Opinión Seguridad de la IA en infraestructura crítica: ¿soberanía o dependencia?
SoftBank y OpenAI ofrecen IA para detectar miles de vulnerabilidades, pero sin regulación nacional la solución puede convertirse en vector de espionaje. Es hora de crear marcos de certificación y auditoría independiente.
SoftBank Group anunció el 16 de junio la puesta en marcha de un servicio de ciberseguridad basado en la última generación de la IA de OpenAI. La oferta, denominada “Patching as a Service”, combina el modelo especializado GPT‑5.5 Cyber con la experiencia operativa de la empresa japonesa para simular ataques y detectar vulnerabilidades en sistemas críticos. En la fase piloto, la herramienta habría identificado alrededor de diez mil fallas en infraestructuras que sostienen servicios esenciales. El propio Masayoshi Son calificó la situación como una “grave crisis” que requiere respuestas inmediatas.
Para los ejecutivos latinoamericanos el anuncio confirma una tendencia irreversible: la inteligencia artificial pasa de ser un asistente de productividad a una pieza estratégica de defensa nacional. Sin embargo, confiar en una solución de origen extranjero, desarrollada y entrenada con datos fuera de nuestro control, plantea riesgos que la propia narrativa de “máxima protección” no reconoce. La IA no solo descubre brechas; también procesa información sensible, aprende de patrones locales y, sin una supervisión estricta, podría alimentar bases de datos accesibles a terceros.
En este contexto, la mera instalación de la herramienta no garantiza la seguridad. Lo que falta es un marco regulatorio que haga de la soberanía de los datos una condición sine qua non. Proponemos cuatro líneas de acción concretas que deben adoptarse antes de que la IA se convierta en la columna vertebral de la defensa de nuestra infraestructura crítica.
Primero, la creación de un organismo de certificación de IA de seguridad cibernética bajo supervisión gubernamental. Este ente tendría la autoridad para validar que cualquier modelo empleado cumpla con estándares de robustez, trazabilidad y resistencia a manipulaciones. La certificación no sería un trámite burocrático, sino una puerta de entrada obligatoria para proveedores internacionales que deseen operar en sectores estratégicos.
Segundo, la exigencia de que los modelos de “Patching as a Service” funcionen en entornos aislados y con datos encriptados de extremo a extremo. La arquitectura de despliegue debe garantizar que la IA nunca acceda a datos en texto plano fuera de los perímetros controlados por el operador local. Esto no solo protege la confidencialidad, sino que limita la huella de entrenamiento que la IA podría acumular para usos no autorizados.
Tercero, la institucionalización de protocolos de reporte obligatorio de vulnerabilidades críticas a la autoridad nacional de ciberseguridad. Cada hallazgo relevante debe ser canalizado a la entidad responsable, que a su vez debe coordinar la respuesta y, de ser necesario, activar mecanismos de mitigación a nivel sectorial. Un proceso transparente evitará la fragmentación de la información y reducirá la exposición de los operadores a sanciones por omisión.
Cuarto, la promoción de la investigación y desarrollo locales de IA aplicada a la seguridad. Dependencias como los centros de excelencia universitarios, laboratorios de defensa y empresas emergentes deben recibir incentivos para crear modelos que operen con datos de la región y bajo normas de privacidad acordes a nuestras leyes. Reducir la dependencia tecnológica no implica rechazar la innovación extranjera, sino equilibrar la balanza para que el control permanezca en manos nacionales.
Los costos de inacción son claros. Sin una supervisión adecuada, la misma IA diseñada para parchear vulnerabilidades puede convertirse en un canal de espionaje, permitiendo a actores externos observar patrones de infraestructura, identificar puntos críticos y, en última instancia, manipular sistemas críticos bajo la apariencia de un proceso legítimo de mitigación. Además, la falta de auditoría independiente alimenta la opacidad, dificultando la detección de posibles sesgos o intenciones ocultas en los algoritmos.
Para los directores de empresas de energía, transporte o comunicaciones, la cuestión es práctica: ¿cómo integrar una herramienta que promete eficiencia sin sacrificar la autonomía estratégica? La respuesta pasa por negociar cláusulas contractuales que incluyan auditorías regulares, limitaciones de acceso a datos y la obligación de notificar cualquier cambio sustancial en el modelo. Asimismo, es fundamental diversificar los proveedores y evitar la concentración de poder en un solo actor, lo cual mitigaría el riesgo de una caída sistémica si el servicio falla o es atacado.
En última instancia, la IA no es una panacea que elimine la necesidad de inversión en talento humano ni en ciberhigiene organizacional. La tecnología amplifica nuestras capacidades, pero también expone nuevas superficies de ataque. El desafío para Latinoamérica es diseñar una política integral que combine la potencia de los algoritmos con una gobernanza que garantice la soberanía de la información y la responsabilidad de los proveedores.
El futuro cercano mostrará si los gobiernos y las empresas lograrán articular esos mecanismos antes de que la dependencia tecnológica se convierta en una vulnerabilidad estructural. La decisión que tomen hoy definirá si la IA será una herramienta de defensa o una puerta trasera para intereses externos.
