Las principales agencias de ciberseguridad de la alianza Cinco Ojos han emitido una declaración conjunta en la que advierten de que la inteligencia artificial está transformando la velocidad y la eficacia de los ciberataques contra gobiernos, empresas e infraestructuras críticas. El comunicado alerta de que los modelos avanzados de IA permiten a los atacantes identificar y explotar fallos en mucho menos tiempo que antes, por lo que los plazos de respuesta tradicionales pueden quedar obsoletos en cuestión de meses.
Qué dicen los responsables
En el texto participan representantes de las agencias nacionales de ciberseguridad de los cinco países: Stephanie Crowe (Australian Cyber Security Centre), Rajiv Gupta (Canadian Centre for Cyber Security), Catriona Robinson (National Cyber Security Centre de Nueva Zelanda), Richard Horne (NCSC británico), David Imbordino (NSA) y Nick Andersen (CISA). En palabras literales del comunicado:
"La IA no es una cuestión de futuro, ya está aquí"
La nota destaca que la capacidad de los modelos avanzados para encontrar fallos, preparar ataques y explotar vulnerabilidades reduce considerablemente el tiempo entre el descubrimiento de una vulnerabilidad y su explotación, algo que hasta ahora podía llevar semanas o meses.
Consecuencias prácticas
El cambio tiene dos efectos contrapuestos: por un lado, potencia a los atacantes al permitirles probar muchas más opciones en menos tiempo; por otro, ofrece a los defensores la posibilidad de reaccionar antes si adoptan herramientas y procesos adecuados. La diferencia, resumen las agencias, será «quién se mueva primero».
- Reducción del tiempo de detección y explotación: las búsquedas manuales de vulnerabilidades pueden ser sustituidas por procesos automatizados basados en IA.
- Mayor urgencia en las medidas básicas de ciberhigiene: actualizar software con rapidez, revisar permisos de acceso y retirar equipos sin soporte son acciones críticas.
- Necesidad de priorizar defensas: limitar lo expuesto a Internet y desactivar servicios innecesarios para reducir la superficie de ataque.
El comunicado subraya que muchas organizaciones siguen tardando en aplicar actualizaciones, revisar accesos o retirar equipos obsoletos, prácticas que ahora resultan especialmente vulnerables ante ataques potenciados por IA.
¿Qué pueden hacer empresas y administraciones ahora?
Las agencias no proponen soluciones milagrosas, pero insisten en medidas conocidas con un sentido de urgencia reforzado. Entre las recomendaciones que aparecen en el comunicado y que cualquier responsable de seguridad debería priorizar están:
- Reducir la superficie de ataque: limitar servicios expuestos y desactivar lo que no sea imprescindible.
- Acelerar la aplicación de parches y actualizaciones.
- Revisar y restringir privilegios y accesos regularmente.
- Retirar o aislar equipos sin soporte que puedan ser puertas de entrada.
Estas medidas no eliminan el riesgo, pero sirven para ganar tiempo y dificultar que los atacantes exploten rápidamente las vulnerabilidades que la IA puede identificar con mayor rapidez.
| Agencia | Representante citado |
|---|---|
| Australian Cyber Security Centre | Stephanie Crowe |
| Canadian Centre for Cyber Security | Rajiv Gupta |
| National Cyber Security Centre (Nueva Zelanda) | Catriona Robinson |
| NCSC (Reino Unido) | Richard Horne |
| NSA (EE. UU.) | David Imbordino |
| CISA (EE. UU.) | Nick Andersen |
Para las organizaciones españolas e internacionales que gestionan infraestructuras críticas o datos sensibles, la llamada de los Cinco Ojos implica revisar prioridades operativas: no es suficiente con planificar parches mensuales; puede ser necesario acortar esos plazos, ejecutar auditorías de accesos más frecuentes y emplear detección y respuesta automatizada que también integre herramientas de IA defensiva.
El mensaje central del comunicado es claro y práctico: la IA ya está cambiando el ritmo de los ciberataques. La capacidad de beneficiarse de sus ventajas defensivas dependerá de la rapidez con la que autoridades, empresas y administraciones actualicen sus prácticas básicas de seguridad.