CISA obliga a parchear en 3 días: la IA acelera el ataque

La agencia de ciberseguridad de EE.UU. reduce plazos de corrección a 72 horas por el ritmo de los exploits generados con IA.

Productividad Minimalismo Digital Tecnologia Trabajo Asistido Ia

CISA obliga a parchear en 3 días: la IA acelera el ataque

La Agencia de Ciberseguridad y Seguridad de Infraestructuras de EE.UU. (CISA) ha reducido a 72 horas el plazo máximo para que las agencias federales corrijan vulnerabilidades críticas, respondiendo al ritmo imparable de los exploits generados por inteligencia artificial. La directiva, publicada el 17 de marzo de 2025, sustituye el anterior límite de 15 días y afecta a más de 100 agencias.

Por qué importa

El cambio no es administrativo: es la primera vez que una autoridad de ciberseguridad reconoce explícitamente que la IA ha comprimido el ciclo de ataque-defensa hasta hacerlo casi instantáneo. Mientras los humanos tardaban semanas en analizar un fallo y desarrollar un exploit, los modelos de IA pueden hacerlo en horas. CISA admite que los plazos anteriores ya no son seguros.

Para el ciudadano medio, esto significa que los sistemas gubernamentales que gestionan desde impuestos hasta emergencias sanitarias estarán mejor protegidos, pero también que la presión sobre los equipos de seguridad se ha multiplicado. El margen de error se reduce a tres días.

Qué dice el contexto

La directiva BOD 25-01 establece tres categorías de vulnerabilidades: las críticas (parche en 3 días), las de alta gravedad (7 días) y las de gravedad media (14 días).
CISA se basa en datos del Cyber Safety Review Board que muestran que el tiempo medio de explotación de vulnerabilidades críticas ha caído de 15 a 3 días desde 2022.
La inteligencia artificial generativa ya se usa para crear código malicioso personalizado a partir de descripciones de fallos de seguridad públicas.
La medida afecta a sistemas que gestionan infraestructuras críticas: energía, agua, transporte y datos sanitarios.
Empresas privadas que colaboran con el gobierno federal también están adoptando voluntariamente estos plazos para no quedar rezagadas.

Lo que puedes hacer

Revisa tus propios plazos de actualización. Si trabajas con software crítico, establece un ciclo de parcheo semanal para vulnerabilidades altas. No esperes al mes de actualizaciones.
Automatiza la detección de exploits. Usa herramientas que analicen en tiempo real si una vulnerabilidad conocida está siendo explotada activamente. La IA no solo ataca: también defiende.
Reduce tu superficie de ataque. Desactiva servicios y puertos innecesarios. Cada funcionalidad extra es una posible entrada para un exploit generado por IA.

En una frase

“

CISA obliga a parchear en 3 días porque la IA convierte cualquier fallo en un arma en menos de 72 horas.

CISA obliga a parchear en 3 días: la IA acelera el ataque

Por qué importa

Qué dice el contexto

La directiva BOD 25-01 establece tres categorías de vulnerabilidades: las críticas (parche en 3 días), las de alta gravedad (7 días) y las de gravedad media (14 días).

CISA se basa en datos del Cyber Safety Review Board que muestran que el tiempo medio de explotación de vulnerabilidades críticas ha caído de 15 a 3 días desde 2022.

La inteligencia artificial generativa ya se usa para crear código malicioso personalizado a partir de descripciones de fallos de seguridad públicas.

La medida afecta a sistemas que gestionan infraestructuras críticas: energía, agua, transporte y datos sanitarios.

Empresas privadas que colaboran con el gobierno federal también están adoptando voluntariamente estos plazos para no quedar rezagadas.

Lo que puedes hacer

Revisa tus propios plazos de actualización. Si trabajas con software crítico, establece un ciclo de parcheo semanal para vulnerabilidades altas. No esperes al mes de actualizaciones.

Automatiza la detección de exploits. Usa herramientas que analicen en tiempo real si una vulnerabilidad conocida está siendo explotada activamente. La IA no solo ataca: también defiende.

Reduce tu superficie de ataque. Desactiva servicios y puertos innecesarios. Cada funcionalidad extra es una posible entrada para un exploit generado por IA.