La inteligencia artificial está transformando de forma profunda el ciclo de descubrimiento y explotación de vulnerabilidades, hasta el punto de alterar los modelos tradicionales de ciberseguridad. Así lo advierte CERT-EU, que analiza este cambio de paradigma y sus implicaciones para las entidades de la Unión Europea.
Según el organismo, las herramientas basadas en IA ya son capaces de identificar y explotar fallos de software a un ritmo que supera los tiempos habituales de parcheo. De acuerdo con el informe M-Trends 2026 de Google, el tiempo medio de explotación de vulnerabilidades recién divulgadas se sitúa en -7 días, lo que implica que los ataques se producen, en muchos casos, antes de que exista una solución disponible.
Este salto se ve impulsado por modelos avanzados como Claude Mythos Preview, desarrollado por Anthropic, que ha demostrado capacidad para detectar de forma autónoma miles de vulnerabilidades críticas, incluidas de tipo zero-day. Paralelamente, la proliferación de modelos de peso abierto está ampliando el acceso a estas capacidades, lo que incrementa el número potencial de actores, incluidos los maliciosos.
En este contexto, la explotación de vulnerabilidades en servicios expuestos a internet se mantiene como el principal vector de acceso inicial contra las entidades de la UE por segundo año consecutivo, tal y como recoge el Informe sobre el Panorama de Amenazas 2025.
El cambio no es únicamente tecnológico, sino estructural. Mientras los sistemas de IA permiten descubrir fallos en cuestión de horas y los atacantes pueden explotarlos en días, los ciclos de parcheo en entornos corporativos continúan extendiéndose entre 30 y 60 días. Esta brecha genera una desventaja operativa para los defensores, que deben validar, priorizar y corregir cada vulnerabilidad detectada.
CERT-EU subraya, no obstante, que las mismas capacidades pueden reforzar la defensa si se integran de forma sistemática. La adopción de flujos de trabajo apoyados en IA en el desarrollo de software, la detección de amenazas y la respuesta a incidentes permite anticipar fallos antes de su explotación y reducir la superficie de riesgo.
En esta línea, el organismo ha desarrollado una cadena interna de pruebas de penetración impulsadas por IA, capaz de automatizar desde el análisis inicial hasta la generación de parches y su integración en el código. Este enfoque ya se está incorporando a sus servicios para apoyar a las instituciones europeas en el marco del Reglamento (UE, Euratom) 2023/2841.
Además, CERT-EU insiste en la necesidad de reforzar los fundamentos de la ciberseguridad con medidas como la reducción de la superficie de ataque, la adopción de modelos de confianza cero, la mejora de la detección temprana y la integración de equipos multidisciplinares. Estas acciones se alinean con los nuevos marcos regulatorios europeos, como la Ley de Ciberresiliencia, que establecerá obligaciones de notificación desde septiembre de 2026 y requisitos completos a partir de diciembre de 2027.
El organismo concluye que la IA no solo incrementa el riesgo, sino que también ofrece una oportunidad estratégica para fortalecer la seguridad. La clave, apunta, reside en la velocidad de adopción: las organizaciones que integren estas capacidades de forma temprana estarán mejor posicionadas frente a un entorno de amenazas cada vez más dinámico.
