Un laboratorio estatal puso modelos abiertos en un campo de pruebas cibernético
El instituto británico de seguridad de la IA ha medido cuánto se han acercado los modelos de IA de libre descarga a los mejores sistemas cerrados en trabajo cibernético ofensivo, y la respuesta es incómodamente cercana. En un informe publicado el 17 de julio de 2026, el instituto probó dos modelos abiertos, GLM-5.2 y DeepSeek V4-Pro, en 70 tareas cibernéticas repartidas en cuatro niveles de destreza, desde el profano técnico hasta el experto, más un escenario de ataque más largo de 32 pasos en su campo de pruebas.
GLM-5.2, publicado en junio, igualó al Opus 4.6 de Anthropic de febrero en las tareas concretas y al Opus 4.5 de noviembre en las pruebas más largas. DeepSeek V4-Pro quedó al nivel de Opus 4.5. Dicho llanamente, el modelo abierto que hoy se puede descargar y ejecutar en el propio equipo rinde como un sistema puntero que era lo más avanzado hace cuatro a siete meses.
El precio de un ataque capaz se desplomó
La brecha que más importa no son los meses, es el dinero. Ejecutar el campo de pruebas del instituto con un modelo cerrado líder costó unos 85 dólares por una pasada de 100 millones de tokens; GLM-5.2 hizo lo mismo por unos 46 dólares, y DeepSeek V4-Pro por alrededor de 1 dólar con 19 centavos. Por tarea con plena fiabilidad, Opus 4.6 costó 15 dólares con 17 centavos, GLM-5.2 costó 6 dólares con 12 centavos, y DeepSeek V4-Pro costó 28 centavos.
No es una diferencia de redondeo. La misma capacidad ofensiva que hace un año se hallaba tras la interfaz de pago de un laboratorio puntero, con su registro de uso y su vigilancia de abusos, corre ahora en un modelo autoalojado a cerca de una cincuentava parte del coste y sin nadie mirando. Para cualquiera que dirija una empresa europea, la economía de quién puede permitirse sondear sus sistemas acaba de cambiar.
Los frenos de seguridad no aguantaron
Los pesos abiertos no vienen con un interruptor de apagado que funcione. El instituto informó de que sus evaluaciones de estos modelos apenas encontraron obstáculos en las salvaguardas. DeepSeek V4-Pro a veces rechazaba una petición de ingeniería inversa, pero bastaba con volver a preguntar para saltarse la negativa.
Este es el punto estructural de la publicación de pesos abiertos. Una vez que los pesos de un modelo son públicos, sus salvaguardas son solo un consejo, porque cualquiera puede entrenarlas para eliminarlas o rodearlas. Un modelo cerrado se puede limitar, auditar y cortar; uno descargado no. La cuestión de seguridad de estos sistemas gira, por tanto, en torno a la capacidad, no a las cortesías con que un chatbot rechaza a un usuario casual.
Qué debería sacar de esto un operador europeo
La conclusión no es el pánico, es el momento. La ventana en la que las herramientas ofensivas de vanguardia seguían siendo caras y vigiladas se está cerrando, y su planificación de seguridad debería asumir que un atacante competente tiene ya acceso barato y sin registro a capacidades que el invierno pasado eran de primer nivel. Bajo NIS2 y DORA, el deber de gestionar ese riesgo recae en el operador, no en el fabricante del modelo.
En la práctica, esto eleva el valor de lo básico, a lo que le da igual cómo se generó el ataque: poca demora en los parches, segmentación de la red, copias de seguridad probadas y una detección que vigila el comportamiento en vez de las firmas conocidas. También significa que la pregunta a un proveedor de seguridad ya no es si defiende frente a atacantes humanos, sino si sus supuestos siguen valiendo cuando la herramienta del atacante cuesta céntimos y nunca duerme.
Leer a continuación: EE. UU. sopesa una vigilancia de IA que pagarían los laboratorios | Washington decide ya cuándo le llega la IA de frontera



