Nueva herramienta de EE. UU. identificará las amenazas prioritarias a la infraestructura financiera y gubernamental.

La Casa Blanca lanzó GOLD EAGLE, un sistema centralizado para buscar y corregir vulnerabilidades mediante inteligencia artificial. La nueva tecnología puede encontrar errores más rápido que las herramientas anteriores, pero ahora las autoridades y los desarrolladores deben resolver otro problema: ¿podrán los especialistas verificar el flujo de hallazgos y publicar las correcciones antes de que los atacantes exploten las vulnerabilidades?
GOLD EAGLE reunirá a agencias federales, desarrolladores de software de código abierto y empresas que gestionan infraestructuras críticas. Los participantes enviarán al sistema información sobre los problemas detectados, verificarán conjuntamente los resultados, evaluarán la amenaza y fijarán el orden de prioridad para las correcciones.
En el proyecto participan la Casa Blanca, el Departamento del Tesoro de EE. UU., el Departamento de Seguridad Nacional, la Agencia de Seguridad Cibernética y de Infraestructura y el Departamento de Defensa. La iniciativa surgió después del decreto de Donald Trump del 2 de junio de 2026, dedicado al desarrollo y la protección de sistemas avanzados de inteligencia artificial.
La Casa Blanca califica a GOLD EAGLE como un centro coordinador único. El sistema debe reducir las comprobaciones repetidas que distintas organizaciones realizan de forma independiente, confirmar la posibilidad de explotación de los errores hallados y enviar a los desarrolladores información sobre los problemas más peligrosos. Tendrán prioridad las vulnerabilidades en redes gubernamentales, el sistema financiero y la infraestructura crítica.
La aparición de GOLD EAGLE coincidió con el rápido aumento de las capacidades de la inteligencia artificial para buscar errores. Uno de los ejemplos más destacados fue el modelo cerrado Mythos de la empresa Anthropic, creado para el análisis de código. Se restringió el acceso por temor a que el modelo pudiera acelerar la búsqueda de vulnerabilidades críticas no solo para los defensores, sino también para agrupaciones estatales de hackers. Más tarde, las autoridades estadounidenses suavizaron las restricciones después de que se adoptaran medidas de protección adicionales.
La inteligencia artificial cambia no solo la velocidad de búsqueda. Defensores y atacantes pueden usar herramientas similares para analizar programas, automatizar operaciones y ajustar sus acciones durante una campaña. Por ello, una evaluación de la peligrosidad técnica queda insuficiente. Los especialistas deben determinar quién realiza las acciones sospechosas, con qué propósito y si se puede confiar en la actividad de un sistema automatizado.
La principal limitación de GOLD EAGLE puede no ser la búsqueda, sino el procesamiento de los hallazgos. Incluso después de que los especialistas detecten un posible error, deben confirmar su existencia, comprobar la posibilidad de explotación, contactar con el desarrollador, preparar la corrección, probarla y acordar su publicación. La inteligencia artificial puede aumentar de forma abrupta el número de avisos, mientras que los equipos de desarrollo y de seguridad no pueden ampliar sus capacidades con la misma rapidez. Esa brecha amenaza con crear una cola de vulnerabilidades que ya se conocen pero aún no se han solucionado. Este riesgo se considera una de las principales consecuencias de la implantación masiva de modelos para el análisis de código; por eso los exploits para vulnerabilidades recientes ahora aparecen mucho más rápido.
GOLD EAGLE se apoya en las normas vigentes de divulgación coordinada de vulnerabilidades. Al mismo tiempo que se lanzó la iniciativa, la Agencia de Seguridad Cibernética y de Infraestructura, la Agencia de Seguridad Nacional de EE. UU., el centro japonés JPCERT/CC y los centros nacionales de ciberseguridad del Reino Unido y de los Países Bajos publicaron una guía conjunta para desarrolladores y proveedores de servicios de red. El documento explica cómo recibir avisos de investigadores independientes, verificar los hallazgos, publicar correcciones y asignar números CVE a las vulnerabilidades.
Los autores recomiendan crear un canal independiente para este tipo de comunicaciones y confirmar la recepción del aviso en el plazo de dos o tres días hábiles. Se aconseja a los desarrolladores informar regularmente al autor del hallazgo sobre el progreso de la revisión y, ante una amenaza grave, posponer el lanzamiento de nuevas funciones para priorizar la corrección urgente. Es preferible entregar la actualización lista al investigador que descubrió el problema para que confirme que el error se ha solucionado realmente.
La guía también propone proteger a los investigadores de buena fe frente a acciones legales, no imponer una prohibición absoluta de divulgación y no ocultar los errores corregidos en las notas de las actualizaciones. La notificación pública debe incluir las versiones afectadas, las consecuencias, los indicadores de explotación, las medidas de mitigación temporal y la información sobre la corrección disponible.
Las organizaciones sin equipos propios podrán recurrir a intermediarios, incluidos los centros nacionales de respuesta a incidentes informáticos. Estas entidades pueden recibir el aviso, verificar el hallazgo, asignar un número CVE y coordinar la publicación entre varios desarrolladores. Este mecanismo resulta especialmente necesario en casos complejos que afectan a equipos industriales, dispositivos médicos, el internet de las cosas y componentes de software ampliamente utilizados.
GOLD EAGLE ya recibe y clasifica por nivel de riesgo la información procedente de distintos sectores. La Casa Blanca aún no ha nombrado a las empresas y a los desarrolladores de modelos que participan en el proyecto, ni ha explicado quién tomará las decisiones finales sobre la prioridad de los hallazgos. Tampoco está claro qué parte del trabajo se delegará en la inteligencia artificial y qué parte seguirán realizando los especialistas. La respuesta a esas preguntas determinará si GOLD EAGLE será un acelerador de correcciones o si solo aumentará la cola de problemas que los defensores no pueden gestionar a tiempo.