La inteligencia artificial y la ciberseguridad están cada vez más relacionadas. La misma tecnología que puede ayudarnos a mejorar servicios, analizar información o prevenir determinados riesgos también puede ser empleada para cometer delitos, automatizar ataques o facilitar nuevas formas de criminalidad.
Imagina una herramienta capaz de revisar miles de sistemas informáticos en pocos minutos.
Una herramienta que puede encontrar una puerta mal cerrada, localizar una contraseña expuesta, detectar una configuración insegura o descubrir una vulnerabilidad antes de que alguien llegue a explotarla.
Ahora imagina que esa herramienta no trabaja para quien quiere protegerte.
Trabaja para quien quiere entrar.
Esa es una de las grandes paradojas de la inteligencia artificial aplicada a la ciberseguridad: la misma tecnología que puede ayudarnos a detectar un ataque también puede utilizarse para prepararlo, automatizarlo y lanzarlo a una velocidad difícil de seguir para una persona.
El 7 de julio de 2026, la Comisión Europea presentó un nuevo Plan de Acción sobre Ciberseguridad e Inteligencia Artificial. La idea de fondo es relativamente sencilla: Europa quiere aprovechar la inteligencia artificial para defender mejor sus sistemas, pero también prepararse para los riesgos que generan los modelos más avanzados cuando terminan en las manos equivocadas.
Cuando el documento habla de modelos avanzados, se refiere, en términos sencillos, a sistemas con capacidades suficientemente amplias como para analizar código, localizar vulnerabilidades y automatizar tareas a una escala difícil de alcanzar mediante el trabajo humano convencional.
No es una cuestión reservada a grandes empresas tecnológicas, agencias de inteligencia o especialistas que trabajan en habitaciones llenas de pantallas.
También puede afectar a una pyme, un hospital, una universidad, un ayuntamiento, una entidad social, una empresa de transportes, un servicio de emergencias o cualquier organización que dependa de sistemas digitales para prestar sus servicios.
Es decir, prácticamente a todas.

Inteligencia artificial y ciberseguridad: a ambos lados de la puerta
Durante los últimos años hemos hablado mucho de lo que puede hacer la inteligencia artificial.
Redactar textos.
Analizar imágenes.
Traducir documentos.
Ayudar a programar.
Ordenar grandes cantidades de información.
Automatizar tareas.
Pero quizá hemos hablado menos de lo que ocurre cuando esas capacidades se aplican a la búsqueda de vulnerabilidades, la preparación de ataques o la explotación de sistemas informáticos.
Un modelo avanzado puede ayudar a un equipo de ciberseguridad a analizar código, detectar comportamientos extraños o responder con mayor rapidez a un incidente.
Pero también puede ayudar a un atacante a localizar debilidades, automatizar parte de su trabajo y multiplicar el número de sistemas que puede examinar en muy poco tiempo.
La Comisión Europea reconoce precisamente esa doble realidad: la inteligencia artificial puede mejorar la protección de infraestructuras y organizaciones, pero también puede utilizarse para identificar vulnerabilidades, automatizar ataques y aumentar la velocidad y la escala de los incidentes.
La herramienta no es buena ni mala por sí sola.
La pregunta es quién la utiliza, para qué la utiliza y qué controles existen cuando empieza a hacerlo.
Qué ha presentado realmente Europa
El documento no es una nueva ley que vaya a entrar en vigor mañana.
Tampoco es una aplicación que podamos descargar ni un escudo digital que vaya a detener automáticamente todos los ciberataques.
Es un plan de acción.
Eso significa que fija una dirección, identifica prioridades y propone actuaciones que deberán desarrollarse con la participación de las instituciones europeas, los Estados miembros, ENISA, empresas, investigadores, comunidades de código abierto y otras organizaciones.
El plan se estructura alrededor de tres grandes objetivos:
- Promover un uso seguro y responsable de los modelos avanzados de inteligencia artificial.
- Reforzar la ciberseguridad y la resiliencia de la Unión Europea.
- Aumentar las capacidades europeas de inteligencia artificial aplicadas a la ciberseguridad.
Dicho de una manera menos institucional:
Europa quiere saber mejor qué pueden hacer los modelos avanzados, facilitar que puedan utilizarse de forma segura para defender sistemas y desarrollar capacidades propias para no depender completamente de herramientas creadas fuera de la Unión.
Y aquí empieza la parte que merece ser explicada.
Evaluar los modelos antes de confiar en ellos
Una de las propuestas más importantes consiste en reforzar la capacidad europea para evaluar los modelos avanzados de inteligencia artificial.
No basta con que una empresa asegure que su sistema es seguro, fiable o resistente.
Hay que comprobarlo.
