Las agencias de ciberseguridad del grupo Five Eyes llamaron a los líderes empresariales y gubernamentales a tratar la ciberresiliencia como un riesgo estratégico, no solo técnico.
Según Five Eyes, la inteligencia artificial está transformando rápidamente el riesgo cibernético y las organizaciones deben actuar ahora para conservar capacidad defensiva. La declaración fue publicada el 22 de junio de 2026 por el National Cyber Security Centre del Reino Unido y está firmada por responsables de agencias de Australia, Canadá, Nueva Zelanda, Reino Unido y Estados Unidos.
Five Eyes es una alianza de inteligencia integrada por Estados Unidos, Reino Unido, Canadá, Australia y Nueva Zelanda. En materia de ciberseguridad, sus agencias coordinan alertas, análisis de amenazas y recomendaciones técnicas cuando identifican riesgos comunes para gobiernos, infraestructuras críticas y empresas.
El mensaje central de la declaración es que la IA ya no debe tratarse como una consideración futura. Según los firmantes, la tecnología reduce las barreras para actores maliciosos y aumenta la velocidad y complejidad de los ataques. Al mismo tiempo, ofrece herramientas defensivas que pueden ayudar a detectar vulnerabilidades antes, mejorar la calidad del software, monitorear comportamientos anómalos y responder con mayor rapidez a incidentes.
La advertencia pone especial énfasis en el tiempo. Las agencias sostienen que los modelos de IA vanguardistas podrían superar las expectativas actuales de la industria y transformar capacidades ofensivas y defensivas en un horizonte de meses, no de años. En ese contexto, la ventana entre el descubrimiento de una vulnerabilidad y su explotación se acorta, lo que eleva la urgencia de revisar procesos de parcheo y exposición de sistemas.
Los firmantes plantean que la ciberseguridad ya no puede ser tratada como un problema puramente técnico. Para directorios y ejecutivos, la resiliencia cibernética debe formar parte de la continuidad operacional, la confianza del mercado y la creación de valor a largo plazo. No basta con disponer de controles; los líderes deben tener confianza en que esos controles funcionarán bajo presión durante un incidente real.
La declaración recomienda a las organizaciones reducir su superficie de ataque, limitar accesos innecesarios y cuestionar qué sistemas necesitan estar expuestos a redes externas. También pide acelerar los procesos de parcheo, especialmente en entornos operacionales con ciclos de actualización largos, donde los retrasos pueden aumentar de forma significativa el riesgo.
Otro punto relevante es la deuda tecnológica. Según las agencias Five Eyes, los sistemas heredados o sin soporte no son solo un problema técnico, sino una responsabilidad estratégica. La recomendación es identificar esas dependencias, evaluar su exposición y priorizar su reemplazo o aislamiento cuando sea necesario.
La declaración también llama a reforzar controles de identidad y acceso. Esto incluye limitar quién puede acceder a sistemas críticos, aplicar autenticación robusta y revisar permisos de forma regular. En paralelo, recomienda preparar planes de respuesta antes de que ocurra un incidente, entrenar equipos y asumir que las brechas pueden producirse.
Las agencias sostienen que los defensores también deben usar IA, pero no como sustituto de los fundamentos de seguridad. El éxito, según la declaración, no dependerá de tener más herramientas, sino de aplicar prácticas básicas con rapidez, integrar la ciberseguridad en la estrategia central de la organización y usar IA de manera deliberada para fortalecer la defensa.
El llamado final está dirigido tanto a líderes de industria como a proveedores tecnológicos. Las agencias Five Eyes piden colaboración para proteger a usuarios y organizaciones frente a un entorno en el que las premisas tradicionales de riesgo pueden quedar obsoletas en pocos meses.
La declaración fue firmada por Stephanie Crowe, del Australian Cyber Security Centre; Rajiv Gupta, del Canadian Centre for Cyber Security; Catriona Robinson, del National Cyber Security Centre de Nueva Zelanda; Richard Horne, del National Cyber Security Centre del Reino Unido; David Imbordino, de la National Security Agency de Estados Unidos; y Nick Andersen, de la Cybersecurity and Infrastructure Security Agency de Estados Unidos.
📬 Newsletter gratuito
