La Inteligencia Artificial (IA) es la disciplina científica que estudia y desarrolla sistemas computacionales capaces de realizar tareas que, cuando son ejecutadas por seres humanos, requieren inteligencia: razonamiento, aprendizaje, percepción, toma de decisiones y comprensión del lenguaje natural.
Alan Turing publica "On Computable Numbers", sentando las bases teóricas de la computación.
Turing propone el Test de Turing como criterio de inteligencia en "Computing Machinery and Intelligence".
Conferencia de Dartmouth: John McCarthy acuña el término "Inteligencia Artificial". Primeros programas de IA (Logic Theorist, General Problem Solver).
Primer "invierno de la IA" por limitaciones computacionales y exceso de expectativas.
Auge de los Sistemas Expertos (MYCIN, XCON). Segundo invierno de la IA en los 90.
Deep Blue (IBM) vence al campeón mundial de ajedrez Garry Kasparov.
Hinton y colaboradores popularizan el Deep Learning. Renacimiento de las redes neuronales.
AlexNet revoluciona el reconocimiento de imágenes (ImageNet). Era del Deep Learning.
AlphaGo (DeepMind) vence al campeón mundial de Go. Transformers (Google "Attention is All You Need").
Explosión de la IA Generativa: ChatGPT, GPT-4, Gemini, Llama, Claude. Era de los modelos de lenguaje de gran escala (LLM).
Artificial Narrow Intelligence. Especializada en una única tarea específica. Ejemplos: reconocimiento facial, traducción automática, detección de spam. Es la única IA existente a fecha actual.
Artificial General Intelligence. Hipotética: capacidad de realizar cualquier tarea cognitiva humana con igual competencia. No existe todavía de forma demostrada.
Artificial Superintelligence. Hipotética: superaría la inteligencia humana en todas las dimensiones. Objeto de debate ético y filosófico.
Sistemas expertos con reglas explícitas definidas por humanos. Predecible pero rígida. Ejemplo: sistemas de diagnóstico de los años 80.
Aprende patrones a partir de datos sin programación explícita de reglas. Base del paradigma actual dominante.
Responde a estímulos sin memoria. Deep Blue de IBM es el ejemplo clásico: analiza posiciones sin recordar partidas.
Usa datos históricos recientes para decisiones. Vehículos autónomos, chatbots de conversación contextual.
Hipotética: comprendería emociones, creencias e intenciones humanas. Investigación activa en curso.
Puramente hipotética: tendría conciencia propia y comprensión de su existencia. No existe evidencia científica.
El Aprendizaje Automático (Machine Learning) es una rama de la IA que permite a los sistemas aprender y mejorar automáticamente a partir de la experiencia, sin ser programados explícitamente para cada tarea. Se basa en el uso de algoritmos que identifican patrones en los datos.
El Aprendizaje Profundo es un subcampo del Machine Learning que utiliza redes neuronales artificiales con múltiples capas ocultas (redes "profundas"). Permite aprender representaciones jerárquicas de los datos de forma automática, sin ingeniería de características manual.
Las arquitecturas principales del Deep Learning incluyen:
| Algoritmo | Tipo | Descripción | Aplicaciones típicas |
|---|---|---|---|
| Regresión lineal/logística | Supervisado | Modela relaciones lineales entre variables | Predicción de precios, clasificación binaria |
| Árboles de decisión | Supervisado | Estructura en árbol de reglas de decisión | Diagnóstico, aprobación de créditos |
| Random Forest | Supervisado | Ensemble de árboles de decisión | Detección de fraude, clasificación |
| SVM | Supervisado | Encuentra hiperplano óptimo de separación | Clasificación de texto, bioinformática |
| K-Nearest Neighbors | Supervisado | Clasifica según los k vecinos más cercanos | Sistemas de recomendación |
| Naive Bayes | Supervisado | Clasificador probabilístico basado en Bayes | Filtrado de spam, análisis de sentimientos |
| K-Means | No supervisado | Agrupa datos en k clusters por centroide | Segmentación de clientes, compresión de imagen |
| DBSCAN | No supervisado | Clustering basado en densidad | Detección de anomalías, datos geoespaciales |
| PCA | No supervisado | Reducción de dimensionalidad por componentes principales | Visualización, preprocesamiento |
| Gradient Boosting (XGBoost) | Supervisado | Ensemble secuencial de árboles débiles | Competiciones ML, datos tabulares |
Una red neuronal artificial se inspira en la estructura del cerebro biológico. Está compuesta por neuronas artificiales (nodos) organizadas en capas:
Recibe los datos en bruto. Cada nodo representa una característica (pixel, token, variable).
