La inteligencia artificial ya no es solo una promesa de productividad; se ha convertido en un arma operativa. El Informe Internacional sobre la Seguridad de la IA 2026 revela que grupos criminales y actores patrocinados por Estados están utilizando activamente sistemas de IA de uso general para ejecutar y asistir ciberataques complejos, reduciendo drásticamente las ventanas de respuesta de los sistemas defensivos.
El reporte, elaborado por un panel de expertos derivado de la histórica Cumbre de Bletchley Park, advierte que la IA ha alcanzado niveles de competencia superiores al 95% de los expertos humanos en tareas críticas como el descubrimiento de vulnerabilidades y la escritura de código malicioso.
El caso México: ¿Ataque con Claude al SAT?
La tensión sobre la ciberseguridad alcanzó territorio nacional tras las declaraciones de la firma israelí Gambit Security. La empresa afirmó que atacantes habrían utilizado modelos de lenguaje avanzados, como Claude, para acelerar intrusiones en los sistemas del Gobierno de México.
Ante estos señalamientos, el Servicio de Administración Tributaria (SAT) emitió una respuesta contundente:
- Alineación internacional: El SAT aseguró que opera bajo los marcos ISO/IEC 27000, 22301 y 31000 de seguridad y gestión de riesgos.
- Sin brechas detectadas: Tras una revisión exhaustiva de sus bitácoras, la institución informó que no se identificaron accesos ilegítimos ni comportamientos anómalos que confirmen la presunta filtración.
Capacidades sobrehumanas en ciberseguridad
El informe destaca que en competencias recientes de ciberseguridad, un agente de IA logró identificar el 77% de las vulnerabilidades en software real, superando a más de 400 equipos mayoritariamente humanos. Esta capacidad de automatización eleva la presión sobre la infraestructura crítica (energía, agua, finanzas), donde la velocidad del ataque supera la capacidad de reacción manual.
El reto de la “causalidad” y la falta de datos
A pesar de la evidencia de uso, los expertos enfrentan un dilema: es difícil demostrar si la IA ha incrementado la gravedad general de los ataques por sí sola o si es una herramienta más en un ecosistema ya complejo.
El panel internacional advierte que en países como México, con alta exposición a servicios digitales, existe una falta crítica de reportes de incidentes. Sin una base de datos acumulable, es casi imposible separar las fallas estructurales de episodios aislados de hackeo con IA, lo que limita la efectividad de las prácticas de gestión de riesgos actuales.
