Qué implica para tu empresa el nuevo decreto ejecutivo sobre IA y ciberseguridad

El 2 de junio de 2026, la Casa Blanca publicó un nuevo decreto ejecutivo titulado «Promoción de la innovación y la seguridad en materia de inteligencia artificial avanzada». El decreto llega en un momento en el que las capacidades de los sistemas de IA de próxima generación y los riesgos de ciberseguridad que pueden plantear son objeto de gran atención por parte de la opinión pública. A continuación, resumimos lo que establece el decreto ejecutivo —y, lo que es más importante, lo que no establece— y ofrecemos orientación práctica para las empresas que se enfrentan a este panorama en constante evolución.

¿Por qué ahora?

La orden ejecutiva responde a las preocupaciones suscitadas por dos modelos de IA de vanguardia de última generación anunciados recientemente —Mythos, de Anthropic, y 5.5 Cyber, de OpenAI—, que actualmente se encuentran en fase de pruebas limitadas y aún no se han puesto a disposición del público. Los investigadores han señalado que estos modelos podrían multiplicar por diez la capacidad y la velocidad con respecto a los sistemas actuales, lo que plantea la posibilidad de que personas malintencionadas los utilicen para identificar y explotar vulnerabilidades de software o lanzar ciberataques a una escala sin precedentes.

La Casa Blanca y los gobiernos aliados han expresado su preocupación por el posible impacto en las infraestructuras críticas, los sistemas gubernamentales y el sector privado. También han manifestado su frustración por no haber sido consultados antes de que se iniciara el desarrollo de estos modelos ni haber recibido un papel significativo en la definición de sus medidas de seguridad. Esta orden ejecutiva es la primera respuesta formal de la Administración a esas preocupaciones.

¿Qué hace la Orden Ejecutiva?

Para empezar, es fundamental comprender lo que la orden ejecutiva no hace. No crea nueva legislación federal. No establece un régimen de licencias, un proceso de aprobación previa, un requisito de autorización ni ninguna otra forma de regulación sobre el desarrollo, la publicación, el lanzamiento o la distribución de modelos de IA. La propia orden ejecutiva lo afirma expresamente.

Lo que sí hace el decreto ejecutivo es adoptar tres medidas principales:

• Directivas para las agencias federales. En ella se ordena a las agencias federales —entre ellas el Departamento de Seguridad Nacional (DHS), el Departamento de Defensa (DOD) y el Departamento del Tesoro— que den prioridad a la ciberdefensa de los sistemas de seguridad nacional y de los sistemas de información federales, incluidos los de los contratistas del Gobierno. Se instruye a las agencias para que emitan directivas operativas vinculantes y orientaciones que faciliten el acceso a herramientas de ciberseguridad basadas en la inteligencia artificial por parte de las autoridades federales, estatales y locales, así como de los operadores de infraestructuras críticas, como hospitales, bancos y empresas de servicios públicos.
• Marco voluntario del sector. Establece un marco voluntario con laboratorios punteros de IA para crear un centro de intercambio de información sobre vulnerabilidades de ciberseguridad, un régimen de intercambio de información y un mecanismo para que el Gobierno reciba copias anticipadas de los nuevos «modelos punteros incluidos» hasta 30 días antes de su publicación. Asimismo, prevé un proceso de evaluación comparativa clasificado para evaluar los modelos en cuanto a sus capacidades cibernéticas avanzadas.
• Aplicación de la ley y financiación. La ley exige un aumento de la financiación destinada a la investigación en materia de ciberseguridad y ordena al fiscal general que dé prioridad al enjuiciamiento penal de quienes utilicen la inteligencia artificial para cometer delitos.

El Marco Voluntario: aspectos clave

El eje central de la orden ejecutiva es el centro de intercambio de información sobre ciberseguridad propuesto, que se encargaría de analizar las amenazas, coordinarse con el sector y los operadores de infraestructuras críticas, y trabajar para identificar y subsanar las vulnerabilidades de software en tiempo real. La preocupación que motiva esta iniciativa es clara: una vez que modelos como Mythos y 5.5 Cyber estén disponibles públicamente, los actores malintencionados podrían identificar y explotar las vulnerabilidades en cuestión de horas, en lugar de semanas.