Transformaciones no lineales sucesivas. A mayor número de capas, mayor "profundidad". Donde ocurre el aprendizaje de representaciones.
Produce el resultado final: probabilidades de clase, valor continuo, vector de embedding, etc.
El entrenamiento se realiza mediante retropropagación (backpropagation) con un optimizador (SGD, Adam) que minimiza la función de pérdida ajustando los pesos de las conexiones.
El Procesamiento del Lenguaje Natural (PLN) es la rama de la IA que permite a los ordenadores comprender, interpretar y generar lenguaje humano. Combina lingüística computacional con técnicas de ML/DL.
Publicada por Vaswani et al. (Google) en "Attention is All You Need". Revolucionó el PLN mediante el mecanismo de atención multi-cabezal (multi-head attention) que permite al modelo ponderar la relevancia de cada token respecto a los demás, sin recurrencia. Permite paralelización masiva y escala a billones de parámetros.
| Modelo | Empresa | Parámetros aprox. | Características |
|---|---|---|---|
| GPT-4 | OpenAI | ~1.8T (estimado, MoE) | Multimodal, RLHF, API amplia |
| Claude 3/4 | Anthropic | No publicado | Enfoque en seguridad y alineamiento |
| Gemini Ultra | Google DeepMind | No publicado | Nativo multimodal, integración Google |
| LLaMA 3 | Meta | 8B–70B | Open source, fine-tuning permitido |
| Mistral | Mistral AI | 7B–8x22B (MoE) | Eficiente, europeo, open-source |
| BERT | 110M–340M | Bidireccional, tareas de comprensión |
El Plan de Digitalización de las Administraciones Públicas 2021-2025 (aprobado por el Gobierno de España) establece el marco estratégico para la transformación digital del sector público, incluyendo la adopción de IA. Sus ejes principales son:
Aprobada en 2020 y actualizada, define la hoja de ruta de España para el desarrollo y adopción de la IA. Incluye inversión en I+D, formación de talento, marco regulatorio ético y sectores prioritarios (salud, industria, administración, movilidad).
Atención ciudadana 24/7. Ejemplos: RAUL (AEAT), asistentes de Seguridad Social, servicios autonómicos.
Análisis de patrones en declaraciones fiscales, solicitudes de subsidios, contratación pública.
OCR inteligente, clasificación automática de expedientes, extracción de datos de formularios.
Diagnóstico asistido por IA, análisis de imagen médica (radiología), triaje predictivo, gestión de listas de espera.
Detección automática de infracciones, análisis predictivo de accidentes, gestión del tráfico.
Herramientas de ayuda a la redacción jurídica, análisis de jurisprudencia, predicción de riesgos en libertad condicional.
El Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, es el primer marco regulatorio integral del mundo sobre inteligencia artificial. Establece un enfoque basado en riesgo para clasificar y regular los sistemas de IA.
Identificación biométrica remota en espacios públicos (con excepciones), manipulación subliminal, puntuación social gubernamental, explotación de vulnerabilidades, reconocimiento de emociones en trabajo/educación.
Infraestructuras críticas, educación, empleo, servicios esenciales, aplicaciones de ley y orden, migración, justicia. Requieren evaluación de conformidad, registro, supervisión humana.
Chatbots, sistemas de generación de contenido (deep fakes): obligación de informar al usuario de que interactúa con IA.
Filtros de spam, videojuegos con IA, recomendadores de contenido. Sin restricciones específicas más allá de la normativa general.
