El 2 de junio, Donald Trump firmó la orden ejecutiva “Promoting Advanced Artificial
Intelligence Innovation and Security”. Los titulares la cubrieron como un asunto doméstico norteamericano. Y es razonable: el texto habla de la NSA (Agencia de Seguridad Nacional), de CISA (Agencia de Ciberseguridad de Estados Unidos), del Tesoro, de hospitales rurales y bancos comunitarios de los Estados Unidos. Pero hay algo que la región no está leyendo: este decreto define quién tendrá acceso a las herramientas defensivas más avanzadas del mundo frente a la IA —y quién no.
La pieza central del instrumento es un “clearinghouse” —o cámara compensadora— de ciberseguridad, coordinado por el Tesoro, la NSA y CISA. Su función: escanear software en busca de vulnerabilidades, validarlas, coordinar parches y distribuirlos a infraestructura crítica doméstica —hospitales rurales, bancos comunitarios, servicios esenciales locales como agua o energía. En paralelo, se crea un marco voluntario por el cual los desarrolladores de IA pueden dar al gobierno de EE. UU. acceso a sus modelos más avanzados hasta 30 días antes de lanzarlos al mercado. La NSA determinará, mediante un proceso de benchmarking clasificado, qué modelos califican como “Modelos de Frontera Cubiertos” —los de mayor capacidad ofensiva potencial.
La lógica del decreto es impecable para los Estados Unidos.
El acceso anticipado permite evaluar las capacidades de un modelo antes de que llegue al mercado. El “clearinghouse” distribuye parches a actores de infraestructura crítica en tiempo útil. Las herramientas defensivas de IA llegan a hospitales y bancos del país. Es, en definitiva, exactamente lo que cualquier gobierno debería construir frente a la amenaza que el propio Anthropic describió semanas atrás, cuando admitió que su modelo Mythos podía comprometer sistemas críticos en cuestión de horas.
El problema está en que nada de ese aparato llega a la región.
Cuando esos mismos modelos lleguen a Santiago, Lima, Bogotá o Buenos Aires —y
llegarán, casi simultáneamente— lo harán sin que ningún gobierno latinoamericano haya tenido 30 días de acceso anticipado para evaluar sus capacidades, sin acceso a un “clearinghouse” de vulnerabilidades similar, y sin mecanismos equivalentes de coordinación defensiva. Brasil tiene en proceso el proyecto PL 2.338/2023, todavía en la Cámara de Diputados. Chile tiene un proyecto de ley en comisión parlamentaria. Argentina no tiene ley.
El decreto de Trump no es una amenaza para la región. Es un espejo.
Lo que el texto revela es que el gobierno norteamericano reconoce que los modelos de IA más capaces representan un riesgo de ciberseguridad lo suficientemente serio como para coordinar revisiones preventivas, construir clearinghouses y distribuir defensas a escala nacional. Y lo está haciendo. Lo que no revela —porque no es su función— es qué pasa con el resto del mundo cuando esos mismos modelos salgan al mercado global sin ese aparato de protección.
Para un director de riesgo o un CISO (responsable máximo de Seguridad de la Información) en una empresa latinoamericana, la lectura práctica es la siguiente: la brecha defensiva que ya existía entre la infraestructura crítica norteamericana y la regional se va a ampliar. No porque nadie les desee el mal, sino porque los mecanismos que se están construyendo son, por diseño, domésticos. Y los tiempos de respuesta ante vulnerabilidades críticas en la región seguirán dependiendo de lo que Washington decida compartir, y cuándo.
Pero ante este escenario sí hay algo concreto que las organizaciones de la región pueden hacer ahora. Primero: mapear su exposición directa a modelos de frontera —qué proveedores de IA usan, qué versiones, en qué condiciones contractuales de notificación de vulnerabilidades. Segundo: revisar si sus marcos de gestión de riesgo (y los hay muchos tanto en sabores internacionales como alineamientos locales) contemplan la dependencia de terceros críticos en IA como vector de riesgo propio. Tercero: participar activamente en iniciativas de información compartida regionales o globales —FIRST, ISACs sectoriales— que acerquen los tiempos de respuesta al estándar que Washington está construyendo para sí mismo.
El escudo se está armando. Pero no es entre humanos y máquinas, sino por
geografía.
