Durante años, gran parte del debate sobre inteligencia artificial se ha centrado en asistentes conversacionales, generación de imágenes o automatización de tareas cotidianas. La conversación pública ha girado alrededor de la productividad, la creatividad o el impacto laboral. Sin embargo, mientras esa discusión ocupaba titulares, otra línea de desarrollo mucho menos visible ha ido creciendo dentro del sector tecnológico y de la ciberseguridad: modelos de inteligencia artificial diseñados específicamente para encontrar vulnerabilidades, analizar software y acelerar capacidades ofensivas.
Y esa fase ya no es teórica.
Hace apenas unas semanas, distintos medios especializados revelaban la existencia de Mythos, un modelo avanzado desarrollado por Anthropic orientado al análisis de seguridad y la detección de vulnerabilidades complejas. Lo relevante no es únicamente su capacidad técnica, sino el contexto que lo rodea: acceso extremadamente restringido, uso limitado a determinadas organizaciones y una infraestructura tecnológica prácticamente concentrada en grandes actores estadounidenses. El debate deja entonces de ser únicamente tecnológico. Empieza a ser estratégico.
Para entender por qué esto importa, conviene explicar primero qué significa exactamente “IA ofensiva”. No se trata de una inteligencia artificial que “ataca” sistemas por sí sola, como en las películas. El término hace referencia a modelos capaces de asistir en tareas tradicionalmente reservadas a perfiles altamente especializados en ciberseguridad ofensiva: análisis de código, búsqueda de vulnerabilidades, generación de pruebas de explotación o identificación de errores complejos en infraestructuras digitales.
Muchas de estas tareas requieren normalmente equipos con gran experiencia técnica y enormes cantidades de tiempo. Analizar millones de líneas de código, localizar comportamientos inseguros o detectar configuraciones vulnerables no es sencillo. Ahí es donde la IA empieza a cambiar el equilibrio.
En ciberseguridad existe un concepto conocido como zero-day. Se refiere a una vulnerabilidad desconocida públicamente y para la cual todavía no existe solución. Son fallos especialmente valiosos porque permiten comprometer sistemas antes de que los fabricantes tengan tiempo de reaccionar. Tradicionalmente, descubrir este tipo de vulnerabilidades requería investigadores muy especializados, grandes recursos y meses de trabajo. Ahora empiezan a aparecer modelos capaces de acelerar enormemente parte de ese proceso.
Y eso cambia las reglas.
Porque la inteligencia artificial no necesita “entender” el sistema como lo haría un humano para resultar útil. Le basta con identificar patrones estadísticos, correlaciones y comportamientos anómalos dentro de enormes volúmenes de código o tráfico digital. Es, en cierto modo, una industrialización parcial del análisis ofensivo.
De hecho, distintos informes recientes apuntan a que los sistemas basados en IA ya participan en la detección de una parte significativa de nuevas vulnerabilidades publicadas durante 2026. No significa que la IA sustituya a los investigadores humanos, pero sí que empieza a actuar como multiplicador de capacidad. Un pequeño equipo con acceso a herramientas avanzadas puede analizar una superficie tecnológica muchísimo mayor que hace apenas unos años.
El problema es que esta tecnología tiene una naturaleza inevitablemente dual. La misma herramienta que permite descubrir fallos antes de que sean explotados también puede acelerar el trabajo de actores maliciosos. En ciberseguridad, defensa y ataque suelen compartir herramientas; cambia el propósito, no necesariamente la tecnología. Un sistema capaz de detectar vulnerabilidades en infraestructuras críticas puede servir para protegerlas… o para comprometerlas más rápido.
Y aquí aparece el verdadero núcleo del problema.
La cuestión ya no es únicamente quién desarrolla los mejores modelos de inteligencia artificial, sino quién tiene acceso real a ellos. Entrenar sistemas avanzados de este nivel requiere infraestructuras gigantescas: centros de datos, capacidad de computación, hardware especializado y acceso a enormes volúmenes de información técnica. En la práctica, esto limita el desarrollo a muy pocos actores globales.
Europa observa este escenario desde una posición incómoda. Tiene regulación, talento técnico y capacidad investigadora, pero depende en gran medida de infraestructuras ajenas. Mientras Estados Unidos concentra buena parte de las grandes compañías de IA y China acelera su desarrollo estratégico, el ecosistema europeo sigue fragmentado y con menor capacidad de escalado. El resultado es una paradoja cada vez más evidente: Europa puede regular el uso de ciertas tecnologías, pero no necesariamente controlar su desarrollo o acceso.
Eso introduce una nueva forma de dependencia tecnológica.
Durante años, el debate europeo sobre inteligencia artificial se ha centrado en gobernanza, privacidad y regulación ética. Todo ello es importante. Pero la aparición de modelos ofensivos añade otra dimensión: soberanía tecnológica y capacidad operativa. Porque cuando una tecnología empieza a influir directamente sobre la seguridad, las infraestructuras o las capacidades defensivas, depender completamente de terceros deja de ser únicamente una cuestión económica.
Empieza a ser una cuestión estratégica.
Además, este cambio coincide con otra transformación importante dentro de la industria: la transición desde modelos puramente conversacionales hacia sistemas agentes, capaces de interactuar directamente con herramientas, redes o infraestructuras reales. Un chatbot que responde incorrectamente puede ser molesto. Un sistema conectado a herramientas de administración, análisis o automatización introduce un nivel de riesgo completamente distinto.
La IA ofensiva no implica necesariamente escenarios catastróficos ni una “ciberguerra automática”, como a veces se presenta de forma simplista. La realidad suele ser bastante menos cinematográfica y mucho más silenciosa. El verdadero cambio está en la escala. Automatizar parcialmente tareas ofensivas reduce barreras de entrada, acelera procesos y multiplica capacidades técnicas que antes estaban limitadas a grupos muy concretos.
Y probablemente esa sea la parte más relevante de todo esto.
La inteligencia artificial ya no está transformando únicamente cómo escribimos, buscamos información o automatizamos tareas de oficina. Está empezando a alterar algo mucho más profundo: el equilibrio de capacidades tecnológicas entre estados, empresas y actores especializados.
Por eso, el debate importante quizá ya no sea si la IA será más inteligente.
La pregunta empieza a ser otra.
Quién podrá utilizar realmente esa inteligencia… y para qué.