Calendario de aplicación: Entró en vigor el 1 de agosto de 2024. Las prohibiciones (riesgo inaceptable) aplican desde febrero 2025. Las disposiciones de alto riesgo desde agosto 2026 (AAPP desde agosto 2026). Código de práctica para GPAI desde mayo 2025.
La ciberseguridad es el conjunto de tecnologías, procesos y prácticas diseñadas para proteger redes, sistemas, programas y datos de ataques, daños o accesos no autorizados.
Solo los usuarios autorizados acceden a la información. Se garantiza mediante cifrado, control de accesos, clasificación de la información.
La información no es alterada de forma no autorizada. Se garantiza mediante hashes, firmas digitales, logs de auditoría.
Los sistemas están accesibles cuando se necesitan. Se garantiza mediante redundancia, backups, planes de contingencia, anti-DDoS.
Verificación de la identidad del emisor. Certificados digitales, PKI, autenticación multifactor.
El emisor no puede negar haber enviado un mensaje. Firma digital, timestamps, logs inmutables.
Registro de todas las acciones realizadas sobre un sistema. Logs, SIEM, auditoría continua.
| Categoría | Tipo de ataque | Descripción |
|---|---|---|
| Red | DDoS/DoS | Denegación de servicio mediante saturación de recursos o ancho de banda |
| Red | Man-in-the-Middle (MitM) | Interceptación de comunicaciones entre dos partes |
| Red | ARP Spoofing / DNS Poisoning | Falsificación de tablas ARP o respuestas DNS para redirigir tráfico |
| Red | Sniffing | Captura pasiva de paquetes en la red |
| Web | SQL Injection | Inserción de código SQL malicioso en campos de entrada |
| Web | XSS (Cross-Site Scripting) | Inyección de scripts en páginas web vistas por otros usuarios |
| Web | CSRF | Solicitudes fraudulentas en nombre de un usuario autenticado |
| Web | IDOR / Path Traversal | Acceso no autorizado a recursos por manipulación de identificadores |
| Identidad | Phishing / Spear Phishing | Engaño para obtener credenciales, datos o ejecutar malware |
| Identidad | Credential Stuffing | Uso de credenciales filtradas en otros servicios |
| Identidad | Brute Force / Dictionary Attack | Prueba sistemática de contraseñas |
| Sistema | Privilege Escalation | Elevar privilegios desde cuenta de bajo nivel a administrador |
| Sistema | Buffer Overflow | Desbordamiento de buffer para ejecutar código arbitrario |
| Sistema | Zero-Day | Explotación de vulnerabilidades desconocidas por el fabricante |
| Físico | Insider Threat | Amenaza por empleados o colaboradores con acceso legítimo |
| Físico | Social Engineering | Manipulación psicológica para obtener información o acceso |
| Supply Chain | Ataque a cadena de suministro | Compromiso de software o hardware de terceros (SolarWinds) |
| APT | Advanced Persistent Threat | Ataque sofisticado y prolongado, generalmente patrocinado por estados |
Se replica insertándose en archivos legítimos. Requiere acción del usuario para propagarse. Daña o altera ficheros.
Se propaga automáticamente por la red sin acción del usuario. Consume recursos. Ejemplo: WannaCry usó EternalBlue.
Se disfraza de software legítimo. Crea puertas traseras, roba información. No se replica por sí mismo.
Cifra archivos del sistema y pide rescate. Mayor amenaza actual para empresas y AAPP. Ejemplo: WannaCry, REvil, LockBit.
Monitoriza la actividad del usuario sin su conocimiento. Captura pulsaciones, pantallas, credenciales.
Muestra publicidad no deseada o falsas alertas de seguridad para inducir a pagar por software inútil.
Red de máquinas comprometidas (zombies) controladas remotamente. Usadas para DDoS, spam masivo, minería de criptomonedas.
Oculta su presencia y la de otro malware a nivel de sistema operativo o kernel. Muy difícil de detectar.
Opera en memoria RAM sin escribir en disco. Usa herramientas legítimas del SO (PowerShell, WMI). Evade antivirus.
