Ciberataques autónomos por IA exigen respuesta jurídica urgente

La emergencia de agentes autónomos de inteligencia artificial (IA) con capacidad para ejecutar ciberataques sin intervención humana directa plantea desafíos inéditos para los marcos jurídicos de responsabilidad, imputabilidad y trazabilidad digital. Estudios recientes confirman que estos sistemas, entrenados sobre modelos de lenguaje de gran escala (LLMs), pueden identificar vulnerabilidades, ejecutar código malicioso y actuar de forma adaptativa, sin dejar huella atribuible.

Uno de los análisis más completos sobre esta amenaza es el estudio The Dark Side of LLMs: Agent-based Attacks for Complete Computer Takeover (2025), publicado en arXiv, que describe cómo agentes autónomos pueden escalar privilegios, manipular protocolos de autenticación e incluso comprometer infraestructuras críticas. Paralelamente, el informe Threats in LLM-Powered AI Agent Workflows advierte sobre ataques interagente, explotación de mensajes y manipulación de funciones latentes.

Desde la perspectiva jurídica europea, la Directiva (UE) 2022/2555 (NIS 2) obliga a operadores de servicios esenciales a implementar mecanismos de detección y respuesta ante incidentes de ciberseguridad. Sin embargo, esta norma no contempla de forma específica los ataques originados en sistemas autónomos no identificables, lo que genera un vacío en términos de atribución legal y responsabilidad penal.

En el ámbito del derecho penal, la aparición de estos agentes reabre el debate sobre la imputabilidad sin sujeto activo humano y el principio de culpabilidad. La doctrina comienza a explorar figuras como la responsabilidad objetiva reforzada, o el uso de presunciones jurídicas inversas, que trasladen la carga probatoria al desarrollador, proveedor o integrador del sistema inteligente.

Asimismo, se espera que futuras versiones de la Regulación de Inteligencia Artificial de la UE (AI Act) y de la propuesta de Directiva sobre responsabilidad por sistemas de IA, retirada en febrero de este año, incorporen cláusulas específicas para abordar los daños provocados por sistemas autónomos sin trazabilidad verificable, así como garantías de explainability algorítmica.

La defensa jurídica eficaz ante agentes autónomos de IA generadores de alto riesgo en el sentido del Reglamento de IA de la UE exige una convergencia normativa y un adecuado equilibrio de la aplicación de los principios de transparencia y proporcionalidad en materia de privacidad, ciberseguridad y trazabilidad técnica, en el marco de los nuevos modelos de responsabilidad civil adaptados al entorno algorítmico.