- SANDRA SIEBER*
El BCE ha puesto fecha, 31 de octubre, a algo que hasta ahora era un debate de expertos: defenderse de ciberataques ejecutados por inteligencia artificial.
El pasado 7 de julio llegó al despacho de los consejeros delegados de los 110 mayores bancos de la zona euro una carta poco habitual. La firmaba Claudia Buch, máxima supervisora del Banco Central Europeo, y no contenía una recomendación ni una guía de buenas prácticas, sino una orden con fecha límite: antes del 31 de octubre, cada entidad debe presentar un plan de acción contra ciberataques potenciados por inteligencia artificial, con medidas concretas, responsables designados, recursos asignados y plazos de ejecución. Ese mismo día, la Junta Europea de Riesgo Sistémico emitía una alerta formal sobre los modelos de IA de frontera, después de haber elevado en apenas tres meses su valoración del riesgo cibernético de "elevado" a "severo".
Conviene subrayar el detalle que muchos titulares pasaron por alto: la carta no fue dirigida a los directores de tecnología, sino a los consejeros delegados. El supervisor no está pidiendo un ajuste técnico. Está diciendo que esto es un asunto de gobierno corporativo, de los que se despachan en el consejo y no en el sótano de sistemas.
¿Qué ha cambiado para justificar tanta urgencia? Hasta hace poco, la IA era para el atacante una herramienta auxiliar: correos de phishing mejor redactados, algo más de automatización. Los modelos más avanzados han cruzado otro umbral. Según la alerta europea, ya son capaces de descubrir vulnerabilidades, generar código de ataque funcional y ejecutar ofensivas completas de forma autónoma, a una velocidad y escala sin precedentes. La propia carta del BCE lo describe como "un cambio de largo plazo en el panorama de amenazas y no un fenómeno temporal". Y encierra una asimetría incómoda: a largo plazo, estas mismas capacidades reforzarán las defensas; a corto y medio plazo, la ventaja es del atacante. Quien encuentra el fallo en horas juega contra organizaciones que tardan meses en parchearlo.
Habrá quien piense que esto es, ante todo, un problema de bancos: infraestructura crítica, dinero de por medio, regulación a raudales. Es una objeción razonable. Pero no cambia la conclusión, sino que la refuerza. Los bancos son, precisamente, las organizaciones que más invierten en ciberseguridad de toda nuestra economía, y aun así el supervisor considera que no están preparadas para lo que viene. Si ellos necesitan un plan urgente, ¿qué decir del resto de empresas, que se enfrentan exactamente al mismo panorama de amenazas con menos medios, menos práctica y ningún supervisor que les ponga fecha?
La anatomía de un buen plan
Lo más valioso de la carta del BCE es que convierte una amenaza difusa en una plantilla de trabajo que cualquier comité de dirección puede copiar. A corto plazo pide tres cosas: acelerar la gestión de vulnerabilidades y el parcheo a escala, porque los ciclos trimestrales de actualización son una invitación al desastre cuando el adversario opera en horas; reforzar la detección y la monitorización apoyándose en IA defensiva, porque ningún equipo humano puede vigilar a la velocidad del ataque; y estrechar el control sobre los proveedores tecnológicos, ese eslabón de la cadena por el que hoy entran buena parte de los incidentes. A medio plazo, medidas estructurales: defensa en profundidad, higiene cibernética y modernización de las infraestructuras heredadas que todavía sostienen la operativa de demasiadas organizaciones.
Traducirlo a la propia empresa significa, primero, saber qué se tiene: inventario de activos digitales y mapa de exposición. Significa actualizar el factor humano, porque el phishing hiperpersonalizado y los deepfakes de voz y de vídeo han dejado obsoleta la formación tradicional: hoy hacen falta protocolos de verificación reforzados para órdenes de pago y decisiones sensibles, partiendo de que la voz al otro lado del teléfono puede no ser quien dice ser. Y significa, sobre todo, gobernanza: un responsable con nombre, presupuesto propio y métricas que el consejo de dirección revise con la misma seriedad que las financieras.
Hay, además, otra cara del riesgo que sería un error esconder: la IA que la propia empresa utiliza. Empezando por la que utiliza sin saberlo, porque en casi todas las organizaciones los empleados ya usan herramientas de IA sin permiso ni control, y no se puede proteger lo que ni siquiera se ve. Y siguiendo por la que sí está autorizada: fugas de datos a través de herramientas generativas, modelos mal gobernados, decisiones automatizadas sin supervisión humana. El Reglamento Europeo de IA ya impone obligaciones crecientes a todos los sectores, y DORA lo hace en el financiero. Protegerse de la IA ajena y gobernar la propia no son dos planes distintos: son las dos mitades del mismo.
Y esto no puede esperar a después del verano. Hay que ponerlo en la agenda del próximo comité de dirección, y la buena noticia es que empezar no exige grandes consultoras ni presupuestos: exige responder a tres preguntas: ¿Dónde somos vulnerables, incluida la IA que ya usa la organización con y sin permiso? ¿De qué proveedores dependemos y qué pasaría mañana si uno de ellos cae? ¿Y cuánto tardaríamos en volver a operar, partiendo de que el atacante puede llevar meses dentro sin hacer ruido cuando por fin lo descubramos?
Estas tres respuestas son el primer eslabón del plan de protección digital que debería tener cualquier empresa: de la primera sale el inventario de exposición, de la segunda el mapa de dependencias y de la tercera la medida real de nuestra resiliencia. Todo lo demás -medidas, responsables, recursos, plazos- se construye sobre ellas.
Los bancos entregarán sus deberes el 31 de octubre porque no les queda otra. Las demás empresas no recibirán ninguna carta. Pero la amenaza no distingue entre quienes tienen supervisor y quienes no. Actuar ahora -sin que nadie nos obligue- no es un gesto de prudencia: es la diferencia entre implantar un buen gobierno de la IA o descubrir, un día cualquiera, que ya es tarde.
Sandra Sieber, profesora en IESE
Cómo la IA podría empeorar los mercadosBorges, el Papa León XIV y la Inteligencia ArtificialBanca competitiva para financiar la Europa del mañana Comentar ÚLTIMA HORA