Es probable que la disposición sobre el acceso del Gobierno a las versiones preliminares durante 30 días sea objeto de escrutinio. Laboratorios como OpenAI y Anthropic se han resistido históricamente a proporcionar acceso al Gobierno a las versiones preliminares, alegando preocupaciones en materia de propiedad intelectual y el riesgo de filtraciones. La acogida que reciba este marco voluntario —y si sigue siendo verdaderamente voluntario— será un aspecto importante a tener en cuenta.

Qué significa esto para nuestros clientes

Queremos ser claros: esta orden ejecutiva no impone nuevas obligaciones legales a las empresas privadas. No se trata de una normativa y no exige a ninguna empresa que obtenga una licencia, se someta a una autorización previa ni modifique sus operaciones. Las empresas que desarrollen, implanten o utilicen sistemas de inteligencia artificial no están sujetas a ningún nuevo marco de cumplimiento obligatorio como consecuencia de esta orden.

Dicho esto, el mensaje que transmite el decreto ejecutivo es claro. Todo el Gobierno federal se centra ahora de lleno en los riesgos de seguridad que plantean los modelos de vanguardia. Las empresas —ya sea que desarrollen IA, la integren en sus productos o simplemente gestionen sistemas que puedan ser objeto de amenazas basadas en la IA— deberían tomarse este mensaje muy en serio.

En la práctica, recomendamos a los clientes que tengan en cuenta los siguientes pasos:

• Reevaluar los presupuestos y la situación en materia de ciberseguridad. Si el panorama de amenazas está a punto de cambiar tan drásticamente como sugieren los investigadores, el gasto en seguridad y la dotación de personal deberían revisarse ahora, en lugar de esperar a que se produzca un incidente.
• Explora las herramientas defensivas basadas en la inteligencia artificial. Las mismas capacidades de inteligencia artificial que generan nuevos vectores de ataque también pueden impulsar defensas más eficaces. Las empresas deberían evaluar si su infraestructura de seguridad actual es adecuada para el nuevo panorama de amenazas.
• Pasar a una gestión de vulnerabilidades en tiempo real. Los ciclos de aplicación de parches semanales o mensuales pueden dejar de ser suficientes si los atacantes son capaces de identificar y explotar las vulnerabilidades en cuestión de horas. Las organizaciones deben pasar a un sistema de supervisión continua y corrección rápida.
• Seguir de cerca la evolución del marco voluntario. Si el centro de intercambio de información y los mecanismos de intercambio de datos entran en funcionamiento, la participación podría ofrecer un acceso temprano a la información sobre amenazas. Por el contrario, si el marco «voluntario» evoluciona hacia requisitos obligatorios —a través de condiciones de contratación pública, directrices normativas o legislación—, las empresas querrán estar preparadas para responder.

Mirando hacia el futuro

Las órdenes ejecutivas no son leyes y pueden ser modificadas o revocadas por administraciones posteriores. Sin embargo, marcan de manera significativa las prioridades y la actuación de los organismos federales, especialmente en lo que respecta a la contratación pública, la aplicación de la ley y la coordinación interinstitucional. Esperamos que esta orden ejecutiva acelere las tendencias actuales hacia unas mayores exigencias en materia de ciberseguridad para los contratistas del Gobierno, los operadores de infraestructuras críticas y las empresas de sectores regulados.

También prevemos que el Congreso utilice esta orden ejecutiva como punto de partida para presentar propuestas legislativas. Queda por ver si dichas propuestas adoptarán la forma de requisitos de divulgación obligatorios, autorizaciones de financiación o marcos normativos más prescriptivos.

Seguiremos de cerca la evolución de la situación y publicaremos análisis adicionales a medida que el marco voluntario vaya tomando forma y se publiquen las directrices de las agencias. Mientras tanto, no dudéis en poneros en contacto con nosotros si tenéis alguna pregunta sobre cómo esta orden ejecutiva podría afectar a vuestra organización.

* * *

Esta alerta se facilita únicamente con fines informativos y no constituye asesoramiento jurídico. Si tiene alguna duda sobre cómo estos acontecimientos pueden afectar a su empresa, póngase en contacto con su socio de referencia o con cualquier miembro de nuestros grupos de práctica de Transacciones Tecnológicas, Privacidad de Datos o Contratos Públicos.