Un organismo público pone cifra a la distancia

El 17 de julio de 2026 el AI Security Institute del Reino Unido publicó la primera medición empírica de cuánto va por detrás la IA abierta respecto a la frontera cerrada en trabajo cibernético ofensivo, y la cifra resulta menor de lo que suponía el sector. AISI halló que los mejores modelos descargables ya igualan la capacidad cibernética de los sistemas cerrados de frontera publicados de cuatro a siete meses antes. Durante casi todo 2025 esa distancia era de seis a diez meses. La ventaja que los laboratorios cerrados mantenían sobre los modelos de libre acceso se ha estrechado en torno a un tercio o la mitad en un solo año.

El hallazgo se apoya en dos regímenes de prueba, no en un único indicador. AISI ejecutó setenta tareas cibernéticas acotadas graduadas en cuatro niveles de dificultad y luego una serie de campos de tiro cibernéticos que miden si un modelo puede llevar por sí solo un ataque de principio a fin contra una red simulada. GLM-5.2, publicado en junio de 2026, se comportó como los modelos cerrados de cuatro meses antes en las tareas acotadas e igualó a Opus 4.5 en los campos más largos. DeepSeek V4-Pro fue a la par de ese mismo Opus 4.5, un modelo lanzado cinco meses antes que él.

La ventaja nunca fue gratis

La distancia es la razón misma de medirla. Los modelos cibernéticos más capaces siempre han sido cerrados, accesibles solo a través de la interfaz de un proveedor donde este puede vigilar el uso, rechazar el abuso y apagar una cuenta. Ese control es lo que da tiempo a los defensores: los equipos de seguridad con acceso a los sistemas protegidos más potentes pueden encontrar y corregir debilidades antes de que la misma capacidad llegue a los atacantes por un modelo que nadie supervisa.

La ventana no es hipotética. En abril de 2026 dos modelos cerrados, Mythos Preview y GPT-5.5, registraron los mayores saltos individuales de capacidad cibernética que AISI había anotado desde que empezó a probar en 2023, lo que desató avisos internacionales. La frontera cerrada sigue avanzando; la pregunta que AISI respondió es con qué rapidez le sigue el grupo abierto. La comparación habla por sí sola, pues GLM-5.2 y DeepSeek V4-Pro están ahora donde estaban Opus 4.5, Opus 4.6 y GPT-5.3-Codex hace apenas unos meses.

Qué significa una distancia de meses para su presupuesto de seguridad

Planifique su defensa según un reloj que ahora marca meses, no un año. Lo que la frontera de pago puede hacer hoy de forma ofensiva debe tratarse como disponible dentro de un modelo descargable y sin supervisión en aproximadamente medio año. Un modelo abierto no tiene límite de uso, ni rechazo de abuso, ni interruptor de apagado; una vez que los pesos son públicos, las salvaguardas que rodean un servicio alojado no viajan con ellos. El supuesto práctico de planificación es la paridad del atacante con la frontera protegida con dos trimestres de retraso.

Para un operador eso reencuadra varias partidas. Un ritmo de parcheo ajustado a un cómodo ciclo trimestral queda ahora dentro de la ventana en la que un modelo de consumo puede encadenar una vulnerabilidad pública hasta una intrusión que funciona. Las herramientas de detección compradas con la promesa de que los ataques novedosos son raros deben suponer que los ataques de aspecto novedoso se vuelven rutina antes. Y el valor de seguridad de pagar por un modelo cerrado de primera fila es real pero menguante, porque el mismo razonamiento que su equipo alquila está a meses de ser descargable por quien le apunte.

Un modelo abierto no se puede retirar

La asimetría que lo hace difícil es la permanencia. Un laboratorio cerrado que descubre que su modelo se ha vuelto peligroso puede endurecer filtros, limitar el acceso o retirarlo. Los pesos abiertos, una vez liberados, se copian, se almacenan y se vuelven a alojar fuera del alcance de cualquier parte, y las barreras que un fabricante entrena pueden retirarse por cualquiera que tenga el archivo y un equipo modesto. La fórmula de AISI es directa: los defensores tienen una ventana breve antes de que las capacidades cibernéticas de frontera de hoy puedan quedar accesibles sin las mismas salvaguardas.

Nada de esto convierte a los modelos abiertos en el villano; la misma apertura sostiene la investigación, la auditoría y la soberanía que las empresas europeas piden cada vez más a su pila de software. Es un argumento sobre el momento. El beneficio de los pesos abiertos y el riesgo de los pesos abiertos llegan juntos, y el reloj del riesgo es el que acaba de acelerarse. Tratar la cifra de cuatro a siete meses como una ley fija sería también un error, porque la tendencia a lo largo del año es que sigue encogiendo.

La conclusión

Suponga que las herramientas del atacante alcanzan la frontera protegida en unos seis meses, y dote de personal, parchee y vigile según ese supuesto. Bajo la NIS2 la responsabilidad de ese juicio recae ahora en una dirección nombrada, no en un contratista, así que el calendario contra el que planifica es una cifra del consejo. Haga a su responsable de seguridad una pregunta este trimestre: si un modelo descargable pudiera lanzar un ataque autónomo contra nuestra red a fin de año, qué cambia hoy. La respuesta honesta es una línea de presupuesto, no una tranquilidad.