principal eje es el colapso del costo marginal de descubrir vulnerabilidades. Un pentest serio para una banca dominicana mediana —aplicación web, APIs, infraestructura cloud, red interna— cuesta hoy entre veinticinco mil y ochenta mil dólares, con plazos de treinta y cinco a cien días desde la contratación hasta la entrega del reporte.
La referencia internacional 2026 publicada por Blaze Information Security y TCM Security ubica los rangos en ese mismo orden. XBOW, la empresa que en junio de 2025 ocupó el primer puesto del leaderboard estadounidense de HackerOne con mil sesenta vulnerabilidades reportadas en noventa días, lanzó en noviembre Pentest On-Demand: equivalencia a dos o cuatro semanas de trabajo manual entregada en pocos días, a precio significativamente menor según su propia comunicación comercial.
En benchmarks internos con cinco pentesters profesionales —el más senior con más de veinte años— XBOW resolvió en veintiocho minutos lo que el equipo humano resolvió en cuarenta horas. La Series C de ciento cincuenta y cinco millones de dólares cerrada en mayo, con Accenture Ventures, NVentures de NVIDIA, Samsung Ventures y S Ventures de SentinelOne, valida la trayectoria comercial.
Mythos opera en otro plano. Encontró un fallo de diecisiete años en NFS de FreeBSD que permite acceso root no autenticado desde internet abierto. Identificó una falla de dieciséis años en el decodificador H.264 de FFmpeg, librería fuzzeada por la industria durante una década. Construyó cadenas de cuatro vulnerabilidades para escapar sandboxes de navegador, clase de ataque que toma meses a investigadores senior. Más del noventa y nueve por ciento de los miles de bugs encontrados seguía sin parche al momento del anuncio.
El UK AI Security Institute le midió setenta y tres por ciento de éxito en capture-the-flag de nivel experto. Anthropic vende Mythos a cinco veces el precio de Opus 4.6, restringido a partners del programa Glasswing —Amazon, Apple, Cisco, Google, JPMorgan Chase, Microsoft, NVIDIA, Palo Alto Networks. La ventana donde esa capacidad permanece en manos exclusivamente defensivas se estima entre doce y dieciocho meses, según la propia Anthropic, Wiz y Oege de Moor, fundador de XBOW. El time-to-exploit mediano, según ArmorCode, cayó de setecientos setenta y un días en 2018 a menos de cuatro horas en 2024 y se proyecta bajo una hora a fines de 2026.
La banca dominicana entra a este ciclo con cifras propias dignas de atención. La Superintendencia de Bancos reportó cuarenta mil ochocientos eventos de fraude operacional en 2025, con pérdidas brutas por 2,498 millones de pesos. Las pérdidas brutas acumulan crecimiento de cincuenta y 5.6 por ciento desde 2021. El comercio electrónico desplazó a la banca por internet como canal de mayor materialización, con setecientos veintidós millones de pesos en pérdidas en 2024.
Por otro lado, FortiGuard registró quinientos treinta y cinco millones de intentos de ciberataque contra el país en 2025. El sesenta por ciento de las entidades financieras incrementó su inversión en ciberseguridad respecto al año anterior, según declaración del Superintendente Alejandro Fernández. La adopción de inteligencia artificial en banca llegó al cincuenta y seis por ciento de las entidades en 2025, frente al veintisiete por ciento de 2021. El país descendió del puesto siete al nueve en el Índice Latinoamericano de Inteligencia Artificial entre 2024 y 2025, sobrepasado por Costa Rica y Colombia.
El segundo eje es la arquitectura de despliegue empresarial. El 6 de mayo, EPAM y Anthropic anunciaron una alianza multianual con tecnología completa de Anthropic —Claude, Claude Code, Claude Agent SDK y Claude Security— y una práctica dedicada de más de diez mil arquitectos certificados, incluyendo doscientos cincuenta forward-deployed engineers denominados Black Belts.
En este sentido, EPAM cierra una trifecta de Anthropic donde Deloitte aporta cuatrocientos setenta mil usuarios en ciento cincuenta países y Accenture aporta treinta mil profesionales entrenados con una unidad propia denominada Accenture Anthropic Business Group. La diferenciación de EPAM es de ingeniería: heritage de Europa del Este, fortaleza en mercados de capitales, nueve años sirviendo a UBS. Su entrada al stack Anthropic está optimizada para banca regulada con preocupaciones de compliance y modernización de núcleos legacy. La trifecta consolida un estándar de facto para los próximos veinticuatro meses: AWS más Anthropic más uno entre Accenture, Deloitte o EPAM como capa de implementación.
Ese estándar de facto plantea una pregunta operativa concreta para banca dominicana. Los cinco bancos múltiples grandes tendrán cobertura directa de los integradores tier uno. La banca mediana y las asociaciones de ahorro y préstamo dependerán de un mercado local de integradores certificados en Claude, Anthropic o equivalentes. Quien capture la certificación localmente captura la década. InformationWeek documentó en diciembre que el triángulo proveedor de modelo más nube más integrador genera presión arquitectónica: el cliente termina amarrado a un stack específico durante cinco a siete años. La decisión de elegir integrador en 2026 y 2027 fija dependencias tecnológicas hasta 2032.
Desde la mirada de Tabuga, los ejecutivos corporativos enfrentan tres movimientos posibles en el próximo trimestre. El primero es diagnosticar exposición Mythos: auditar el núcleo bancario para identificar dependencias de software con probabilidad alta de albergar vulnerabilidades de la clase OpenBSD-FreeBSD-FFmpeg, donde sobreviven fallos de quince a veintisiete años en código revisado por décadas. El segundo es diseñar pipelines de patcheo a escala máquina que combinen análisis estático y dinámico, agentes autónomos contratados como servicio, gobierno humano para casos de alto impacto, y reporte estructurado a la Superintendencia. El tercero es construir la capa de gobernanza local que ningún integrador global puede ofrecer en igualdad de profundidad: cumplimiento simultáneo del Reglamento de Seguridad Cibernética de la Junta Monetaria, la Ley 53-07, el Reglamento del Consejo Nacional de Mercado de Valores R-CNMV-2024-08-MV, la circular CSB-RG-202500015 y el nuevo Reglamento de Riesgo Operacional publicado en abril.
Las decisiones tomadas en este trimestre comprometen el balance operativo de las entidades financieras dominicanas hasta 2032. La banca que cierre contrato con un proveedor de pentesting autónomo antes del primer trimestre de 2027 entrará al nuevo régimen con cobertura continua. La institución financiera que mantenga el ciclo anual de pentests manuales como cumplimiento regulatorio formal asumirá un costo de oportunidad creciente medido en zero-days no descubiertos y en pérdidas operacionales acumuladas.
"Nos gustaría ayudar a las empresas a asegurarse, y creemos que es importante comenzar a trabajar en esto rápidamente", dijo Sam Altman, CEO de OpenAI, al abordar el tema en la red X el mes pasado.
A través de la red técnica de Tabuga, observamos como necesaria la capa intermedia donde la profundidad técnica del frontier model converge con el conocimiento regulatorio local y la auditoría continua exigida por los reguladores. El cálculo es tan directo como las cifras lo permiten.
Compartir esta nota