- OpenAI amplía el programa Trusted Access for Cyber, dando acceso a GPT-5.5 y GPT-5.5-Cyber a empresas europeas críticas como Telefónica y BBVA.
- Estos modelos de IA permiten detectar vulnerabilidades, analizar código complejo y reforzar la respuesta ante incidentes con salvaguardas frente a usos maliciosos.
- Telefónica y BBVA usarán estas capacidades tanto para proteger sus propios sistemas como para ofrecer servicios avanzados de ciberseguridad a sus clientes empresariales.
- La iniciativa se enmarca en el plan de acción de OpenAI con la UE para mejorar la resiliencia cibernética de Europa y equilibrar acceso, utilidad y seguridad.
La alianza entre Telefónica, BBVA y OpenAI marca un punto de inflexión en la forma en que las grandes empresas europeas afrontan la ciberseguridad. En un momento en el que los ataques informáticos crecen en volumen, sofisticación e impacto económico, tener acceso a modelos de inteligencia artificial diseñados específicamente para la defensa se ha convertido en una prioridad estratégica para bancos, telecos y proveedores de infraestructuras críticas.
OpenAI ha decidido abrir de forma limitada el acceso a su programa de ciberseguridad más avanzado, conocido como Trusted Access for Cyber (TAC), a un grupo selecto de organizaciones europeas. Entre ellas destacan Telefónica y BBVA, acompañadas por Deutsche Telekom, Sophos o la fintech británica Scalable Capital. Con este movimiento, la compañía responsable de ChatGPT pone en manos de defensores verificados variantes especializadas de su modelo GPT-5.5, capaces de identificar vulnerabilidades, analizar código complejo y apoyar la respuesta ante incidentes con una rapidez muy superior a las herramientas tradicionales.
Qué es el programa Trusted Access for Cyber (TAC) de OpenAI
El TAC es un programa de acceso restringido mediante el cual OpenAI ofrece a entidades de confianza la posibilidad de utilizar sus modelos de IA orientados específicamente a ciberseguridad. No se trata de las versiones comerciales estándar de los modelos, sino de variantes ajustadas para maximizar su utilidad defensiva y, al mismo tiempo, mantener salvaguardas estrictas frente a usos abusivos.
Dentro de este programa, las organizaciones aprobadas pueden trabajar con GPT-5.5 y GPT-5.5-Cyber. El primero se usa como modelo de referencia para la mayoría de tareas defensivas habituales, mientras que el segundo se reserva para un número aún más reducido de empresas y organismos, a los que se les permite abordar funciones de ciberseguridad mucho más especializadas, como pruebas de penetración avanzadas o ejercicios de red team de alto nivel.
Uno de los rasgos diferenciales del TAC es que proporciona a estos defensores “verificados” tasas de rechazo más bajas en sus consultas relacionadas con flujos de trabajo legales de ciberseguridad. En la práctica, esto significa que tareas legítimas como el análisis de malware, la ingeniería inversa de binarios o la revisión de código seguro encuentran menos bloqueos automáticos derivados de las habituales políticas de seguridad de los modelos comerciales abiertos al público.
Al mismo tiempo, OpenAI afirma haber incorporado en el TAC un conjunto de salvaguardas para impedir usos maliciosos. Estas restricciones están diseñadas para evitar que los modelos se empleen, por ejemplo, en el robo de credenciales, la propagación de malware o la explotación de sistemas de terceros. Se trata de un equilibrio delicado: ofrecer herramientas potentes a los defensores, sin que puedan convertirse en arma en manos de los ciberdelincuentes.
El contexto en el que nace el TAC está marcado por una creciente preocupación internacional: los modelos de IA de frontera ya son capaces de localizar miles de vulnerabilidades críticas en sistemas operativos, navegadores y software ampliamente desplegado, incluidas fallas que habían pasado desapercibidas durante años o incluso décadas. Los reguladores y los equipos de seguridad coinciden en que, si estas capacidades van a existir sí o sí, es clave que los defensores sean los primeros en aprovecharlas.
