Esta semana no traigo titulares de laboratorio ni anuncios de nuevos modelos.

Traigo algo que pasó el lunes 12 de mayo y que, si nadie te lo cuenta bien, pasará desapercibido entre el ruido del algoritmo.

Así que acomódate. Porque esto te afecta directamente.

El 12 de mayo de 2026, el Google Threat Intelligence Group publicó un informe que marca un antes y un después en la historia de la ciberseguridad.

Por primera vez documentado oficialmente: un grupo criminal utilizó un modelo de Inteligencia Artificial para crear de forma autónoma un exploit — una herramienta de ataque — capaz de saltarse la autenticación de doble factor (ese código que te llega al móvil cuando entras en tu banco o tu correo).

El objetivo era lanzar una operación de explotación masiva contra empresas, organismos y organizaciones en todo el mundo.

El ataque fue neutralizado antes de ejecutarse. Pero lo que describe el informe es un punto de no retorno.

¿Qué tiene de diferente esto a otros ciberataques?

Hasta hoy, descubrir y desarrollar un exploit de este nivel requería semanas de trabajo por parte de equipos técnicos de élite. Esa barrera actuaba como filtro natural.

La IA acaba de derribar ese filtro.

Y el código lo delató: los investigadores de Google encontraron en el exploit huellas inequívocas de haber sido generado por un modelo de lenguaje. Docstrings educativos. Puntuación de riesgo alucinada. Formato Pythónico de manual. La máquina firmó su obra.

El mapa de la amenaza estatal:

No es solo un grupo criminal. El mismo informe documenta que actores vinculados a China, Corea del Norte, Rusia e Irán llevan meses integrando IA en operaciones ofensivas de manera sistemática:

El analista jefe del GTIG lo dijo sin rodeos: esto puede ser solo "la punta del iceberg".

El contexto que conecta todo:

En abril, Anthropic retrasó el lanzamiento de su modelo Mythos citando exactamente este riesgo. Muchos lo llamaron teatro. El informe del 12 de mayo confirma que era inteligencia real. Hubo reuniones de emergencia en la Casa Blanca. Y el AI Act europeo, que entra en vigor en agosto, llega con sus enmiendas bloqueadas.

El gap entre amenaza real y respuesta institucional se está ensanchando.

📎 Análisis completo disponible en: https://www.linkedin.com/posts/sergio-ruiz-515609161_ciberataque-autonomo-ugcPost-7460623051068469249-HBA9?utm_source=share&utm_medium=member_desktop&rcm=ACoAACa2F6EBlYqOGqDnnG8Nh5OO2UAkCOMXPRQ

"La era de la explotación de vulnerabilidades impulsada por IA ya está aquí."

John Hultquist, analista jefe, Google Threat Intelligence Group · 12 mayo 2026

Lo más relevante de la semana en IA, filtrado y comentado.

🟠 El 76% de las grandes empresas ya tiene un Chief AI Officer IBM acaba de confirmar que el cargo de CAIO ha pasado del 26% al 76% de penetración en grandes organizaciones en solo un año. McKinsey lo califica como "posiblemente el mayor cambio organizacional desde la revolución industrial." En España, ese cargo aún es mayoritariamente inexistente. La ventana de oportunidad para quienes lo entiendan no va a estar abierta para siempre.

🟠 Microsoft y OpenAI rompen su exclusividad La alianza que definió los últimos tres años de la industria ha pasado a ser no exclusiva. OpenAI puede ahora trabajar con otros proveedores de compute. Los beneficiarios inmediatos: Anthropic y Google. El paisaje de la IA en la nube va a cambiar más rápido de lo que muchos anticipan.

🟡 Novo Nordisk + OpenAI — la IA entra a diseñar medicamentos La farmacéutica detrás del Ozempic firmó una alianza para integrar IA en todo su negocio, desde el descubrimiento de fármacos hasta la cadena de suministro. El CEO fue claro: la IA no va a sustituir científicos, pero sí va a reducir el crecimiento futuro del empleo. Una frase que vale la pena guardar.

🔵 Fallo judicial histórico: la IA publicitaria de Meta y Google puede tener responsabilidad legal Un tribunal en California dictaminó que cuando la IA de una plataforma ejerce "autoridad última" sobre el contenido publicitario, la plataforma puede ser responsable de declaraciones fraudulentas. Meta, Alphabet, TikTok, Snap y X Corp en el punto de mira. El AI Act europeo empieza a verse corto.

Esta semana te presento DetectIA, uno de los GPTs que forman parte de la colección A.G.E.N.T.S. de SRIA.

¿Para qué sirve? DetectIA está diseñado para introducirte en el mundo del OSINT — inteligencia de fuentes abiertas — con IA como amplificador. Te ayuda a verificar información, identificar patrones sospechosos y desarrollar el pensamiento crítico digital que la mayoría de personas nunca entrena.

