GOVERNANCE
(13)13 hack(s).
Pronóstico de mitad de año de FIRST: ~66 000 CVE en 2026, pero el riesgo explotable se mantiene plano
El 15 de junio de 2026, FIRST revisó su proyección 2026 a ~66 000 CVE — un 46,3 % por encima de febrero — impulsado sobre todo por el descubrimiento asistido por IA. El subconjunto accionable filtrado con EPSS y CISA KEV no ha crecido al mismo ritmo.
Reglamento de IA: cómo las directrices clasifican los sistemas agénticos como de alto riesgo
Las directrices de la Comisión Europea del 19 de mayo de 2026 sobre el artículo 6 obligan a evaluar un sistema agéntico en su conjunto: un solo componente accesorio puede arrastrar toda la configuración al régimen de alto riesgo.
Líderes de la IA piden al Congreso hacer obligatorio el cribado de la síntesis de ADN
El 5 de junio de 2026, los responsables de OpenAI, Anthropic, Google DeepMind y Microsoft AI firmaron una carta instando al Congreso a exigir el cribado de la síntesis de ácidos nucleicos, como control defensivo frente a la erosión de las barreras por la IA.
Divulgación a velocidad de máquina: lecciones del primer registro de vulnerabilidades por IA
El registro de divulgación coordinada de Anthropic, analizado por VulnCheck el 9 de junio de 2026, muestra a la IA detectando 23.019 bugs candidatos mientras solo 1.596 llegan a los mantenedores: un anticipo de la divulgación bajo descubrimiento automatizado.
Cuando un gobierno retira un modelo: la suspensión de Fable 5 / Mythos 5
El 12 de junio de 2026, una directiva estadounidense de control de exportaciones obligó a Anthropic a desactivar Claude Fable 5 y Mythos 5 en todo el mundo. El detonante alegado: un «jailbreak» que se reduce a pedirle al modelo que lea código y corrija fallos, una tarea defensiva cotidiana.
OWASP State of Agentic AI Security 2026: la inyección de prompts conecta la mayoría de los fallos de agentes
El informe OWASP State of Agentic AI Security and Governance v2.01 (1 de junio de 2026) pasa de amenazas hipotéticas a CVE y brechas documentadas. La inyección de prompts cubre ya seis de las diez categorías de riesgo agéntico.
DeepMind y socios abren un fondo de 10 M$ para la seguridad multiagente
El 11 de junio de 2026, Google DeepMind, Schmidt Sciences, la Cooperative AI Foundation y ARIA abrieron una convocatoria de 10 M$ para fundar un campo de investigación sobre la seguridad de millones de agentes de IA que interactúan.
Modelo de madurez agéntica de OWASP: no opere en las celdas rojas
El informe State of Agentic AI de OWASP (junio de 2026) añade un modelo de madurez de adopción: una matriz de dos ejes donde la autonomía de los agentes supera a la gobernanza y deja 'celdas rojas' sin supervisión.
Ningún laboratorio mide el prompt injection igual
Una comparación del 1 de junio de 2026 de las divulgaciones de prompt injection de Anthropic, OpenAI, Google y Meta revela que no comparten métrica, superficie ni definición de éxito — sus cifras no son comparables.
Orden ejecutiva de EE. UU. sobre seguridad de la IA: central de vulnerabilidades y revisión de modelos de frontera
Firmada el 2 de junio de 2026, la orden ejecutiva de EE. UU. sobre innovación y seguridad de la IA crea una central federal de vulnerabilidades de IA y una revisión voluntaria de 30 días previa a la publicación de los «modelos de frontera cubiertos».
CISA + Five Eyes publican la primera guía conjunta sobre adopción de IA agéntica
El 1 de mayo de 2026, CISA, NSA y las agencias cibernéticas de los Five Eyes publicaron 'Careful Adoption of Agentic AI Services' — una taxonomía de 5 riesgos y un manual de despliegue que los operadores de infraestructuras críticas deben incorporar a sus marcos de ciberseguridad existentes.
La NSA AISC publica una guía de seguridad para MCP en entornos de IA
El 20 de mayo de 2026, el Artificial Intelligence Security Center de la NSA publicó una hoja informativa de 15 páginas sobre Model Context Protocol: ocho clases de debilidades, cinco incidentes reales y nueve recomendaciones defensivas.
La presión: los equipos de seguridad del open source bajo la avalancha de vulnerabilidades asistidas por IA
El 26 de mayo de 2026, Daniel Stenberg (curl) publica «The pressure»: más de un informe de seguridad creíble al día, doce CVE confirmadas a mitad de ciclo y un patrón que otros mantenedores ya confirman en paralelo.