Telefónica y BBVA, entre los primeros en usar GPT-5.5-Cyber
Telefónica y BBVA se sitúan entre las primeras empresas europeas que tendrán acceso a las capacidades defensivas avanzadas de GPT-5.5-Cyber a través del programa TAC. Ambas organizaciones forman parte de sectores catalogados como críticos para el funcionamiento de los países: servicios financieros y telecomunicaciones, a los que se suman energía, servicios públicos, pagos y operaciones industriales en el resto de participantes.
En el caso de Telefónica, el programa se impulsa principalmente a través de Telefónica Tech, la unidad especializada en servicios digitales y de ciberseguridad. Como proveedor de infraestructuras críticas y servicios gestionados de seguridad para multitud de clientes empresariales y administraciones, la compañía tiene que lidiar diariamente con amenazas complejas y masivas en sus redes globales.
Alejandro Ramos, director global de Ciberseguridad de Telefónica Tech, subraya que el acceso a estas capacidades de IA defensiva puede ayudar a sus equipos de seguridad a acelerar el análisis de amenazas, reforzar la resiliencia y mejorar tanto la velocidad como la eficacia de la detección y respuesta ante incidentes. Todo ello, recalca, es especialmente relevante en los entornos de gran escala que gestiona Telefónica, donde se protegen servicios digitales esenciales para millones de usuarios y empresas.
Por parte de BBVA, el impulso procede de la dirección de Seguridad (CSO) y de Seguridad de la Información (CISO), liderada por Valentín Sánchez. El banco pone el foco en que la ciberseguridad es una pieza clave de la confianza que los clientes depositan en la entidad: proteger sus datos, sus transacciones y la disponibilidad de los servicios financieros es un requisito básico para el negocio.
Según explica Sánchez, el acceso a GPT-5.5-Cyber permitirá a BBVA reforzar sus defensas internas y dotar a sus equipos técnicos de mejores capacidades para entender, probar y responder a un panorama de amenazas cada vez más sofisticado. No se trata solo de automatizar tareas, sino de obtener una visión más profunda y rápida del riesgo, de la superficie de ataque y de las vulnerabilidades reales que podrían explotar los atacantes.
Además, tanto Telefónica como BBVA podrán utilizar este acceso privilegiado para ofrecer a sus clientes empresariales nuevas soluciones de ciberprotección basadas en IA. En el caso de una teleco con una amplia cartera de servicios digitales gestionados y de un banco global con presencia en numerosos países, integrar estas capacidades en productos y servicios comerciales puede convertirse en una ventaja competitiva importante.
Diferencias con Anthropic y su modelo Claude Mythos
El movimiento de OpenAI contrasta claramente con la estrategia de Anthropic, otro de los grandes laboratorios de inteligencia artificial. Esta compañía ha desarrollado su propio modelo especializado en ciberseguridad, conocido como Claude Mythos, con funciones avanzadas para apoyar tareas de defensa en entornos críticos.
Sin embargo, Anthropic ha optado por mantener un acceso mucho más limitado a este modelo. En lugar de abrir un programa como el TAC a decenas de empresas europeas, la compañía ha restringido el uso de Mythos a un grupo de alrededor de cuarenta organizaciones, mayoritariamente gigantes tecnológicos estadounidenses y entidades muy concretas con las que colabora estrechamente.
La decisión se basa en que Anthropic ha comprobado las potenciales capacidades peligrosas de su modelo si cayera en manos de ciberdelincuentes o actores maliciosos. Por ello, mantiene un control muy férreo sobre quién puede acceder, bajo qué condiciones y con qué supervisión. De momento, no ha otorgado acceso temprano a autoridades de la Unión Europea, aunque sí se han producido reuniones y contactos con la Comisión Europea para evaluar escenarios de colaboración futuros.
Esta diferencia de enfoque tiene implicaciones importantes para Europa. Mientras OpenAI se presenta como un socio dispuesto a dar acceso directo a sus modelos de ciberseguridad más avanzados a empresas, agencias y organismos del continente, Anthropic mantiene una relación más cerrada y prudente, lo que genera cierto recelo en sectores como la banca o las infraestructuras críticas, que empiezan a ver la IA avanzada como un factor de riesgo si no cuentan con medios equivalentes para defenderse.
El lanzamiento público de Claude Mythos el mes anterior disparó las inquietudes sobre las ciberamenazas potenciadas por IA. Bancos, operadores de infraestructuras y compañías esenciales observan con preocupación cómo modelos de este tipo podrían automatizar la búsqueda de fallos, acelerar el desarrollo de malware o mejorar las técnicas de intrusión, si no se gestionan con un marco sólido de gobernanza y acceso responsable.
