Las cinco grandes agencias de inteligencia del mundo anglosajón han lanzado una advertencia poco habitual y muy contundente. Los modelos avanzados de inteligencia artificial podrían volverse capaces de lanzar ciberataques devastadores, capaces de desbordar las defensas de gobiernos y empresas, en una cuestión de meses y no de años.
El aviso llega en una declaración conjunta de la alianza Five Eyes, que agrupa a Estados Unidos, Reino Unido, Canadá, Australia y Nueva Zelanda. Que estos servicios, acostumbrados al secretismo, firmen juntos un llamamiento público y abierto a actuar ya da la medida de lo seria que consideran la amenaza.
La frase que resume el documento se ha vuelto su titular, y es que el plazo no es de años, sino de meses. Según los firmantes, el vertiginoso avance de la IA de frontera hace que las suposiciones sobre el riesgo cibernético puedan quedar obsoletas en ese mismo tiempo, lo que obliga a prepararse antes de que el golpe llegue.
De problema técnico a riesgo de Estado
El núcleo del mensaje es un cambio de mentalidad. Las agencias insisten en que la ciberseguridad ya no puede tratarse como un asunto puramente informático, sino como un riesgo empresarial de primer orden y una responsabilidad de la alta dirección. Las brechas, avisan, van a ocurrir, y lo que marca la diferencia es estar preparado para contenerlas rápido.
La razón es que la IA reduce las barreras para los atacantes y acelera la velocidad, la escala y la sofisticación de las amenazas, acortando el tiempo entre que se descubre una vulnerabilidad y se explota. Por eso recomiendan medidas concretas, desde limitar accesos innecesarios y aplicar los parches sin demora hasta reforzar la autenticación y restringir quién entra en los sistemas críticos.
Curiosamente, la propia IA es también parte de la defensa. Las agencias animan a integrar estas herramientas en las operaciones de seguridad, porque permiten detectar fallos antes, vigilar comportamientos anómalos y responder más rápido a los incidentes, reduciendo tanto el coste como el impacto de los ataques.
Una advertencia que no surge de la nada
El momento elegido no es casual. La alerta llega pocas semanas después de que Anthropic presentara un modelo, llamado Mythos, tan eficaz descubriendo y explotando vulnerabilidades que su acceso quedó restringido a un puñado de gobiernos y organizaciones seleccionadas, y poco después OpenAI mostró otro de características similares.
Según informes de algunas de las pocas organizaciones con acceso, ese modelo sería capaz de comprometer sistemas considerados muy difíciles y tomar el control de entornos corporativos en una proporción altísima de intentos, aunque conviene tomar esas cifras con cautela, ya que no han sido verificadas de forma independiente. Lo que sí es oficial es que la administración Trump obligó a suspender el acceso de ciudadanos extranjeros a esos modelos por motivos de seguridad nacional.
De fondo late una paradoja incómoda. Estados Unidos afronta esta amenaza con su propia agencia de ciberseguridad, la CISA, debilitada tras perder cerca de un tercio de su plantilla por despidos y enfrentar fuertes recortes presupuestarios. Mientras los modelos avanzan a toda velocidad, queda la duda de con qué músculo real responderán los gobiernos.