El Esquema Nacional de Seguridad (ENS), regulado por el Real Decreto 311/2022, de 3 de mayo (que deroga el RD 3/2010), establece la política de seguridad en la utilización de medios electrónicos en el sector público español. De aplicación obligatoria a todas las AAPP.
| Categoría | Impacto potencial | Medidas requeridas |
|---|---|---|
| ALTA | Grave o muy grave perjuicio a organismos/ciudadanos; puede afectar a seguridad nacional | Nivel de medidas más estricto. Auditoría obligatoria anual. |
| MEDIA | Perjuicio considerable a organismos o ciudadanos | Medidas de nivel medio. Auditoría bienal. |
| BÁSICA | Perjuicio limitado | Medidas básicas. Autodeclaración de conformidad posible. |
La categoría se determina evaluando las cinco dimensiones de seguridad (DICAT): Disponibilidad, Integridad, Confidencialidad, Autenticidad y Trazabilidad, para cada uno de los activos (servicios e información).
El Reglamento General de Protección de Datos (RGPD), aplicable desde mayo de 2018, es el principal marco normativo europeo de protección de datos personales. En España se complementa con la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
Obtener confirmación de si se tratan sus datos y acceso a los mismos.
Corrección de datos inexactos o incompletos.
"Derecho al olvido": eliminación de datos personales en determinadas circunstancias.
Restringir el tratamiento de los datos en ciertos casos.
Recibir los datos en formato estructurado y transmitirlos a otro responsable.
Oponerse al tratamiento, especialmente para marketing directo.
No ser objeto de decisiones basadas únicamente en tratamiento automatizado con efectos jurídicos o significativos.
La Ley Orgánica 3/2018 adapta el RGPD al ordenamiento español e introduce el Título X sobre Derechos Digitales, que incluye:
La Directiva (UE) 2022/2555 (NIS2), que deroga la Directiva NIS de 2016, establece medidas para un elevado nivel común de ciberseguridad en toda la Unión Europea. Su transposición en España debería haberse completado en octubre de 2024.
| Normativa | Ámbito | Descripción |
|---|---|---|
| Ley 8/2011 PIC | España | Protección de Infraestructuras Críticas. Crea el Catálogo Nacional de IC y el CNPIC. |
| Ley 36/2015 Seg. Nacional | España | Marco estratégico de la Seguridad Nacional, incluida la ciberseguridad como componente esencial. |
| Reglamento DORA (2022/2554) | UE | Resiliencia operativa digital para el sector financiero. Aplicable desde enero 2025. |
| Cyber Resilience Act (2024) | UE | Requisitos de ciberseguridad para productos con elementos digitales (IoT, software). |
| Estrategia Nacional de Ciberseguridad 2023 | España | Marco estratégico español: seis objetivos, diecisiete líneas de acción. |
Centro Criptológico Nacional - CERT Gubernamental Nacional. Coordina la respuesta a incidentes en el sector público. Gestiona el CCN-CERT ARS y el sistema SAT (Servicio de Alerta Temprana). Bajo el CNI.
Instituto Nacional de Ciberseguridad de España. CERT de referencia para ciudadanos y empresas privadas. Gestiona el teléfono 017 de ayuda en ciberseguridad. Con sede en León.
Mando Conjunto del Ciberespacio (Fuerzas Armadas). CERT de Defensa para sistemas militares y de las FAS.
Oficina de Coordinación Cibernética en el Centro Nacional para la Protección de las Infraestructuras Críticas. Enlace con sectores estratégicos.
Agencia Española de Protección de Datos. Autoridad de control independiente para el RGPD. Potestad sancionadora.
Agencia Española de Supervisión de IA. Autoridad competente para el AI Act en España. Sede en A Coruña. Creada por la LOPDGDD reformada.
Agencia de la Unión Europea para la Ciberseguridad. Asesora a la Comisión, publica el ENISA Threat Landscape anual. Sede en Atenas y Heraclión.
Centro Europeo de Cibercrimen (EC3). Apoyo a investigaciones de ciberdelitos entre Estados miembros.
Forum of Incident Response and Security Teams. Red global de CERTs/CSIRTs de intercambio de información sobre amenazas.
