Orden ejecutiva de EE. UU. sobre seguridad de la IA: central de vulnerabilidades y revisión de modelos de frontera
Firmada el 2 de junio de 2026, la orden ejecutiva de EE. UU. sobre innovación y seguridad de la IA crea una central federal de vulnerabilidades de IA y una revisión voluntaria de 30 días previa a la publicación de los «modelos de frontera cubiertos».
¿De qué se trata?
El 2 de junio de 2026, la Casa Blanca publicó una orden ejecutiva titulada Promoting Advanced Artificial Intelligence Innovation and Security. Es un documento de gobernanza, no una vulnerabilidad, pero modifica directamente la forma en que se escanean, validan y parchean las vulnerabilidades relacionadas con la IA en el gobierno federal de EE. UU. y en la infraestructura crítica, así como la manera en que los modelos más capaces llegan al mercado.
Dos elementos importan especialmente a los defensores. Primero, la orden encomienda al Departamento del Tesoro crear en un plazo de 30 días una «central de ciberseguridad de IA» (AI cybersecurity clearinghouse), en colaboración voluntaria con la industria y los operadores de infraestructura crítica, para «coordinar y desconflictuar el escaneo de vulnerabilidades de software, descubrir y validar dichas vulnerabilidades, y coordinar y priorizar la remediación y la distribución de parches». Segundo, establece una revisión federal voluntaria de 30 días previa a la publicación de los «modelos de frontera cubiertos» (covered frontier models): una ventana en la que las agencias pueden evaluar la capacidad cibernética ofensiva de un modelo antes de su entrega a «socios de confianza». La orden se firmó en una ceremonia privada tras el aplazamiento de un borrador anterior en mayo, y la ventana de revisión se redujo de 90 días en ese borrador a 30 días en la versión firmada, según The Register.
Qué establece la orden
La orden se articula en torno a cuatro mecanismos, todos con plazos breves.
El texto en sí es la referencia canónica; la tabla siguiente sigue directamente las secciones 2 y 3.
Mechanism Owner(s) Clock Binding?
------------------------------ ------------------------------- -------- -------------
AI cybersecurity clearinghouse Treasury + NCD + NSA + CISA 30 days Voluntary
Binding Operational Directives CISA (w/ OMB, NCD) 30 days Mandatory (fed)
Grant funding for AI vuln OMB (w/ NCD, CISA) 30 days Discretionary
detection
Frontier benchmarking + Treasury, NSA, CISA, NIST 60 days Voluntary
30-day pre-release reviewLa central es la pieza de mayor alcance: un punto federal de coordinación para el escaneo de vulnerabilidades y la distribución de parches que invita explícitamente a los operadores privados. Las Binding Operational Directives solo se aplican a los sistemas federales civiles, pero históricamente marcan el ritmo que luego sigue el conjunto del mercado. El eje de modelos de frontera pide a la NSA, en consulta con el National Cyber Director, la CISA y el NIST, que construya un punto de referencia clasificado de capacidad cibernética y defina el umbral por encima del cual un modelo es un «modelo de frontera cubierto». Punto clave: la sección 3(c) aclara que la orden no crea un requisito obligatorio de licencia o autorización previa; la participación es voluntaria de principio a fin.
Un detalle pesa mucho: el marco permite a los desarrolladores «colaborar con el gobierno federal para seleccionar a los socios de confianza que tendrán acceso anticipado a los modelos de frontera cubiertos». Esto otorga al ejecutivo un papel en la decisión de quién obtiene acceso anticipado a programas del tipo de las previsualizaciones restringidas de modelos con capacidad ofensiva; véase nuestra cobertura de Project Glasswing y Claude Mythos.
Por qué es importante
La orden consagra un giro que los dos últimos meses de incidentes ya habían sacado a la luz: la capacidad cibernética de una clase de modelos es ahora un insumo de seguridad nacional, y el descubrimiento de vulnerabilidades se desplaza de una divulgación caso por caso hacia cadenas coordinadas en contacto con el Estado.