La Comisión quiere impulsar una capacidad europea de evaluación que permita analizar qué pueden hacer estos modelos, qué riesgos presentan y cómo podrían utilizarse antes de que lleguen al mercado europeo. Esta actividad estaría relacionada con las obligaciones previstas en el Reglamento de Inteligencia Artificial y con la función supervisora de la Oficina Europea de Inteligencia Artificial.
Puede parecer una cuestión muy técnica, pero la idea es bastante cotidiana.
Cuando compramos un vehículo, no nos conformamos con que el fabricante asegure que frena bien.
Queremos que alguien haya comprobado los frenos.
Con determinados modelos de inteligencia artificial empieza a ocurrir algo parecido.
No basta con admirar su potencia.
También hay que comprobar qué ocurre cuando se utilizan mal, qué información pueden revelar, qué vulnerabilidades pueden encontrar y hasta qué punto pueden facilitar actividades perjudiciales.
Acceder a la inteligencia artificial avanzada sin abrir todas las puertas
El plan también plantea una cuestión delicada: cómo permitir que organizaciones legítimas puedan acceder a modelos avanzados para mejorar su ciberseguridad sin facilitar al mismo tiempo su uso irresponsable.
Europa quiere establecer unas condiciones claras y transparentes para ese acceso.
La Comisión trabajará con la Agencia de la Unión Europea para la Ciberseguridad, ENISA, en el diseño de un modelo europeo que permita a organizaciones públicas y privadas utilizar determinadas capacidades avanzadas de inteligencia artificial con fines de ciberseguridad.
La dificultad es evidente.
Si el acceso es excesivamente restrictivo, únicamente las grandes organizaciones podrán beneficiarse de estas herramientas.
Si es demasiado abierto, determinadas capacidades podrían acabar utilizándose para atacar los mismos sistemas que se pretendía proteger.
Europa intenta encontrar un punto intermedio.
Y encontrar puntos intermedios es una de esas actividades que las instituciones europeas practican con notable frecuencia y resultados variables.
Probar antes de desplegar
Otra de las medidas previstas es la creación de una plataforma segura para probar soluciones de inteligencia artificial aplicadas a la ciberseguridad.
ENISA y el Centro Común de Investigación de la Comisión Europea colaborarían en la creación de entornos controlados y simulados donde las organizaciones puedan comprobar cómo funcionan estas herramientas antes de utilizarlas en sistemas reales.
Esto resulta especialmente importante en sectores críticos como:
- energía;
- transporte;
- sanidad;
- servicios financieros;
- administraciones públicas.
Imaginemos un hospital que quiere introducir una herramienta de inteligencia artificial para detectar comportamientos anómalos dentro de su red.
Probarla directamente sobre sistemas que contienen historias clínicas, dispositivos conectados y servicios asistenciales esenciales no parece la mejor manera de descubrir sus limitaciones.
Lo razonable sería ensayarla primero en un entorno seguro.
Comprobar qué detecta.
Qué no detecta.
Cuántos falsos positivos genera.
Cómo responde ante un ataque simulado.
Qué datos utiliza.
Y qué ocurre cuando se equivoca.
Eso es, en esencia, lo que pretende facilitar este tipo de plataforma.
La relación entre inteligencia artificial y ciberseguridad será, por tanto, uno de los grandes asuntos europeos de los próximos años.
La inteligencia artificial no sustituye a cerrar la ventana
Hay una parte del plan que puede parecer menos espectacular, pero que probablemente sea una de las más importantes.
Europa insiste en reforzar la higiene digital, la gestión de riesgos y la seguridad desde el diseño.
También anima a las organizaciones a utilizar la inteligencia artificial para localizar y corregir vulnerabilidades con mayor rapidez, prevenir ataques y mejorar la respuesta ante los incidentes. ENISA debería acompañar este proceso mediante orientaciones, recomendaciones y buenas prácticas.
Es importante no perder de vista esta idea.
Podemos hablar de modelos avanzados, fábricas de inteligencia artificial y plataformas europeas de ensayo.
Pero si una organización sigue utilizando contraseñas débiles, no actualiza sus sistemas, desconoce qué dispositivos tiene conectados o no sabe quién debe responder cuando ocurre un incidente, la inteligencia artificial no va a resolver mágicamente el problema.
A veces buscamos una puerta blindada mientras dejamos una ventana abierta.
La tecnología puede ayudar.
Pero no sustituye a una organización que conoce sus riesgos, forma a sus trabajadores y mantiene sus sistemas correctamente.
Una atención especial al código abierto
El plan también presta atención al software de código abierto.
Una enorme cantidad de sistemas, plataformas y servicios utilizan componentes abiertos desarrollados y mantenidos por comunidades internacionales.
Eso permite innovar, compartir conocimiento y evitar que cada organización tenga que construirlo todo desde cero.