Capacidades defensivas de GPT-5.5 y GPT-5.5-Cyber
Los modelos GPT-5.5 de OpenAI orientados a ciberseguridad han sido afinados para detectar, clasificar y ayudar a mitigar fallos en software y sistemas complejos con una precisión llamativa. Estos modelos son capaces de identificar vulnerabilidades de software antes de que sean explotadas, analizando grandes bases de código y configuraciones en busca de patrones de riesgo.
En la práctica, GPT-5.5 se utiliza como modelo genérico para la mayoría de tareas defensivas: revisión de código, ayuda a la programación segura, generación de recomendaciones de endurecimiento de sistemas, evaluación de configuraciones o apoyo en la formación de equipos de ciberseguridad. Su función principal es ayudar a automatizar y acelerar trabajos que, de otro modo, requerirían muchas horas de especialistas humanos.
Por su parte, GPT-5.5-Cyber se reserva para un conjunto más reducido de organizaciones autorizadas, precisamente por la profundidad de las operaciones que puede llevar a cabo. Este modelo está pensado para pruebas de penetración avanzadas, ejercicios de red team, simulaciones de ataque controladas y análisis exhaustivos de malware o binarios ofuscados. Su uso permite que tareas que antes podían requerir semanas o meses de trabajo manual se realicen ahora en cuestión de minutos, tal y como ha destacado Thomas Tschersich, director de Seguridad de Deutsche Telekom.
En el día a día, estas capacidades se aplican a funciones como la investigación de brechas de seguridad, la seguridad en endpoints, el estudio de incidentes complejos, el análisis de código legado con poca documentación o la priorización de vulnerabilidades críticas. En lugar de limitarse a enumerar fallos, los modelos proponen rutas de mitigación, recomiendan parches, sugieren cambios de arquitectura o señalan configuraciones peligrosas que conviene reforzar cuanto antes.
Un aspecto clave del TAC es la reducción de bloqueos en tareas legítimas. Los modelos estándar de IA suelen ser muy conservadores cuando detectan que una consulta puede tener relación con malware, explotación de sistemas o ingeniería inversa. Dentro del programa TAC, OpenAI afina las salvaguardas para distinguir entre actividades ofensivas maliciosas y flujos de trabajo defensivos aprobados, de forma que los equipos de seguridad puedan trabajar sin tropezar constantemente con mensajes de rechazo injustificados.
Todo esto se enmarca en una visión en la que, según Emmanuel Marill, director general de OpenAI para EMEA, es necesario encontrar un equilibrio entre acceso, utilidad y seguridad. La compañía sostiene que es imprescindible bloquear la actividad peligrosa pero, al mismo tiempo, garantizar que los defensores autorizados cuentan con herramientas realmente útiles para proteger sistemas, detectar vulnerabilidades y responder a las amenazas con rapidez.
La carta de OpenAI a la Comisión Europea y el plan de acción de ciberseguridad
La ampliación del TAC a empresas europeas va acompañada de un gesto político y regulatorio relevante: OpenAI ha remitido una carta a la Comisión Europea y a los Estados miembros para presentar su plan de acción en ciberseguridad para la Unión Europea. La misiva, enviada por George Osborne, responsable de OpenAI for Countries, detalla cómo la compañía pretende reforzar la preparación y resiliencia cibernética del bloque.
En esa carta se subraya que la inteligencia artificial está transformando la ciberseguridad de forma profunda. Los últimos modelos de OpenAI, accesibles precisamente a través del programa TAC, pueden ayudar a los equipos de seguridad a identificar vulnerabilidades, analizar amenazas y parchear sistemas mucho más rápido que con las herramientas tradicionales. La idea es poner estas capacidades al servicio tanto de grandes empresas como de instituciones y autoridades competentes en materia de ciberdefensa.
El plan de acción de ciberseguridad de la UE presentado por OpenAI se articula en torno a tres grandes líneas. La primera consiste en garantizar que las autoridades e instituciones clave de la UE, así como las agencias de ciberseguridad nacionales, puedan acceder a los modelos de OpenAI con capacidades cibernéticas, también mediante el programa TAC cuando se trate de casos de defensa cibernética.
