GOVERNANCE
(22)22 hack(s).
GPT-5.6 Sol: un modelo de frontera lanzado tras un filtro gubernamental
OpenAI presentó GPT-5.6 Sol el 26 de junio de 2026 y, a petición del gobierno de EE. UU., empezó con un despliegue solo para socios. El lanzamiento convierte una tendencia en método: la capacidad cíber avanzada pasa ahora por un filtro con participación del Estado.
Adobe desdobla su Patch Tuesday mientras la IA comprime la ventana de explotación
Desde el 14 de julio de 2026, Adobe publica sus boletines de seguridad dos veces al mes en lugar de una, alegando un descubrimiento de fallos acelerado por IA que reduce el plazo entre divulgación y explotación de días a horas.
La IA llegó a producción antes que su seguridad: la brecha de postura 2026
El informe 2026 State of AI Security de Orca (julio de 2026, más de 1.200 entornos cloud) halla que el 56 % ejecuta agentes de IA en producción, el 81 % incorpora paquetes de IA vulnerables y el 99,9 % de las vulnerabilidades de IA con parche siguen sin corregir.
Plan de Acción de Ciberseguridad e IA de la UE: la evaluación previa al mercado llega a los modelos de frontera
El 7 de julio de 2026 la Comisión Europea presentó un plan de acción que construye la capacidad de prueba que le faltaba a la Ley de IA: evaluación por terceros de los modelos avanzados antes de llegar al mercado de la UE, más un blueprint de ENISA para un acceso seguro.
Red-teaming institucional: las reglas de despliegue moldean la seguridad multiagente
Un artículo de julio de 2026 muestra que las reglas de un despliegue multiagente alteran causalmente la seguridad, desplazando el daño colectivo entre 22 y 58 puntos con el modelo fijo.
Las fallas halladas por IA rediseñan el ciclo de parches de Windows
Microsoft integra la detección de fallas con IA en el ciclo de vida de Windows y advierte: los Patch Tuesday se harán más pesados. Lo importante es qué deben cambiar los defensores ahora.
Corea del Sur publica el primer estándar público de red teaming de IA
El 8 de julio de 2026, el Ministerio de Ciencia y TIC de Corea publicó dos guías que convierten la afirmación «hemos hecho red teaming a nuestra IA» en un requisito auditable, algo inédito a nivel gubernamental.
Una plataforma de agentes de IA entra en el catálogo de fallos explotados de CISA
El 7 de julio de 2026, un constructor de agentes de IA de código abierto se convirtió en la primera plataforma de orquestación jamás incluida en el catálogo KEV de CISA — una señal sobre cómo priorizar los parches de la infraestructura de IA.
¿Sus registros de agente prueban realmente lo que hizo? Un banco de pruebas de suficiencia probatoria
Un banco de pruebas de finales de junio de 2026 muestra que tener trazas, libros de registro o esquemas no equivale a tener pruebas suficientes. El registro «por presencia» sobredeclara «suficiente» en hasta el 75 % de los casos.
Pronóstico de mitad de año de FIRST: ~66 000 CVE en 2026, pero el riesgo explotable se mantiene plano
El 15 de junio de 2026, FIRST revisó su proyección 2026 a ~66 000 CVE — un 46,3 % por encima de febrero — impulsado sobre todo por el descubrimiento asistido por IA. El subconjunto accionable filtrado con EPSS y CISA KEV no ha crecido al mismo ritmo.
Reglamento de IA: cómo las directrices clasifican los sistemas agénticos como de alto riesgo
Las directrices de la Comisión Europea del 19 de mayo de 2026 sobre el artículo 6 obligan a evaluar un sistema agéntico en su conjunto: un solo componente accesorio puede arrastrar toda la configuración al régimen de alto riesgo.
Líderes de la IA piden al Congreso hacer obligatorio el cribado de la síntesis de ADN
El 5 de junio de 2026, los responsables de OpenAI, Anthropic, Google DeepMind y Microsoft AI firmaron una carta instando al Congreso a exigir el cribado de la síntesis de ácidos nucleicos, como control defensivo frente a la erosión de las barreras por la IA.
Divulgación a velocidad de máquina: lecciones del primer registro de vulnerabilidades por IA
El registro de divulgación coordinada de Anthropic, analizado por VulnCheck el 9 de junio de 2026, muestra a la IA detectando 23.019 bugs candidatos mientras solo 1.596 llegan a los mantenedores: un anticipo de la divulgación bajo descubrimiento automatizado.
Cuando un gobierno retira un modelo: la suspensión de Fable 5 / Mythos 5
El 12 de junio de 2026, una directiva estadounidense de control de exportaciones obligó a Anthropic a desactivar Claude Fable 5 y Mythos 5 en todo el mundo. El detonante alegado: un «jailbreak» que se reduce a pedirle al modelo que lea código y corrija fallos, una tarea defensiva cotidiana.
DeepMind y socios abren un fondo de 10 M$ para la seguridad multiagente
El 11 de junio de 2026, Google DeepMind, Schmidt Sciences, la Cooperative AI Foundation y ARIA abrieron una convocatoria de 10 M$ para fundar un campo de investigación sobre la seguridad de millones de agentes de IA que interactúan.
OWASP State of Agentic AI Security 2026: la inyección de prompts conecta la mayoría de los fallos de agentes
El informe OWASP State of Agentic AI Security and Governance v2.01 (1 de junio de 2026) pasa de amenazas hipotéticas a CVE y brechas documentadas. La inyección de prompts cubre ya seis de las diez categorías de riesgo agéntico.
Modelo de madurez agéntica de OWASP: no opere en las celdas rojas
El informe State of Agentic AI de OWASP (junio de 2026) añade un modelo de madurez de adopción: una matriz de dos ejes donde la autonomía de los agentes supera a la gobernanza y deja 'celdas rojas' sin supervisión.
Ningún laboratorio mide el prompt injection igual
Una comparación del 1 de junio de 2026 de las divulgaciones de prompt injection de Anthropic, OpenAI, Google y Meta revela que no comparten métrica, superficie ni definición de éxito — sus cifras no son comparables.
Orden ejecutiva de EE. UU. sobre seguridad de la IA: central de vulnerabilidades y revisión de modelos de frontera
Firmada el 2 de junio de 2026, la orden ejecutiva de EE. UU. sobre innovación y seguridad de la IA crea una central federal de vulnerabilidades de IA y una revisión voluntaria de 30 días previa a la publicación de los «modelos de frontera cubiertos».
CISA + Five Eyes publican la primera guía conjunta sobre adopción de IA agéntica
El 1 de mayo de 2026, CISA, NSA y las agencias cibernéticas de los Five Eyes publicaron 'Careful Adoption of Agentic AI Services' — una taxonomía de 5 riesgos y un manual de despliegue que los operadores de infraestructuras críticas deben incorporar a sus marcos de ciberseguridad existentes.
La NSA AISC publica una guía de seguridad para MCP en entornos de IA
El 20 de mayo de 2026, el Artificial Intelligence Security Center de la NSA publicó una hoja informativa de 15 páginas sobre Model Context Protocol: ocho clases de debilidades, cinco incidentes reales y nueve recomendaciones defensivas.
La presión: los equipos de seguridad del open source bajo la avalancha de vulnerabilidades asistidas por IA
El 26 de mayo de 2026, Daniel Stenberg (curl) publica «The pressure»: más de un informe de seguridad creíble al día, doce CVE confirmadas a mitad de ciclo y un patrón que otros mantenedores ya confirman en paralelo.