Comisión Europea lanza un plan para blindar su ciberseguridad frente a los riesgos de la IA de frontera

La Comisión Europea (CE) presentó recientemente su Plan de Acción sobre Ciberseguridad e Inteligencia Artificial (IA), una estrategia que busca preparar a la Unión Europea (UE) para un escenario en el que la IA será tanto una herramienta clave para reforzar la seguridad digital como un instrumento que podría ser utilizado para lanzar ciberataques cada vez más sofisticados.

La iniciativa plantea una respuesta coordinada entre instituciones europeas, Estados miembros, empresas, investigadores y socios internacionales para fortalecer la resiliencia cibernética y reducir la dependencia europea de tecnologías desarrolladas fuera del bloque.

Según la CE, la IA de frontera (los modelos más avanzados disponibles o en desarrollo) está transformando el panorama de la ciberseguridad al permitir una detección más rápida de amenazas, mejorar la respuesta frente a incidentes y reforzar la protección de infraestructuras críticas. Sin embargo, estas mismas capacidades pueden ser utilizadas por ciberdelincuentes y otros actores maliciosos para automatizar ataques, identificar vulnerabilidades y ejecutar operaciones ofensivas a una velocidad y escala sin precedentes.

Recomendamos: De la Inteligencia Artificial a la computación cuántica, la siguiente frontera tecnológica

El documento advierte que, aunque hoy estas capacidades se concentran en un número reducido de modelos, la rápida evolución de los modelos de código abierto hará que sean cada vez más accesibles, aumentando el riesgo de uso indebido.

Al respecto, la Comisión considera que la UE cuenta con una base regulatoria sólida para afrontar este nuevo escenario gracias a normas como la Ley de IA (AI Act), la Ley de Ciberresiliencia (Cyber Resilience Act), la Directiva NIS2, el Reglamento sobre Resiliencia Operativa Digital (DORA) y la Ley de Solidaridad Cibernética.

No obstante, sostiene que es necesario dar un paso más para aprovechar las oportunidades que ofrece la IA sin comprometer la seguridad digital del continente.

Pilares del plan de acción de Ciberseguridad e IA

El plan tiene un especial enfoque en que el acceso a las capacidades más avanzadas de IA está controlado, en gran medida, por proveedores ubicados fuera de Europa, lo que supone un reto para la soberanía tecnológica del bloque. Por ello, plantea acelerar el desarrollo de capacidades propias para evitar nuevas dependencias estratégicas y garantizar que Europa pueda utilizar estas tecnologías para proteger sus infraestructuras críticas y sus intereses de seguridad.

El plan se estructura en tres grandes pilares. El primero busca garantizar que la IA de frontera sea segura, accesible y desplegable para fines de ciberseguridad. Para ello, la Comisión reforzará la capacidad europea para evaluar modelos avanzados de IA antes de su lanzamiento, con el objetivo de identificar riesgos sistémicos, verificar la eficacia de las medidas de mitigación y generar alertas tempranas cuando sea necesario. Además, promoverá el desarrollo de un ecosistema europeo de evaluadores independientes que complemente la aplicación de la AI Act.

Como parte de este eje, la Comisión, en coordinación con la Agencia de la Unión Europea para la Ciberseguridad (ENISA), elaborará un Blueprint europeo para facilitar el acceso seguro y transparente de organismos públicos, operadores de infraestructuras críticas, empresas e investigadores a capacidades avanzadas de IA con fines de ciberseguridad. El documento también contempla mecanismos de contingencia para responder en caso de que proveedores o terceros países restrinjan el acceso a estos modelos.

Asimismo, ENISA y el Centro Común de Investigación (JRC) desarrollarán una plataforma europea segura para probar aplicaciones de Inteligencia Artificial en escenarios reales de ciberseguridad. Esta infraestructura permitirá evaluar modelos en entornos controlados —conocidos como cyber ranges— sin poner en riesgo sistemas o infraestructuras críticas, facilitando la experimentación en tareas como detección de amenazas, análisis de vulnerabilidades y respuesta a incidentes.

Lee también: Comisión Europea publica un código de buenas prácticas para el contenido generado por IA

El segundo pilar está orientado a preparar el ecosistema europeo frente a las amenazas impulsadas por IA. La Comisión insta a los Estados miembros a acelerar la implementación de la Directiva NIS2 y del reglamento DORA, reforzar la higiene digital, adoptar enfoques de “confianza cero” (Zero Trust), utilizar herramientas de IA —incluidos modelos de código abierto— para detectar vulnerabilidades y reducir significativamente los tiempos necesarios para aplicar actualizaciones de seguridad.

También propone modernizar la gestión de vulnerabilidades para responder al ritmo que impone la IA y mejorar el intercambio de información sobre amenazas entre los países de la Unión.

Dentro de este mismo pilar, la Comisión pone un énfasis especial en el software de código abierto. El documento señala que alrededor del 98% del código fuente incorpora componentes Open Source y que las infraestructuras críticas presentan una alta dependencia de este tipo de tecnologías. Por ello, ENISA liderará una Campaña de Resiliencia para Software Crítico de Código Abierto, que buscará acelerar la identificación y corrección de vulnerabilidades mediante IA, promover el patrocinio de proyectos estratégicos y crear un catálogo europeo de servicios basados en IA para apoyar la remediación de fallos de seguridad. El primer piloto está previsto para finales de 2026.

El tercer pilar se centra en fortalecer las capacidades europeas de IA aplicadas a la ciberseguridad. Entre las principales iniciativas figura el lanzamiento del EU Grand Challenge on AI-assisted Vulnerability Remediation, un reto europeo que reunirá a empresas, universidades, operadores de infraestructuras críticas y comunidades de software libre para desarrollar herramientas capaces de asistir a los equipos de ciberseguridad durante todo el ciclo de corrección de vulnerabilidades.

¿Cuánto costará el plan de ciberseguridad e IA?

El documento también contempla inversiones para reforzar la autonomía tecnológica europea.

La Comisión recordó que ya destina 200 millones de euros a proyectos de investigación y desarrollo relacionados con IA y ciberseguridad a través de los programas Horizonte Europa y Europa Digital, además de nuevas inversiones del Fondo del Consejo Europeo de Innovación (EIC Fund).

Paralelamente, continuará impulsando las AI Factories, las futuras Gigafactories, el acceso a infraestructura de computación soberana y mecanismos para atraer inversión privada destinada al desarrollo de modelos europeos de IA de frontera.

Otro de los componentes del plan será el fortalecimiento del talento europeo.

La Comisión desarrollará, junto con los Estados miembros y la Academia Europea de Competencias en Ciberseguridad, programas específicos para formar profesionales capaces de utilizar herramientas de IA en operaciones de ciberseguridad, mientras que ENISA actualizará el Marco Europeo de Competencias en Ciberseguridad para incorporar habilidades relacionadas con IA.

En mismo Plan de Acción también aborda desafíos asociados a la IA que trascienden las fronteras nacionales, por lo que la UE reforzará la cooperación con socios internacionales a través del G7, las Naciones Unidas, la OTAN y otros mecanismos multilaterales para promover estándares comunes, mejorar la evaluación de modelos avanzados de IA y fortalecer la resiliencia cibernética global.

Asimismo, la Comisión propone una revisión periódica de la implementación de esta estrategia para adaptarla a la evolución tecnológica.