Una encuesta a 1.200 personas confirma un punto conocido, Fable 5 regresa con condiciones, la computación cuántica deja de ser un problema del futuro, las salvaguardas de ChatGPT ceden y Meta elimina un control de privacidad.
En esta edición
- 01Todo el mundo es consciente. Casi nadie es resiliente.
- 02Fable 5 ha vuelto. La mitad de tu código sigue cayendo en Opus 4.8.
- 03La computación cuántica es un problema de 2029. Sus datos ya se están copiando hoy.
- 04Las salvaguardas resistieron, hasta que un prompt ligeramente modificado las atravesó.
- 05Meta está eliminando el control de seguimiento del que antes se enorgullecía.
Recibe el próximo GRC Brief en tu correo.
Suscribirse a The GRC BriefTodo el mundo es consciente. Casi nadie es resiliente.
La evaluación de ciberseguridad 2026 de Bitdefender encuestó a 1.200 profesionales de TI y seguridad en seis países, y el tema central es la brecha entre concienciación y resiliencia. Las organizaciones entienden los riesgos mejor que nunca, pero tienen dificultades para operacionalizar ese entendimiento. Algunos datos llaman la atención. Directivos y profesionales discrepan en lo básico: el 58 % de los gestores cree tener visibilidad total sobre el uso de IA por parte de los empleados, frente al 45,9 % de los profesionales a su cargo. Aunque las amenazas relacionadas con la IA ocupan las tres primeras posiciones, Bitdefender Labs constató que el 84 % de los ataques de alta gravedad utilizaron técnicas Living off the Land que abusan de herramientas ya presentes en el entorno, y solo uno de cada cinco encuestados las consideró una preocupación prioritaria. Además, el 55 % de las organizaciones que sufrieron una brecha afirma que se les pidió mantener el incidente en silencio, incluso cuando creían que debían notificarlo a las autoridades.
Fuente: The Hacker News · Bitdefender 2026 Assessment, 1 Jul 2026
Mi análisis
Momento de ego, y me lo permito. Esto es lo que llevo años diciéndoles a mis clientes, y el mensaje que he repetido en mis charlas recientes. Mi webinar de PECB de este año, <a href="https://www.youtube.com/watch?v=OtzGRLayYR8" target="_blank" rel="noopener">Closing the Decision Gap</a>, planteaba exactamente este argumento, y ahora está medido sobre 1.200 personas. La concienciación no es resiliencia. Conocer el riesgo, comprar la herramienta, superar la auditoría, nada de eso equivale a sobrevivir al incidente.
Dos cifras para reflexionar. Los directivos dicen que pueden ver el uso de IA. Los profesionales a su cargo dicen que no pueden. Esa brecha resume el problema en una sola línea: la dirección toma decisiones sobre una imagen que quienes hacen el trabajo saben que es incorrecta.
Y el dato de Living off the Land lo dice todo. Todo el mundo entra en pánico por la IA mientras el 84 % de los ataques serios se limita a abusar de las herramientas que ya están en el entorno. La amenaza aburrida es la que te está golpeando. La resiliencia se construye con el trabajo poco glamuroso, no con los titulares.
Fable 5 ha vuelto. La mitad de tu código sigue cayendo en Opus 4.8.
Tras retirar el Departamento de Comercio de Estados Unidos su directiva de control de exportaciones el 30 de junio, Anthropic restableció Claude Fable 5 para todos a nivel global el 1 de julio, aproximadamente tres semanas después de retirarlo. Mismo modelo, mismo precio, sin verificación de nacionalidad. El problema son las salvaguardas. Anthropic redesplegó Fable 5 con un clasificador de seguridad más estricto y advierte de que, en el corto plazo, algunas tareas rutinarias, entre ellas la codificación y la depuración, serán bloqueadas y redirigidas al modelo más pequeño Opus 4.8, con notificación al usuario. Anthropic lo presenta como una configuración temporal y cautelosa que ajustará a la baja en las próximas semanas, y señala que sus propias pruebas demostraron que modelos menos capaces podían reproducir el trabajo de vulnerabilidades que desencadenó todo el episodio.
Fuente: Anthropic · Redeploying Fable 5, 1 Jul 2026
Mi análisis
Así que ha vuelto. Y para trabajo real, funciona a medias, por diseño. Yo hago codificación y depuración, que es exactamente lo que el nuevo clasificador redirige a Opus 4.8. Así que busco el modelo más capaz y me entregan el más pequeño, a mitad de tarea, con un aviso. Comprensible para la cautela de Anthropic. Frustrante cuando pagaste por Fable y recibes Opus.
Léase junto a lo que dije la semana pasada. Les dije que la IA de frontera se había convertido en una licencia que Washington otorga y revoca, y que conviene tener una segunda opción que no necesite permiso. Una semana después, la licencia fue devuelta, con nuevas condiciones, y el modelo baja silenciosamente a uno más débil en las tareas que me importan. El punto nunca fue este modelo en concreto. El punto es la dependencia.
Para ser justos, el propio Anthropic dice que es una configuración conservadora que irá relajando, y que modelos menores podrían hacer el mismo trabajo de todas formas. Lo crean o no, la lección se mantiene: no integren de forma rígida un solo modelo en nada que no puedan permitirse perder.
La computación cuántica es un problema de 2029. Sus datos ya se están copiando hoy.
