La UE presenta un plan de acción en ciberseguridad para IA, aunque se limita principalmente a recomendaciones mientras Bruselas depende de acceso negociado a modelos de IA estadounidenses como Mythos de Anthropic, revelando su dependencia tecnológica.
La Comisión Europea ha dado a conocer su estrategia para enfrentar los riesgos de ciberseguridad asociados con la inteligencia artificial avanzada, aunque Bruselas ofrece poco más que sugerencias y busca negociar un acceso anticipado con empresas estadounidenses de IA.
PUBLICIDAD
PUBLICIDAD
La inteligencia artificial está transformando el panorama de las amenazas cibernéticas, permitiendo que actores maliciosos ejecuten operaciones más económicas, escalables y sofisticadas.
Lo que para algunos es el habitual reflejo europeo de crear normativas sin resolver verdaderamente problemas complejos, la Comisión ha fabricado un plan de acción —un ensamblaje de herramientas regulatorias existentes y nuevas iniciativas, integradas en una respuesta que pretende ser coherente.
«Estos modelos avanzados de IA pueden ahora desarrollar exploits cibernéticos en minutos u horas, a un costo mucho menor que el descubrimiento de vulnerabilidades por expertos humanos. Al ser usados como armas, estas fallas ponen en riesgo la seguridad de nuestra infraestructura y sociedad», explicó la responsable digital de la UE, Henna Virkkunen, durante su presentación ante el Parlamento Europeo el martes.
El modelo de inteligencia artificial más potente de Anthropic, Mythos, fue capaz de detectar vulnerabilidades que podían explotarse para hackear sistemas informáticos altamente sensibles del gobierno estadounidense en cuestión de horas, indicaron agencias de seguridad estadounidenses el mes pasado.
Estas capacidades sin precedentes y las posibles consecuencias devastadoras en caso de uso malintencionado llevaron a Washington a imponer controles de exportación sobre los modelos avanzados de Anthropic. Dichas restricciones fueron posteriormente levantadas por el Departamento de Comercio de EE.UU., recuperando el acceso global a los modelos.
Las autoridades europeas y la agencia de ciberseguridad de la UE, ENISA, obtuvieron acceso limitado a Mythos a través del Proyecto Glasswing de Anthropic, luego de una intensa presión de Bruselas.
El plan promete un diseño europeo para el acceso estructurado a capacidades avanzadas de IA en ciberseguridad, facilitando que organismos públicos y empresas privadas puedan acceder a estos modelos.
Para la Comisión, el proceso de otorgar acceso limitado para pruebas iniciales a un número restringido de organizaciones carece en muchas ocasiones de transparencia —por ello se propone un modelo que aclare cómo los actores europeos pueden obtener IA con capacidades cibernéticas avanzadas.
Al mismo tiempo, la iniciativa pone en evidencia la dependencia europea en este ámbito: Bruselas se ve obligada a negociar acceso con EE.UU., donde se concentra la mayor parte de la innovación.
«Nuestra dependencia no radica principalmente en los modelos de IA, sino en la infraestructura sobre la que se sustentan. Europa posee una fuerte investigación en IA, pero tiene pocas empresas que operen en esta frontera tecnológica», señaló la eurodiputada Aura Salla (Finlandia/EPP) durante el debate plenario.
La Comisión señala que su AI Office colaborará con evaluadores especializados para analizar y mitigar los riesgos que los modelos avanzados de IA plantean antes de entrar en el mercado europeo, en el marco de la ley destacada de IA del bloque.
No obstante, aún existe controversia sobre si las normas deben aplicarse antes del lanzamiento comercial. Hasta ahora, los principales laboratorios de IA, incluyendo OpenAI y Anthropic, prefieren evaluaciones de modelos con el UK AI Security Institute, que carece de poder regulador.
El plan también incluye directrices para que las empresas se defiendan frente a amenazas cibernéticas impulsadas por IA, acelerando la corrección de vulnerabilidades susceptibles de ser explotadas, además de una evaluación del grado de preparación de infraestructuras críticas ante posibles ataques.
«Ya no es el negocio habitual. Sus programas y sistemas informáticos serán puestos a prueba por hackers asistidos por los modelos de IA más recientes. Los atacantes operarán a la velocidad de la luz intentando dejar fuera de servicio sus operaciones», advirtió Bart Groothuis (Países Bajos/Renew).