Marco de conocimiento sobre tácticas, técnicas y procedimientos (TTP) de actores de amenazas. Estándar de facto en la industria.
| Marco/Herramienta | Tipo | Descripción |
|---|---|---|
| ISO/IEC 27001 | Norma | Sistema de Gestión de Seguridad de la Información (SGSI). Certificable. Base compatible con ENS. |
| ISO/IEC 27002 | Norma | Controles de seguridad de la información (114 controles en 14 dominios). Actualizada en 2022 (93 controles). |
| NIST CSF 2.0 | Marco | Cybersecurity Framework del NIST (EE.UU.). Funciones: Gobernar, Identificar, Proteger, Detectar, Responder, Recuperar. |
| MITRE ATT&CK | Marco | Base de conocimiento de TTP de atacantes, organizada en tácticas y técnicas. |
| OWASP Top 10 | Guía | Diez riesgos de seguridad más críticos en aplicaciones web. Actualizado en 2021. |
| MAGERIT v3 | Metodología | Metodología de Análisis y Gestión de Riesgos de las AAPP españolas. Publicada por el MAP. |
| PILAR | Herramienta | Herramienta del CCN para análisis de riesgos según MAGERIT y alineada con el ENS. |
| SIEM | Tecnología | Security Information and Event Management. Correlación centralizada de logs y eventos de seguridad. |
| SOC | Capacidad | Security Operations Center. Centro de operaciones de seguridad, monitorización 24/7. |
La criptografía es la ciencia que estudia técnicas para asegurar la comunicación en presencia de adversarios. Proporciona confidencialidad, integridad, autenticación y no repudio mediante transformaciones matemáticas de los datos.
Transformación de longitud variable a fija. Propiedades: determinista, eficiente, unidireccional, resistencia a colisiones, efecto avalancha.
Datos electrónicos usados para firmar. Menor nivel de seguridad y valor jurídico.
Vinculada al firmante, identifica de forma única, creada con datos de creación de firma bajo control exclusivo del firmante, detecta cambios posteriores.
Firma avanzada creada mediante dispositivo cualificado (QSCDs, como DNIe) y basada en certificado cualificado. Equivale jurídicamente a la firma manuscrita en toda la UE.
| Protocolo | Capa OSI | Función | Estado |
|---|---|---|---|
| TLS 1.3 | Transporte | Cifrado de comunicaciones web (HTTPS). Versión actual más segura. | ✅ Recomendado |
| SSL / TLS 1.0-1.1 | Transporte | Versiones antiguas de TLS. | ❌ Obsoleto |
| IPsec | Red | VPN en capa de red. AH (autenticación) + ESP (cifrado). IKEv2 para intercambio de claves. | ✅ Activo |
| SSH | Aplicación | Acceso remoto seguro, túneles, transferencia de ficheros (SCP/SFTP). | ✅ Activo |
| DNSSEC | Aplicación | Firma digital de respuestas DNS para prevenir DNS poisoning. | ✅ Activo |
| HTTPS | Aplicación | HTTP sobre TLS. Obligatorio en AAPP (ENS, HSTS). | ✅ Obligatorio AAPP |
| S/MIME y PGP | Aplicación | Cifrado y firma de correo electrónico. | ✅ Activo |
MAGERIT v3 (Metodología de Análisis y GEstión de Riesgos de los sistemas de Información de las AAPP) es la metodología oficial española, publicada por el Ministerio de Hacienda y Administraciones Públicas. Está alineada con el ENS y se implementa con la herramienta PILAR.
Verifica el cumplimiento de una norma (ENS, ISO 27001). Obligatoria bienalmente en ENS categoría Media y anualmente en Alta.
Ataque simulado controlado para identificar vulnerabilidades explotables. Black/White/Grey box.
Escaneo pasivo de sistemas en busca de vulnerabilidades conocidas (CVE). Herramientas: Nessus, OpenVAS.
Revisión manual o automatizada del código en busca de vulnerabilidades (SAST/DAST). OWASP ASVS como referencia.
Equipo rojo ataca (realismo máximo), equipo azul defiende. Purple Team combina ambos para aprendizaje mutuo.
Evalúa la concienciación de los empleados ante ataques de ingeniería social.
