La Comisión Europea presentó un plan para evaluar modelos avanzados, probar sistemas en entornos seguros y coordinar la defensa frente a ataques acelerados con inteligencia artificial. La iniciativa lleva la regulación europea hacia una nueva fase: desarrollar capacidad técnica para comprobar lo que los modelos pueden hacer.
La Comisión Europea presentó un plan para fortalecer la capacidad de la Unión Europea de evaluar modelos avanzados de inteligencia artificial antes de que sean colocados en el mercado, como parte de una estrategia coordinada frente a sistemas que pueden utilizarse para descubrir vulnerabilidades, automatizar ataques y ampliar el alcance de las operaciones cibernéticas.
El Plan de Acción sobre Ciberseguridad e Inteligencia Artificial, publicado el 7 de julio, pretende reunir a instituciones europeas, gobiernos nacionales, empresas, centros de investigación y comunidades de código abierto para responder al doble uso de los modelos: las mismas capacidades que permiten detectar fallas y proteger infraestructura también pueden ayudar a explotarlas.
La iniciativa marca un cambio en la estrategia europea. Después de construir un marco jurídico para clasificar sistemas, documentar riesgos y establecer obligaciones de transparencia, la Unión Europea busca desarrollar la infraestructura técnica y el conocimiento especializado necesarios para examinar directamente las capacidades de los modelos.
La Comisión reconoció que la inteligencia artificial está modificando el significado de la ciberseguridad. Los modelos pueden acelerar la detección de vulnerabilidades, prevenir ataques y reforzar la protección de infraestructura crítica. Al mismo tiempo, actores maliciosos pueden utilizarlos para identificar debilidades, automatizar operaciones y ejecutar incidentes a una velocidad y escala sin precedentes.
El plan se concentrará en promover el uso seguro de la IA avanzada, reforzar la resiliencia cibernética y ampliar las capacidades europeas para emplear inteligencia artificial en tareas defensivas.
Uno de sus componentes centrales será el fortalecimiento de la capacidad europea para evaluar modelos antes de su entrada al mercado, de acuerdo con las disposiciones del Reglamento de Inteligencia Artificial, conocido como AI Act.
Europa no parte de cero. Desde agosto de 2025, los proveedores de modelos de propósito general deben entregar documentación técnica, informar sobre sus procesos de entrenamiento y evaluación y cumplir obligaciones adicionales cuando sus sistemas sean clasificados como modelos con riesgo sistémico.
Sin embargo, recibir documentación de las empresas no equivale a contar con la capacidad independiente para comprobar cómo se comporta un sistema. Para aplicar la regulación, las autoridades necesitan especialistas, métodos de evaluación, acceso a los modelos, infraestructura de cómputo y espacios donde puedan probarse sin exponer sistemas reales.
El nuevo plan intenta cerrar esa distancia entre la norma y la capacidad técnica para hacerla cumplir.
Pruebas controladas para sectores críticos
La Comisión trabajará con la Agencia de la Unión Europea para la Ciberseguridad, ENISA, en el desarrollo de un modelo europeo de acceso seguro a sistemas avanzados de IA con fines defensivos.
También establecerá una plataforma protegida de pruebas para que organizaciones de sectores críticos puedan experimentar con soluciones de inteligencia artificial antes de desplegarlas en condiciones reales.
La infraestructura estará dirigida a operadores de energía, transporte, salud, finanzas y administración pública. Estos sectores podrían aprovechar la IA para vigilar redes, detectar comportamientos anómalos y responder con mayor rapidez a vulnerabilidades, pero una prueba mal controlada también podría exponer datos sensibles o introducir nuevas fallas.
Los entornos de evaluación permitirían observar el funcionamiento de los sistemas sin incorporarlos inmediatamente a la infraestructura que deben proteger. La intención es que las organizaciones conozcan sus capacidades, limitaciones y posibles efectos antes de confiarles tareas críticas.
El plan también impulsará la aplicación de la legislación europea de ciberseguridad existente, entre ella la directiva NIS2, el Reglamento de Ciberresiliencia, el Reglamento de Resiliencia Operativa Digital y el Reglamento de Cibersolidaridad.
No se trata de crear una nueva fuerza europea única de respuesta a incidentes. La Comisión busca conectar y fortalecer capacidades que actualmente se encuentran distribuidas entre instituciones comunitarias, autoridades nacionales y operadores privados.
Europa también quiere modelos para defenderse
La estrategia no se limita a contener los riesgos de la IA. La Comisión alentará a organizaciones europeas a emplear modelos, incluidos sistemas de código abierto cuando resulte apropiado, para detectar vulnerabilidades, prevenir ataques y mejorar la respuesta a incidentes.
La Unión Europea convocará un Gran Desafío de IA para ciberseguridad en el que participarán empresas, investigadores y otros actores dedicados al desarrollo de soluciones defensivas.
El programa se apoyará en las Fábricas de IA y en las futuras gigafábricas europeas, instalaciones creadas para proporcionar capacidad de cómputo, datos y servicios a empresas y centros de investigación. La Comisión también pretende movilizar inversión privada para ampliar tecnologías europeas y reducir la dependencia de proveedores externos.
La construcción de infraestructura soberana cumple así dos funciones. Europa necesita capacidad propia para desarrollar herramientas defensivas, pero también para evaluar modelos creados dentro y fuera de su territorio.
Esta combinación revela una dificultad central del nuevo régimen de inteligencia artificial: las autoridades no pueden supervisar sistemas avanzados si toda la infraestructura, el conocimiento técnico y el acceso a los modelos permanecen concentrados en las empresas reguladas.
Una nueva fase del AI Act
El plan fue presentado pocas semanas antes de que comience otra etapa de aplicación del AI Act. A partir del 2 de agosto de 2026, entrarán en vigor las obligaciones de transparencia previstas en el artículo 50 del reglamento europeo.
Los proveedores deberán informar a las personas cuando interactúen con un sistema de IA, salvo que resulte evidente. Los sistemas que generen audio, imágenes, video o texto sintético deberán incorporar mecanismos que permitan detectar, mediante formatos legibles por máquinas, que su contenido fue producido o modificado artificialmente.
Quienes utilicen inteligencia artificial para crear o manipular imágenes, audio o video que constituyan deepfakes deberán revelar su origen. También deberán identificarse determinados textos generados con IA para informar al público sobre asuntos de interés general.
El reglamento contempla una excepción para contenidos sometidos a revisión humana o control editorial cuando una persona física o jurídica asuma la responsabilidad de su publicación.
Las obligaciones de transparencia regulan lo que las personas observan después de interactuar con un sistema o recibir un contenido. El plan de ciberseguridad se adentra en una capa anterior: qué capacidades posee el modelo, cómo podrían utilizarse y qué riesgos deben detectarse antes de permitir su despliegue.
La Comisión Europea comienza así a trasladar la regulación de la IA desde los documentos y las etiquetas hacia laboratorios, plataformas protegidas y evaluaciones técnicas. El objetivo ya no consiste únicamente en exigir que las empresas expliquen sus sistemas, sino en desarrollar capacidad pública para poner a prueba sus afirmaciones.
El desafío será determinar cuánto acceso obtendrán las instituciones europeas a modelos que funcionan como productos comerciales cerrados y cómo podrán realizar evaluaciones independientes sin depender de información, herramientas o infraestructura proporcionadas por los propios desarrolladores.
Europa ha construido uno de los marcos jurídicos más extensos para regular la inteligencia artificial. La siguiente etapa será comprobar si también puede reunir el poder técnico necesario para aplicarlo frente a modelos que evolucionan más rápido que las instituciones encargadas de vigilarlos.
