Por: Amy Hogan-Burney, CVP, Seguridad y Confianza del Cliente.

La ciberseguridad está en un punto de inflexión. Los modelos avanzados de IA aceleran de manera importante el descubrimiento de vulnerabilidades y crean condiciones propicias para su explotación, todo esto subrayado por el anuncio de Claude Mythos Preview. Esto supone un cambio, y si esta tecnología favorecerá a los defensores o a los atacantes dependerá de las decisiones que tomemos ahora. 

Con las salvaguardas adecuadas, estas capacidades pueden ayudar a defensores de confianza a identificar y corregir vulnerabilidades en sistemas críticos en hospitales, redes eléctricas, agua y telecomunicaciones. Sin embargo, si se liberan de manera irresponsable o no están aseguradas de manera debida, esas mismas capacidades podrían ser abusadas por actores maliciosos, lo que podría amenazar los cimientos de nuestro ecosistema digital.

Gran parte del debate se ha centrado, con razón, en los riesgos. A medida que los modelos avanzados de IA aceleran el descubrimiento de vulnerabilidades, la manera en que las corregimos también debe acelerarse. Eso significa evaluaciones de riesgos previas al despliegue más sólidas y una estrecha colaboración entre gobiernos, desarrolladores de IA de vanguardia, proveedores de software y el ecosistema en general, para garantizar que estas herramientas reduzcan, en lugar de aumentar, el riesgo cibernético. Esto es en especial importante dado que los propios sistemas de IA se han convertido en objetivos de alto valor, lo que requiere una mayor protección de modelos, sistemas, datos e infraestructuras subyacentes.

Esto es, en última instancia, un desafío internacional. Ni las cadenas de suministro de software ni los actores amenazantes se detienen en las fronteras. Tampoco nuestra respuesta. Afrontar este momento requerirá enfoques compartidos entre países, sectores y sistemas, basados en la confianza, los estándares compartidos, la resiliencia y el uso responsable.

Este momento también es una oportunidad. La seguridad ha sido y sigue como la máxima prioridad en Microsoft. En los últimos dos años, a través de nuestra Iniciativa Futuro Seguro, hemos reforzado nuestras bases de seguridad para esta era de la IA, en parte al utilizar la IA para acelerar el descubrimiento y la remediación de vulnerabilidades. También hemos invertido en IA fundamental para la investigación en seguridad, incluido el desarrollo de benchmarks industriales de código abierto que puedan utilizarse para evaluar si los modelos están preparados para trabajos reales de seguridad. Aceleramos ese trabajo mediante una colaboración público-privada más profunda y en colaboración con IA, incluido el Proyecto Glasswing de Anthropic y el programa Trusted Access for Cyber de OpenAI. 

Proteger nuestro ecosistema digital con IA de próxima generación está al alcance, pero no es automático.

Construir bases seguras para la era de la IA Frontier

Garantizar que las tecnologías avanzadas de IA se utilicen para fortalecer la ciberseguridad requiere una acción deliberada y urgente. Compartimos las siguientes recomendaciones como medidas prácticas que gobiernos, industria y el ecosistema en general pueden tomar para garantizar que estas herramientas, a menudo denominadas «IA Frontier», refuercen los cimientos de seguridad de los que dependen las sociedades digitales. Y esperamos seguir con la colaboración con proveedores modelo, la industria y el gobierno para poder trabajar juntos y mejorar los resultados de seguridad para todos.

1. Reforzar las prácticas básicas de ciberseguridad

La IA avanzada solo puede fortalecer la ciberseguridad cuando ya existe una higiene cibernética fuerte y constante. A medida que la IA pionera acelera el descubrimiento y la respuesta a vulnerabilidades, prácticas clave como el parche rápido, el control de accesos y la resiliencia del sistema se vuelven más críticas, no menos.