Pero también implica que una vulnerabilidad localizada en un componente muy utilizado puede afectar simultáneamente a miles de organizaciones.
Por eso, el plan prevé actuaciones para mejorar la seguridad del software abierto considerado crítico y fomentar el uso de inteligencia artificial para detectar y corregir vulnerabilidades con mayor rapidez.
No significa que el código abierto sea menos seguro por naturaleza.
Significa que su enorme presencia dentro de la infraestructura digital obliga a prestarle atención, mantenerlo adecuadamente y apoyar a quienes sostienen proyectos de los que dependen muchas organizaciones.
A veces una parte esencial de la economía digital descansa sobre un componente mantenido por pocas personas.
Y eso también es soberanía tecnológica.
Europa también quiere construir capacidades propias
El plan no se limita a regular o prevenir riesgos.
También pretende desarrollar una mayor capacidad tecnológica europea.
La Comisión quiere aprovechar iniciativas como las AI Factories —ecosistemas que reúnen capacidad de supercomputación, datos y especialistas para desarrollar modelos y aplicaciones de inteligencia artificial—, las futuras gigafactorías y otras infraestructuras europeas para ampliar las capacidades propias en este ámbito.
Además, plantea la creación de un gran desafío europeo sobre inteligencia artificial y ciberseguridad que reúna a empresas, investigadores y otras organizaciones para desarrollar nuevas soluciones y fortalecer el mercado europeo.
Esta parte tiene una lectura estratégica.
Europa no quiere limitarse a establecer las normas con las que deberán trabajar tecnologías creadas en otros lugares.
También quiere disponer de infraestructura, conocimiento, empresas y modelos propios.
Porque depender tecnológicamente de terceros no es solo un problema económico.
Cuando hablamos de servicios esenciales, datos sensibles, infraestructuras críticas o seguridad pública, también puede convertirse en un problema de seguridad y autonomía.
¿A quién debería importarle todo esto?
Puede parecer un plan pensado para especialistas, grandes empresas tecnológicas o instituciones europeas.
Pero sus posibles efectos llegan mucho más cerca.
A las pymes
Las pequeñas y medianas empresas suelen disponer de menos personal y recursos especializados para proteger sus sistemas. Al mismo tiempo, gestionan datos de clientes, forman parte de cadenas de suministro y dependen cada vez más de servicios digitales.
Si la inteligencia artificial permite a los atacantes localizar sistemas débiles con mayor rapidez, muchas pymes pueden convertirse en objetivos especialmente accesibles. Pero también pueden beneficiarse de mejores herramientas para detectar vulnerabilidades y responder a incidentes.
El verdadero reto será conseguir que esas capacidades no queden reservadas exclusivamente a las grandes corporaciones.
A las administraciones públicas
Ayuntamientos y organismos públicos gestionan datos, trámites, pagos y servicios utilizados diariamente por miles de personas.
Cuando una administración sufre un ciberataque, no se paraliza únicamente un ordenador. Pueden verse afectados el padrón, la recaudación, las comunicaciones, los servicios sociales, la atención ciudadana o la gestión policial.
La inteligencia artificial puede ayudar a detectar comportamientos anómalos y responder con mayor rapidez. Pero seguirá haciendo falta personal formado, procedimientos claros y decisiones responsables de contratación.
Comprar una herramienta con la palabra «inteligencia artificial» en la portada de la presentación no constituye todavía una política de ciberseguridad.
A universidades y centros de investigación
Europa necesitará especialistas capaces de evaluar no solo lo que estos modelos pueden hacer, sino también sus limitaciones, riesgos y posibles usos indebidos.
Los futuros entornos de prueba y el desafío europeo anunciado por la Comisión pueden abrir oportunidades de colaboración entre universidades, centros tecnológicos, empresas y organizaciones usuarias. Todavía habrá que conocer su financiación y sus condiciones concretas.
A hospitales y servicios esenciales
En un hospital, una red energética o un sistema de transporte, un fallo informático puede tener consecuencias que van mucho más allá de perder un documento.
Puede afectar a la atención de pacientes, el suministro energético, la movilidad, las comunicaciones o el funcionamiento de servicios básicos.
Por eso resulta especialmente importante que las nuevas herramientas puedan probarse en entornos seguros antes de utilizarlas sobre sistemas reales.
A policías, protección civil y servicios de emergencias
Aunque el plan no es específicamente policial, estos servicios dependen de redes, comunicaciones, bases de datos y dispositivos conectados.
La inteligencia artificial puede ayudar a detectar anomalías, priorizar alertas y analizar grandes cantidades de información técnica. Pero utilizarla de manera responsable exigirá datos de calidad, supervisión humana y procedimientos que permitan actuar cuando la herramienta falle o se equivoque.
A la ciudadanía
La mayoría de las personas nunca verá una AI Factory ni participará en la evaluación de un modelo avanzado.