La segunda línea prevé ofrecer acceso y sesiones informativas con los equipos de seguridad y protección de OpenAI, incluyendo demostraciones concretas de cómo sus modelos de frontera pueden reforzar la preparación y la resiliencia cibernética de Europa. Esto implica compartir mejores prácticas, casos de uso defensivos y ejemplos reales de detección y mitigación de vulnerabilidades en infraestructuras críticas.
La tercera pata del plan es la expansión del programa TAC a grandes empresas europeas de sectores críticos, con un sistema de solicitudes abierto y actualmente en evaluación. Esto permite que organizaciones de energía, servicios públicos, pagos, industria y otros ámbitos esenciales puedan optar a este acceso verificado, siempre bajo un marco de salvaguardas y responsabilidades compartidas.
Para OpenAI, una ciberseguridad fuerte es un elemento imprescindible para la resiliencia de Europa. Marill insiste en que las instituciones y empresas que protegen infraestructuras críticas deben disponer de las mejores herramientas defensivas disponibles, si se quiere que el bloque esté a la altura de las amenazas impulsadas por la propia evolución de la IA.
Riesgos, oportunidades y el papel del sistema financiero
La apertura de estos modelos de ciberseguridad a empresas como Telefónica y BBVA no se entiende sin el telón de fondo de la preocupación de . Diversas voces del sector han alertado de que los modelos de IA más avanzados podrían llegar a poner en jaque al sistema bancario mundial, si su capacidad para exponer vulnerabilidades en las defensas cibernéticas de las entidades no se gestiona con suficiente rigor.
Por un lado, estos modelos son capaces de descubrir fallos estructurales en sistemas de banca digital, pasarelas de pago y servicios financieros interconectados, lo que podría facilitar ataques de gran escala si esa información se utilizase con fines delictivos. Por otro, la misma capacidad de análisis rápido y profundo puede servir para cerrar brechas, reforzar los controles y mejorar la monitorización de incidentes en tiempo real.
En este escenario dual, la apuesta de bancos como BBVA por participar en el TAC busca precisamente situar a la entidad en el lado defensivo de la balanza. Al tener acceso temprano a las capacidades de GPT-5.5-Cyber, el banco puede auditar su propio entorno con mayor detalle, anticiparse a potenciales vectores de ataque y mejorar sus estrategias de respuesta y contención ante incidentes de seguridad.
Telefónica, por su parte, juega un papel de proveedor de ciberseguridad para terceros. La compañía no solo protege sus propias redes y servicios, sino que también ofrece soluciones de seguridad gestionada a empresas de múltiples sectores. Incorporar modelos de IA defensiva de OpenAI a estos servicios puede traducirse en mejores tiempos de detección, análisis más precisos y una respuesta más coordinada frente a ataques distribuidos o muy sofisticados.
En conjunto, la ampliación del TAC y la entrada de actores como Telefónica y BBVA reflejan una tendencia clara: ante una IA cada vez más poderosa, los grandes jugadores europeos prefieren aliarse con los desarrolladores de estos modelos, en lugar de limitarse a observar desde fuera cómo la tecnología redefine el panorama de las amenazas. El reto ahora es garantizar que este acceso se traducirá en una red más segura para usuarios, empresas e instituciones, y no solo en una ventaja puntual para unos pocos.
Todo apunta a que el uso defensivo de la IA se convertirá en una capa básica de cualquier estrategia de seguridad seria. Programas como el TAC, la participación activa de compañías como Telefónica y BBVA y el diálogo constante con la Comisión Europea dibujan un escenario en el que la ciberdefensa pasa por estar a la altura tecnológica de los atacantes. Cómo se gestione este equilibrio entre poder, responsabilidad y acceso marcará en buena medida la seguridad de las infraestructuras críticas europeas en los próximos años.
Redactor apasionado del mundo de los bytes y la tecnología en general. Me encanta compartir mis conocimientos a través de la escritura, y eso es lo que haré en este blog, mostrarte todo lo más interesante sobre gadgets, software, hardware, tendencias tecnológicas, y más. Mi objetivo es ayudarte a navegar por el mundo digital de forma sencilla y entretenida.