Los avances en seguridad en la era pionera de la IA dependen de la estrecha coordinación entre los proveedores tecnológicos que avanzan en nuevas capacidades y las organizaciones responsables de operar, actualizar y asegurar sistemas reales. Sin esta interdependencia, la IA avanzada no puede ofrecer mejoras duraderas en seguridad. Ninguna organización puede resolver estos problemas de ciberseguridad por sí sola.

Por eso, la inversión sostenida en lo que sabemos que funciona es todavía esencial: ciclos de vida de productos de secure-by-design (seguro desde el diseño), arquitecturas Zero Trust (Confianza Cero), autenticación multifactor, acceso menos privilegiado y formación continua en seguridad. Adopción y armonización generalizada de marcos de ciberseguridad establecidos para garantizar una resiliencia coherente en los sistemas habilitados por IA. Entornos de nube de confianza que permiten estas prácticas a gran escala, al apoyar el manejo seguro de datos, el parche continuo y el despliegue seguro de herramientas habilitadas por IA para defensores.

2. Liberar capacidades avanzadas de manera responsable

A medida que los sistemas de IA de vanguardia adquieren capacidades de razonamiento, codificación y agentes, surgen algunos de los riesgos de seguridad más graves antes del despliegue, incluido un uso indebido realista que implica razonamiento en varios pasos, uso de herramientas y reconocimiento. Los benchmarks técnicos de seguridad son todavía importantes, pero son insuficientes sin pruebas rigurosas y realistas.

Como resultado, los gobiernos establecen cada vez más evaluaciones previas al despliegue que combinan pruebas técnicas con modelado de amenazas. Estas evaluaciones son más efectivas cuando los Desarrolladores Frontier trabajan de manera estrecha con organizaciones que monitorizan los riesgos de seguridad nacional. Invertir en entornos de evaluación seguros y métodos modernos de prueba puede ayudar a los gobiernos a mantenerse al día a medida que avanzan las capacidades.  

Las prácticas de liberación responsable, incluido el acceso por fases y controlado, son una extensión crítica de este enfoque. Nuestro trabajo con Anthropic en el Proyecto Glasswing ofrece un modelo práctico, que permite a defensores de confianza evaluar capacidades avanzadas en entornos restringidos antes de su lanzamiento más amplio. De manera similar, OpenAI y Microsoft trabajan de manera estrecha a través del programa Trusted Access for Cyber, y ya apoyamos el uso de despliegues tempranos y con alcance definido para pruebas de seguridad y protección.  

La responsabilidad no termina en la liberación. Las organizaciones que implementan modelos Frontier suelen estar en mejor posición para detectar nuevos abusos y deben monitorizar, mitigar y compartir información sobre amenazas. Microsoft colabora con sus pares a través del Frontier Model Forum para avanzar en las mejores prácticas en la evaluación y gestión del riesgo cibernético y facilitar el intercambio de información. Los gobiernos deberían fomentar la colaboración continua con la industria para restringir el acceso de actores amenazantes identificados y contrarrestar el uso adversarial o malicioso de IA avanzada.

3. Modernizar la gestión de vulnerabilidades

La IA cambia tanto la velocidad de detección de vulnerabilidades como lo que constituye un riesgo de seguridad significativo. Un descubrimiento más rápido solo mejora la seguridad si el triaje, la validación y la remediación pueden mantenerse al día.

A medida que la IA acelera el descubrimiento, la gestión de vulnerabilidades debe pasar de rastrear el volumen bruto a reducir el riesgo en el mundo real. Eso significa priorizar vulnerabilidades que sean en verdad explotables, asignar una responsabilidad clara en el triaje y la remediación, y utilizar una divulgación por fases y basada en riesgos cuando la coordinación privada mejore la seguridad. Por encima de todo, los sistemas deben diseñarse en torno a la validación y la capacidad realista de remediación, no a la suposición de que más hallazgos conducen en automático a una mejor seguridad.

Los desarrolladores de modelos de IA vanguardistas deberían integrar la coordinación y divulgación de vulnerabilidades directo en los marcos de redacción responsable. Y trabajar con gobiernos e industria para asegurar que los hallazgos se dirijan a los propietarios adecuados, se actúe con antelación y se respalden mediante vías claras de coordinación.