Para los defensores destacan tres consecuencias. Primera, si opera infraestructura crítica estadounidense, la central es un canal opcional que puede cambiar la forma en que recibe inteligencia sobre vulnerabilidades y parches; conviene seguirlo antes de que el plazo de 30 días produzca un modelo operativo concreto. Segunda, las Binding Operational Directives federales son un indicador adelantado: cuando la CISA acelera los plazos de parcheo para sistemas con IA, los grandes proveedores y los sectores regulados tienden a alinearse en un trimestre. Tercera, el poder de selección de los «socios de confianza» suscitó las críticas más agudas. Analistas citados por The Register —entre ellos Juan Londoño, del Cato Institute, y el exjefe de tecnología de la FTC Neil Chilson— advirtieron de que unos criterios vagos de «modelo de frontera cubierto», sumados a la influencia del gobierno sobre la selección de socios, «podrían abrir la puerta a una instrumentalización contra empresas» o servir para «elegir ganadores y perdedores». Samir Jain, del Center for Democracy and Technology, elogió el carácter no obligatorio del diseño, pero señaló el mismo riesgo en la implementación.
La postura contraria también está bien representada. El senador Josh Hawley y organizaciones como la Alliance for Secure AI y Americans for Responsible Innovation declararon a Roll Call que la revisión voluntaria no basta y pidieron al Congreso que haga obligatoria la revisión federal de los modelos avanzados. Dicho de otro modo: la mayoría de los observadores coincide en la dirección; el desacuerdo está en si lo «voluntario» es suficiente.
Defensas
Esto es política pública, así que la «defensa» consiste en preparación organizativa más que en un parche. Pasos concretos para los equipos de seguridad:
-
Mapee su exposición a la central. Si opera infraestructura crítica estadounidense (la orden cita como ejemplos hospitales rurales, bancos comunitarios y servicios públicos locales), decida ahora si participará y asigne un responsable para evaluar el modelo operativo en cuanto el Tesoro lo publique, en un plazo de 30 días.
-
Vigile las Binding Operational Directives de la CISA. Son el entregable accionable. Prepare sus procesos de parcheo e inventario para absorber plazos más estrictos en sistemas con IA y expuestos a Internet, en lugar de reaccionar cuando la directiva ya esté publicada.
-
Añada la «capacidad cibernética de IA» a su debida diligencia de proveedores. La orden convierte la capacidad ofensiva de los modelos de frontera en una categoría formal de evaluación. Pregunte a sus proveedores de modelos y herramientas si sus sistemas caen bajo el marco de «modelo de frontera cubierto» y qué revisión han pasado.
-
No confunda «voluntario» con «irrelevante». Los marcos federales voluntarios se convierten con frecuencia en líneas de base de facto, vía contratación pública y seguros. Siga los criterios de evaluación de NIST/NSA a medida que surjan: probablemente influirán en cómo el mercado etiqueta los modelos de alta capacidad.
-
Mantenga su propia disciplina de divulgación. Una central federal no reemplaza la divulgación coordinada con el proveedor afectado. Siga reportando por los canales establecidos y trate la central como una capa de coordinación adicional, no como un sustituto.
Estado
| Elemento | Referencia | Fecha | Notas |
|---|---|---|---|
| Orden ejecutiva firmada | Casa Blanca | 2026-06-02 | «Promoting Advanced Artificial Intelligence Innovation and Security» |
| Central de ciberseguridad de IA | OE sec. 2(d) | +30 días | Liderada por el Tesoro, voluntaria, escaneo + validación + coordinación de parches |
| Binding Operational Directives | OE sec. 2(c) | +30 días | CISA, sistemas federales civiles |
| Punto de referencia + revisión de 30 días | OE sec. 3 | +60 días | NSA/CISA/NIST; referencia clasificada; voluntaria |
| Legislación de revisión obligatoria | Roll Call | 2026-06-02 | Proyecto Hawley/Blumenthal/Blackburn impulsado como codificación |
El encuadre honesto no es «EE. UU. está regulando la IA». La sección 3(c) descarta explícitamente la licencia obligatoria. Es más bien «EE. UU. está construyendo una cadena coordinada, próxima al Estado, para el descubrimiento y la corrección de vulnerabilidades relacionadas con la IA, además de una puerta de revisión voluntaria para los modelos más capaces, con la pregunta abierta de si la participación voluntaria y la selección discrecional de “socios de confianza” se sostendrán en la práctica». Para los defensores, la tarea es estar listos para los detalles operativos que aterrizarán en los próximos 30 a 60 días.
Sources
- → https://www.whitehouse.gov/presidential-actions/2026/06/promoting-advanced-artificial-intelligence-innovation-and-security/
- → https://www.theregister.com/ai-and-ml/2026/06/02/trump-ai-executive-order-sets-30-day-frontier-model-review/5250322
- → https://rollcall.com/2026/06/02/executive-order-sets-voluntary-cyber-reviews-for-advanced-ai/