Bruselas negocia acceso a GPT-5.5-Cyber para auditar riesgos de IA

La Comisión Europea ya negocia con OpenAI y Anthropic para acceder a sus modelos más avanzados. El foco no es un chatbot: es ciberseguridad, explotación de fallos y riesgos sistémicos. OpenAI ofrece “acceso” de forma proactiva; con Anthropic, el diálogo existe, pero sin promesas. El problema de fondo: si Europa no evalúa estos modelos, legisla a ciegas.

La carrera por no quedarse ciego

Bruselas ha empezado a moverse con una urgencia poco habitual: negociar acceso a modelos que ya no solo escriben código, sino que encadenan vulnerabilidades y aceleran tareas que antes exigían semanas de auditoría. La Comisión lo verbalizó en briefing diario: conversaciones en marcha con OpenAI y contactos repetidos con Anthropic —cuatro o cinco reuniones, según el portavoz Thomas Regnier—, aunque todavía “sin” entrar en un acuerdo equivalente de acceso con esta última.

La clave es política y técnica. Política, porque el relato europeo de “regular primero” se tambalea cuando el riesgo se desplaza a infraestructuras críticas. Técnica, porque la capacidad de evaluación se ha convertido en un activo estratégico: si los modelos pueden anticipar fallos en bancos, hospitales o redes eléctricas, el regulador necesita medir, no suponer. Y medir cuesta talento, hardware y acuerdos con quienes controlan la frontera.

El salto cualitativo del “modelo que hackea”

En abril, la UE ya reconocía estar hablando con Anthropic por Mythos, un sistema que, según la propia compañía, puede localizar debilidades “desconocidas” y encadenarlas en múltiples tipos de software. El mensaje que trasladó Regnier fue explícito: «Es un modelo con riesgos; necesitamos información sobre esos riesgos».

Lo más grave no es el titular, sino la velocidad. Pruebas de referencia citadas por Axios apuntan a que estos modelos empiezan a completar simulaciones complejas: un ataque corporativo de 32 pasos, con éxito en 2 de 10 intentos para GPT-5.5 y 3 de 10 para Mythos en un test del AI Security Institute británico. La consecuencia es clara: aunque hoy no sean “perfectos”, ya son útiles. Y, como ocurre con cualquier ventaja asimétrica, basta con que funcionen “a veces” para cambiar el equilibrio entre defensores y atacantes.

OpenAI abre la puerta, Anthropic la deja entreabierta

La diferencia de estrategia es, en sí misma, un dato: OpenAI ha construido un esquema de acceso por verificación —Trusted Access for Cyber— y ha publicado detalles sobre GPT-5.5 y su versión GPT-5.5-Cyber para equipos acreditados. En paralelo, el propio ecosistema mediático describe una expansión hacia miles de defensores verificados, con menos “guardarraíles” que el modelo público, pero con bloqueos a tareas como robo de credenciales o creación de malware.

Anthropic, en cambio, ha optado por el cierre: limitó Mythos a unas 40 organizaciones para dar ventaja a quienes corrigen fallos antes de que se exploten. Ese contraste resulta demoledor para Europa: si el acceso se decide por geografía o alianzas, la UE corre el riesgo de quedarse en la parte lenta del ciclo —la que parchea tarde—. En ese contexto, la frase de Regnier funciona como diagnóstico: «Con una hay oferta proactiva; con la otra, buenos intercambios, pero sin poder especular».

El AI Act como palanca y como reloj

Este pulso llega con el calendario ya en marcha. Las obligaciones para proveedores de modelos de propósito general (GPAI) entraron en aplicación el 2 de agosto de 2025; y el grueso del marco para sistemas de “alto riesgo” se activa el 2 de agosto de 2026, con despliegue completo previsto para agosto de 2027.

Aquí está la paradoja: Bruselas exige transparencia, pero necesita también acceso práctico para evaluar riesgos que no se capturan con papeles. De ahí que el “código de buenas prácticas” voluntario, diseñado para guiar a empresas antes de sanciones, no baste si el regulador no puede reproducir pruebas y escenarios. Y las sanciones potenciales elevan la presión: la arquitectura europea contempla multas de hasta 35 millones o el 7% del negocio global, un umbral que convierte cualquier duda técnica en una batalla jurídica.

El precio oculto de la dependencia tecnológica

El debate no es solo ciber. Es dependencia. Europa quiere regular modelos mayoritariamente estadounidenses mientras intenta levantar su propio músculo industrial, pero la frontera se mueve más rápido que la capacidad pública de contratar y retener perfiles técnicos. En ese hueco aparece la tentación: firmar acuerdos de acceso con los líderes y asumir una nueva forma de dependencia, ahora en forma de “auditorías” y cajas negras.

Sin embargo, el coste de no hacerlo puede ser superior. Si Mythos o GPT-5.5-Cyber incrementan la productividad defensiva, también elevan la productividad ofensiva, aunque sea por filtración, uso indebido o replicación por actores menos escrupulosos. Por eso, el acceso que persigue Bruselas no es un capricho: es un intento de evitar que el mercado imponga su propio estándar de seguridad. En 2018, el GDPR exportó reglas; en 2026, el reto es exportar también capacidad de verificación.

Qué puede pasar ahora en bancos, hospitales y redes críticas

El escenario inmediato es pragmático: Europa quiere usar estos modelos para testear vulnerabilidades y calibrar riesgos sistémicos, especialmente en sectores con efecto dominó. La presión de la realidad es evidente: si una herramienta puede acelerar auditorías, también puede acelerar ataques, y el daño se concentra donde el parcheo es lento y la continuidad es vital.

Si OpenAI materializa el acceso, Bruselas ganará una ventana —aunque sea controlada— para validar su propio marco regulatorio con evidencia. Si Anthropic mantiene el modelo restringido a círculos reducidos, el riesgo para la UE es doble: asimetría informativa y sensación de desprotección en los grandes operadores europeos. En ambos casos, la consecuencia es clara: la regulación ya no compite solo con lobbies, sino con la física del tiempo. Quien detecta antes, repara antes. Quien repara antes, sobrevive al próximo incidente.