4. Arreglar más rápido: Fortalecer y acelerar la respuesta y la remediación

A medida que la IA acelera el descubrimiento de vulnerabilidades, la remediación debe mantener el ritmo. Iniciativas como el AI Cyber Challenge de DARPA demuestran cómo la IA puede ayudar tanto a encontrar como a corregir fallos en el software de código abierto. Reforzar las defensas requiere inversión no solo en herramientas de detección, sino también en las personas, procesos e infraestructuras responsables de corregir vulnerabilidades, en especial en sectores críticos. 

Gran parte del software que sustenta la infraestructura crítica depende de componentes de código abierto mantenidos por pequeños equipos o voluntarios con capacidad de seguridad limitada. Un aumento en el descubrimiento habilitado por IA corre el riesgo de sobrepasar los procesos de triaje y divulgación existentes. Iniciativas como el GitHub Secure Open Source Fund, junto con inversiones de Microsoft y otros a través de la Linux Foundation, AlphaOmega y OpenSSF, ayudan a los mantenedores a adaptarse de manera práctica y alineada con los flujos de trabajo existentes.  

Los gobiernos deberían tratar la capacidad de remediación como una prioridad fundamental en la resiliencia, incluida la inversión sostenida y el apoyo a los mantenedores, la capacidad de aumento durante grandes eventos de descubrimiento y la modernización de las vías de divulgación, para reconocer que la remediación eficaz aun depende en gran medida del juicio humano, la coordinación y el tiempo.

5. Avanzar en la seguridad de la IA a nivel internacional

La seguridad de la IA es esencial para desplegar la IA a gran escala. Dado que los sistemas de IA, las cadenas de suministro y los riesgos que introducen operan a través de las fronteras, los enfoques nacionales por sí solos no serán suficientes.

Los gobiernos y la industria deberían trabajar juntos para construir bases internacionales interoperables para la seguridad de la IA, incluida la evaluación de riesgos, la divulgación coordinada de vulnerabilidades y el intercambio de información. Las prioridades deberían incluir fortalecer el uso defensivo de la IA, prevenir el mal uso mediante normas y salvaguardas compartidas, y asegurar los sistemas de IA y la pila tecnológica de IA.

La participación global es fundamental. Los países y organizaciones con recursos limitados de ciberseguridad o infraestructuras heredadas suelen ser los más expuestos. La cooperación internacional debe priorizar el fortalecimiento de capacidades, para asegurar que los beneficios de seguridad de la IA se realicen de manera amplia y equitativa.

La seguridad de la IA no es solo una salvaguarda; es un facilitador de innovación y crecimiento. Al actuar de manera colectiva y moverse con rapidez, los gobiernos y la industria pueden fortalecer la resiliencia digital global y desbloquear la adopción confiable de la IA en economías, infraestructuras críticas y servicios públicos.

Afrontar el momento: Utilizar capacidades de IA de vanguardia para generar confianza y confianza

Afrontar este momento es, en última instancia, una cuestión de confianza: no en una tecnología o proveedor individual, sino en nuestra capacidad colectiva para introducir IA avanzada de manera responsable.

Utilizadas de forma deliberada y basadas en sólidas bases de seguridad, estas capacidades pueden reforzar la ciberseguridad y reforzar la confianza en los sistemas de los que depende la sociedad. La elección no es entre innovación y seguridad, sino si permitimos que se refuercen de manera mutua.

Ese resultado está al alcance. Con gobiernos, industria y operadores de infraestructuras alineados, la IA avanzada puede desplegarse de formas que coincidan con la capacidad defensiva real y apoyen acciones legales y de confianza. Si se hace bien y se trabaja en conjunto, la IA de vanguardia puede ayudar a proteger la infraestructura digital que sustenta la vida moderna y generar una confianza duradera en su resiliencia.