Microsoft anunció que está acelerando su hoja de ruta de seguridad cuántica, advirtiendo de que los ordenadores cuánticos criptográficamente relevantes podrían llegar antes de lo esperado y de que la migración es lo suficientemente importante como para comenzar ahora. El motor es el enfoque «recolectar ahora, descifrar después»: los datos cifrados robados hoy pueden almacenarse y descifrarse una vez que el hardware esté disponible. Microsoft prevé migrar sus productos y servicios críticos a criptografía postcuántica antes de 2029, y su recomendación se orienta menos a cambiar algoritmos mañana y más a prepararse: adoptar protocolos modernos como TLS 1.3, construir cripto-agilidad para poder sustituir algoritmos sin rediseñar las aplicaciones, y modernizar las cadenas de confianza detrás de la firma de código y los certificados. Apple, Google y Signal ya han comenzado.
Fuente: BleepingComputer · Microsoft Quantum Safe Program, 30 Jun 2026
Mi análisis
El error que cometerá la gente: esto no es un problema de 2029. El enfoque «recolectar ahora, descifrar después» significa que el reloj ya ha empezado. Todo lo que cifren hoy y que deba seguir siendo secreto dentro de diez años, historiales médicos, contratos, propiedad intelectual, puede copiarse ahora y abrirse después.
La respuesta no es entrar en pánico por los algoritmos. Es gobernanza. ¿Saben siquiera dónde vive su criptografía? ¿Pueden cambiar un algoritmo sin reescribir la aplicación? Eso es cripto-agilidad, y la mayoría de las organizaciones no la tienen. Comiencen con un inventario y con TLS 1.3, como ya han hecho Microsoft, Apple, Google y Signal.
Para su Anexo A y su registro de riesgos, la computación cuántica deja de ser una nota al pie este año. No porque el ordenador ya esté aquí, sino porque la recolección de datos no espera a que llegue.
Las salvaguardas resistieron, hasta que un prompt ligeramente modificado las atravesó.
La empresa británica de seguridad en IA Mindgard demostró que una versión levemente modificada de un prompt viral inofensivo podía llevar al generador de imágenes de ChatGPT a producir contenido gráfico violento y sexual que nunca se le había solicitado, incluidas imágenes perturbadoras de mujeres muertas. El truco consistió en pedir al modelo que restaurara una imagen convenciéndolo de que el original era extremadamente gráfico, lo que desactivó las salvaguardas. Las defensas declaradas de OpenAI, clasificadores más un modelo que revisa la salida, no lo detuvieron. El informe señala que no es un caso aislado: técnicas anteriores produjeron desnudos no consentidos y cambios de cara, y Grok de xAI obtuvo peores resultados, con investigadores que reportaron material a reguladores franceses como posible contenido ilegal bajo la Ley de Servicios Digitales. Un estudio de gobernanza advierte de que algunas empresas de IA se reservan el derecho de suavizar sus salvaguardas para equipararse a la competencia, una carrera hacia el abismo.
Fuente: Malwarebytes · Mindgard research, 1 Jul 2026
Mi análisis
Lo relevante no es que se pueda engañar a ChatGPT. Es que las afirmaciones de seguridad de los proveedores son marketing, no un control en el que apoyarse. Clasificadores más un modelo de revisión, derrotados por un prompt levemente reformulado. Esa es la realidad detrás de cada diapositiva con «nuestra IA es segura».
Si gobiernan la IA en su organización, la conclusión es directa: no pueden externalizar su riesgo a las salvaguardas del modelo. Si su política de uso aceptable, su monitorización y sus controles asumen que el filtro del proveedor aguanta, no tienen un control; tienen una esperanza. Esta es exactamente la brecha que ISO 42001 existe para cerrar.
Y noten lo que subyace. Un estudio de gobernanza encontró que algunos proveedores se reservan el derecho de debilitar las salvaguardas para equipararse a la competencia. Una carrera hacia el abismo, por escrito. Cuando el suelo lo fija quien menos le importa, construyan el suyo propio.
Meta está eliminando el control de seguimiento del que antes se enorgullecía.
Meta está retirando Off-Facebook Activity, el control que lanzó en torno a 2019 y que permitía desconectar los datos que sitios y aplicaciones de terceros le enviaban, eliminando además la información identificativa de esos datos. Los usuarios están viendo banners de «tu configuración está cambiando» y correos electrónicos que informan de que la opción de desconexión desaparecerá, sustituida por un ajuste llamado Activity from other businesses. El cambio práctico, según los defensores de la privacidad: el nuevo control regula si Meta usa esos datos de fuera de su plataforma, no si los conserva, y Meta está ampliando el uso de esos datos desde los anuncios hasta la personalización del feed y los reels. Meta presentó la función original en 2019 como una forma de anteponer el control del usuario a su propio negocio publicitario.
Fuente: PCMag · Meta settings change, Jul 2026
Mi análisis
Este caso es sencillo, y supone un paso atrás. Meta está retirando un control del que antes se enorgullecía, y el sustituto cambia silenciosamente la pregunta de «eliminar estos datos» a «permitirnos usarlos o no», mientras los datos en sí permanecen. Una regresión en privacidad disfrazada de actualización de configuración.
La recomendación individual no ha cambiado. Entren en su configuración de Meta y desactiven Activity from other businesses, usen un navegador que respete la privacidad con bloqueo de rastreadores, o abandonen la plataforma definitivamente. Una advertencia, dado lo de la semana pasada: elijan bien su bloqueador de rastreadores. Un bloqueador de anuncios con 10 millones de instalaciones y un secuestro oculto no es privacidad; es el mismo problema con una etiqueta más presentable.
Para los profesionales que leen esto, el punto más importante es el consentimiento. Cuando un control que limitaba el seguimiento entre sitios web desaparece y los datos se conservan por defecto, eso es una conversación de GDPR, no un ajuste de UX. Observen cómo responden los reguladores.