La Comisión Europea ha presentado un plan de acción para reforzar la ciberseguridad ante los riesgos de la inteligencia artificial con nuevas capacidades de evaluación, pruebas, inversión y formación.
La inteligencia artificial ha dejado de ser únicamente una herramienta para reforzar la ciberseguridad. También se ha convertido en una nueva superficie de ataque capaz de automatizar vulnerabilidades, acelerar ciberataques y multiplicar su alcance. Con este escenario como telón de fondo, la Comisión Europea ha presentado un plan de acción que busca preparar a la Unión Europea para una nueva generación de amenazas digitales y, al mismo tiempo, aprovechar el potencial de la IA para fortalecer las defensas de infraestructuras críticas, administraciones públicas y empresas.
La estrategia se articula en torno a tres grandes pilares y nueve acciones prioritarias que abarcan desde la evaluación de los modelos avanzados de inteligencia artificial hasta el desarrollo de capacidades soberanas europeas, pasando por nuevas plataformas de pruebas, protección del software de código abierto y programas específicos de formación para profesionales de la ciberseguridad.
"La IA está transformando el significado de la ciberseguridad. Y debemos mantener el ritmo", afirma Henna Virkkunen, vicepresidenta ejecutiva para la Soberanía Tecnológica, la Seguridad y la Democracia de la Comisión Europea. "La UE cuenta con bases sólidas para adaptar su respuesta frente a las vulnerabilidades que la tecnología emergente trae consigo. Debemos aprovechar y centrar las capacidades, las redes y el marco jurídico existentes para fortalecer la ciberseguridad que protege nuestro panorama digital", asegura Virkkunen.
Evaluar la IA antes de su despliegue
Uno de los principales ejes del plan consiste en reforzar el control sobre los modelos avanzados de inteligencia artificial antes de que lleguen al mercado europeo. La Comisión recuerda que la Ley de IA obligará, desde el próximo 2 de agosto de 2026, a evaluar los riesgos sistémicos asociados a estos modelos y verificar las medidas de mitigación implantadas por sus desarrolladores.
Asimismo, Bruselas considera necesario crear una capacidad propia de evaluación dentro de la Unión Europea. Para ello lanzará una convocatoria específica destinada a establecer, en 2027, un organismo europeo especializado que reúna expertos en ciberseguridad capaces de analizar de forma independiente los riesgos y capacidades de los modelos más avanzados de IA. Esta infraestructura respaldará el trabajo regulador de la Oficina Europea de IA y reducirá la dependencia de evaluadores situados fuera del continente.
La Comisión también reconoce que el acceso a las capacidades más sofisticadas de inteligencia artificial depende actualmente de decisiones tomadas por proveedores, en muchos casos fuera de Europa y bajo criterios poco transparentes.
Bruselas desarrollará un "Blueprint" europeo que establecerá criterios comunes para facilitar el acceso a los modelos avanzados
Para responder a esta situación, Bruselas desarrollará junto con ENISA un "Blueprint" europeo que establecerá criterios comunes para facilitar el acceso de administraciones públicas, operadores de infraestructuras críticas, empresas de ciberseguridad e instituciones de investigación a estos modelos avanzados. El objetivo consiste en garantizar que las organizaciones europeas puedan utilizar estas herramientas para reforzar su protección sin depender exclusivamente de decisiones externas.
Además, ENISA y el Centro Común de Investigación de la Comisión pondrán en marcha antes de finalizar 2026 una plataforma segura donde probar modelos avanzados de IA en escenarios simulados de ciberseguridad. Estos entornos permitirán validar aplicaciones relacionadas con detección de amenazas, análisis de vulnerabilidades o respuesta ante incidentes sin comprometer infraestructuras reales de sectores como energía, transporte, sanidad, finanzas o administraciones públicas.
La IA como herramienta de defensa
El plan insiste en que las organizaciones europeas deben utilizar desde ahora las capacidades de inteligencia artificial ya disponibles, incluidos modelos de código abierto, para localizar vulnerabilidades con mayor rapidez, mejorar la detección de amenazas y acelerar la respuesta frente a ciberataques. Paralelamente, la Comisión reclama reforzar las prácticas de ciberhigiene, aplicar principios de seguridad desde el diseño y reducir al máximo los tiempos necesarios para desplegar actualizaciones de seguridad.
En este contexto, ENISA actualizará las herramientas europeas de gestión de vulnerabilidades para adaptarlas a una realidad donde la IA permite descubrir fallos de seguridad mucho más rápido que hasta ahora. Asimismo, el organismo impulsará recomendaciones específicas y coordinará campañas para proteger componentes críticos de software de código abierto, presentes en buena parte de las infraestructuras digitales europeas.
Europa busca capacidades propias
El tercer gran bloque del plan se centra en el fortalecimiento de la soberanía tecnológica europea. La Comisión considera que disponer de capacidades propias de inteligencia artificial constituye un elemento estratégico para la seguridad del continente, especialmente cuando los modelos más avanzados siguen desarrollándose mayoritariamente fuera de Europa.
Para acelerar ese proceso, Bruselas pondrá en marcha un Gran Desafío Europeo de IA para la ciberseguridad que reunirá a empresas, investigadores, operadores de infraestructuras críticas y comunidades de código abierto con el fin de desarrollar soluciones capaces de automatizar tareas como la corrección de vulnerabilidades o la respuesta frente a ataques. Además, la estrategia contempla aprovechar la infraestructura de las actuales fábricas europeas de IA y de las futuras gigafactorías para entrenar y desplegar modelos avanzados en territorio europeo.
Junto a estas iniciativas, la Comisión impulsará nuevas inversiones público-privadas mediante el futuro mecanismo europeo de capital tecnológico, mientras la Academia Europea de Capacidades en Ciberseguridad incorporará programas específicos sobre el uso seguro de la inteligencia artificial y ENISA actualizará el marco europeo de competencias profesionales para incluir habilidades relacionadas con estas nuevas tecnologías.
El plan concluye con una dimensión internacional, de manera que la Comisión reforzará la cooperación con el G7, Naciones Unidas y la OTAN para impulsar estándares comunes de evaluación de modelos avanzados, compartir inteligencia sobre amenazas y coordinar respuestas frente a los nuevos riesgos derivados de la inteligencia artificial aplicada a la ciberseguridad.