La IA transforma la ciberseguridad en dos sentidos: como herramienta defensiva (detección de amenazas, respuesta automatizada) y como vector de ataque (malware inteligente, deepfakes, ataques automatizados). Esta dualidad hace que la IA sea a la vez una de las principales oportunidades y riesgos para la ciberseguridad.
User and Entity Behavior Analytics. ML aprende patrones de comportamiento normal y detecta desviaciones (insider threats, cuentas comprometidas).
Análisis heurístico y por comportamiento basado en ML. Detecta malware desconocido (zero-day) sin necesidad de firmas. Sandbox inteligente.
Análisis de tráfico de red con DL para identificar ataques en tiempo real. Reducción de falsos positivos respecto a sistemas basados en reglas.
Clasificación de URLs y correos mediante NLP y ML. Detección de webs fraudulentas, lookalike domains, BEC (Business Email Compromise).
Análisis en tiempo real de transacciones financieras, declaraciones fiscales, solicitudes de prestaciones. Modelos de scoring de riesgo.
Security Orchestration, Automation and Response. Automatización de playbooks de respuesta a incidentes mediante IA y reglas.
Análisis masivo de fuentes OSINT, dark web, feeds de IOC con NLP para identificar amenazas emergentes y grupos APT.
Herramientas como PentestGPT o Copilot for Security asisten a analistas en auditorías, generando vectores de ataque y análisis de código.
Los sistemas de IA son activos que deben protegerse según el ENS y el RGPD, y que además introducen nuevos vectores de riesgo:
| Amenaza | Descripción | Contramedida |
|---|---|---|
| Data poisoning | Contaminación de datos de entrenamiento | Validación rigurosa, datos de confianza, detección de anomalías en entrenamiento |
| Model evasion | Ejemplos adversariales evitan detección | Entrenamiento adversarial, modelos robustos, ensemble |
| Model extraction | Robo del modelo vía API | Rate limiting, watermarking de modelos, monitorización de consultas |
| Membership inference | Determinar si un dato formó parte del entrenamiento | Privacidad diferencial, regularización, limitar información devuelta |
| Prompt injection | Manipulación de instrucciones en LLMs | Filtrado de inputs, sandboxing, privilegios mínimos en agentes |
| Sesgo algorítmico | Decisiones discriminatorias por datos sesgados | Auditoría de equidad, datos representativos, XAI |
La Comisión Europea, a través de sus Directrices éticas para una IA fiable (2019), establece siete principios:
La IA Explicable (XAI, eXplainable AI) busca que las decisiones de sistemas de IA sean comprensibles para humanos. Es esencial para el RGPD (derecho a explicación en decisiones automatizadas) y para el AI Act (sistemas de alto riesgo).
Los sesgos algorítmicos ocurren cuando los sistemas de IA producen resultados sistemáticamente injustos para ciertos grupos. Sus fuentes son:
La convergencia de IA y ciberseguridad configura el panorama tecnológico de las AAPP del siglo XXI. El TAI debe comprender:
| 📌 Referencias normativas clave para el examen TAI | |
|---|---|
| Reglamento (UE) 2024/1689 | AI Act — Reglamento europeo de inteligencia artificial |
| Real Decreto 311/2022 | Esquema Nacional de Seguridad (ENS) |
| Reglamento (UE) 2016/679 | RGPD — Reglamento General de Protección de Datos |
| Ley Orgánica 3/2018 | LOPDGDD — Protección de datos y derechos digitales |
| Directiva (UE) 2022/2555 | NIS2 — Ciberseguridad de redes y sistemas de información |
| Ley 8/2011 | Protección de Infraestructuras Críticas (PIC) |
| Reglamento (UE) 910/2014 | eIDAS — Identidad electrónica y servicios de confianza |
| Reglamento (UE) 2022/2554 | DORA — Resiliencia operativa digital (sector financiero) |
| Estrategia Nacional de IA (ENIA) | Hoja de ruta española para el desarrollo de la IA |
| Estrategia Nacional de Ciberseguridad 2023 | Marco estratégico español de ciberseguridad |