¿Por qué es relevante esta semana? Porque el informe de Google describe cómo los atacantes usaron IA para hacer OSINT ofensivo — rastrear vulnerabilidades, perfilar objetivos, identificar puntos de entrada. La misma lógica puede usarse en sentido defensivo. DetectIA te enseña exactamente eso.

¿Dónde encontrarlo? https://chatgpt.com/g/g-67f108089ebc8191a09f64414f049c35-detectia

⟡ Nadinne IA (OpenAI) · VerumIA (Gemini)

Zero-day = una vulnerabilidad en un software que sus propios creadores desconocen.

El nombre viene de ahí: llevan "cero días" siendo conocida, así que llevan "cero días" siendo parcheada. No hay defensa preparada.

Históricamente, encontrar un zero-day requería: → Semanas o meses de análisis manual → Equipos técnicos de élite → Recursos propios de gobiernos o grandes grupos criminales

¿Qué cambia con la IA?

Los modelos de lenguaje pueden leer código en contexto e inferir la intención del desarrollador. Son especialmente buenos en detectar fallos de lógica semántica — cuando el código hace algo diferente a lo que el desarrollador creyó que hacía.

Resultado: el tiempo entre descubrir una vulnerabilidad y tener un arma lista para usarla se comprime de semanas a horas.

Y la barrera de acceso que antes limitaba este tipo de ataques a actores de élite desaparece.

En una frase: La IA democratizó la capacidad ofensiva de ciberseguridad. Igual que democratizó la creación de contenido. Solo que con consecuencias más graves.

Voy a ser directo contigo, como siempre.

El ataque fue frustrado. Google lo interceptó. Y eso es bueno. Pero llevo días dándole vueltas a algo que me inquieta más profundamente que el incidente en sí.

Es la asimetría de atención pública.

Cuando la IA genera una imagen bonita: titulares, debates, trending topic. Cuando la IA genera un arma digital: tercer bloque informativo, si llega.

Llevamos años construyendo un ecosistema de comunicación sobre IA que prioriza lo espectacular y lo tranquilizador sobre lo complejo y lo urgente. Y esa distorsión tiene consecuencias reales.

Las empresas no están preparadas porque nadie les ha contado bien qué está pasando. Los ciudadanos no exigen a sus representantes que actúen porque el tema les parece técnico y ajeno. Los reguladores europeos llevan meses con sus enmiendas bloqueadas porque el lobby político pesa más que el análisis de amenazas.

Y mientras tanto, APT45 envía miles de prompts automatizados buscando puntos ciegos en infraestructuras críticas.

Yo no creo que la solución sea el alarmismo. El alarmismo paraliza. Lo que necesitamos es comprensión. Una sociedad que entienda lo que la IA hace en manos equivocadas con la misma claridad con la que entiende lo que hace en manos bien intencionadas.

Eso es lo que llevo años intentando construir desde SRIA. Y esta semana, con este informe sobre la mesa, tengo más claridad que nunca sobre por qué ese trabajo importa.

El primer zero-day generado por IA ha sido frustrado. El resultado de los siguientes depende de lo que hagamos ahora.

📣 Lo que viene en SRIA:

→ Nuevas formaciones en IA para empresas y equipos directivos disponibles para el segundo semestre de 2026. Si quieres ser de los primeros en conocer fechas y contenidos, responde a este email con la palabra FORMACIÓN y te aviso personalmente.

→ La colección A.G.E.N.T.S. — 10 GPTs especializados — sigue disponible en Gumroad. Si aún no la tienes, esta semana tiene más sentido que nunca.

→ ¿Tienes empresa y quieres entender cómo protegerla en este nuevo escenario? Escríbeme. Es exactamente para lo que trabajo.

💬 PREGUNTA DE LA SEMANA:

¿Tu empresa ya tiene un protocolo de respuesta ante ataques asistidos por IA? No ante ciberataques genéricos. Específicamente ante IA ofensiva.

Responde a este email. Me interesa saber dónde estáis.

📲 Sígueme y comparte:

Canal WhatsApp: https://whatsapp.com/channel/0029Vb8TsLf4NViiMJ2iAc05 Instagram: https://www.instagram.com/sergioruizia/ ✖️ X: @sergiosr600 YouTube / TikTok: @sergioruizia

Hasta la próxima edición.

⟡ Sergio Ruiz www.sergioruizia.com · [email protected]

🌐 www.sergioruizia.com | 📩 [email protected] | 📲 +34 695 645 316 | Canal WhatsApp: https://whatsapp.com/channel/0029Vb8TsLf4NViiMJ2iAc05 | Newsletter: https://iaprohibida-newsletter.beehiiv.com/ | ⟡ Nadinne IA (OpenAI) ⟡ VerumIA (Gemini) | Cumpliendo con el AI Act y el GDPR | IA&H generated.