Pero sí notará sus efectos.
Los notará si un hospital continúa funcionando durante un incidente, si una administración protege sus datos, si una empresa evita una filtración o si un servicio esencial consigue recuperarse antes de un ataque.
La ciberseguridad suele resultar invisible cuando funciona.
Se vuelve muy visible cuando deja de hacerlo.
Qué puede cambiar en la práctica
El plan puede terminar influyendo en distintos aspectos:
- en la forma de evaluar los modelos avanzados antes de utilizarlos;
- en el acceso de empresas y organismos públicos a determinadas capacidades de inteligencia artificial;
- en la creación de entornos seguros para probar soluciones;
- en la detección y corrección más rápida de vulnerabilidades;
- en las futuras inversiones europeas en inteligencia artificial y ciberseguridad;
- en nuevas oportunidades para empresas, universidades e investigadores;
- en las exigencias que se incorporen a la contratación pública y a los proyectos europeos;
- en la protección del software de código abierto utilizado en sistemas críticos.
Pero conviene mantener los pies en el suelo.
El documento marca un rumbo.
Todavía habrá que transformar muchas de sus medidas en convocatorias, infraestructuras, guías, plataformas, inversiones y procedimientos concretos.
Entre anunciar una capacidad europea y conseguir que una pequeña organización pueda utilizarla suele existir un trayecto considerable.
A veces con varias reuniones.
Y probablemente con alguna sigla nueva.
Qué todavía no sabemos
No conocemos todavía todos los detalles sobre cómo se facilitará el acceso a los modelos más avanzados.
Tampoco sabemos qué organizaciones podrán utilizar las futuras plataformas, qué requisitos tendrán que cumplir o cuándo estarán plenamente operativas.
Habrá que conocer el funcionamiento del desafío europeo, las oportunidades de financiación y el modo en que se coordinarán las actuaciones con las obligaciones ya existentes.
También será necesario comprobar si las medidas llegan de verdad a quienes tienen menos recursos.
Una gran empresa puede contratar especialistas, desarrollar modelos propios y participar en programas europeos.
Una pequeña administración, una ONG o una pyme no siempre puede hacerlo.
Si las nuevas capacidades se concentran únicamente en quienes ya estaban preparados, Europa habrá avanzado tecnológicamente, pero no necesariamente habrá mejorado la seguridad del conjunto.
La cadena seguirá siendo tan resistente como su eslabón más débil.
Mi lectura: no estamos ante un problema del futuro
Durante mucho tiempo hemos hablado de los riesgos de la inteligencia artificial como algo que llegaría más adelante.
Ese tiempo parece estar terminando.
Los modelos avanzados ya pueden ayudar a programar, analizar código, automatizar tareas y localizar información a una velocidad que modifica la forma en que se trabaja.
Era inevitable que esa capacidad llegara también a la ciberseguridad.
La decisión europea parte de una idea acertada: no basta con regular la inteligencia artificial por un lado y la ciberseguridad por otro.
Ambas están empezando a formar parte del mismo problema.
El plan acierta al no presentar la inteligencia artificial únicamente como una amenaza: puede proteger sistemas, corregir vulnerabilidades y mejorar la capacidad de respuesta. Pero ninguna herramienta resolverá por sí sola problemas básicos que muchas organizaciones todavía no han abordado.
La mejor inteligencia artificial del mundo no compensará una contraseña escrita en un papel pegado al monitor.
Ni una red que nadie actualiza.
Ni un incidente para el que no existe ningún procedimiento.
Ni una organización que no sabe qué datos tiene ni dónde los guarda.
La inteligencia artificial puede reforzar la ciberseguridad.
No puede sustituirla.
La pregunta que queda sobre la mesa
La cuestión ya no es si la inteligencia artificial va a entrar en el mundo de la ciberseguridad.
Ya ha entrado.
La verdadera pregunta es quién tendrá capacidad para utilizarla, quién podrá evaluar sus riesgos y cómo conseguiremos que sus beneficios lleguen también a quienes no disponen de grandes departamentos tecnológicos.
Europa ha presentado un plan para empezar a responder.
Ahora habrá que observar cómo se convierte en capacidades reales.
Porque un plan europeo solo llega a ser verdaderamente útil cuando deja de ser una comunicación institucional y consigue que una empresa, un hospital, una universidad, una administración o un servicio público estén un poco mejor preparados.
Y quizá ahí se encuentra la idea más importante de todas:
La inteligencia artificial puede ayudar a encontrar la puerta antes que el atacante. Pero primero debemos saber qué puertas tenemos abiertas.
Para saber más
Este artículo parte de la documentación publicada por la Comisión Europea y ENISA. Puedes ampliar la información en las siguientes fuentes oficiales:
