La agencia federal encargada de proteger la infraestructura crítica de Estados Unidos contra ciberataques ha perdido aproximadamente un tercio de su fuerza laboral desde principios de 2025. Y va a empeorar.
La Agencia de Ciberseguridad e Infraestructura de Seguridad, más conocida como CISA, enfrenta una propuesta de recorte presupuestario de 707 millones de dólares para el Año Fiscal 2027 que podría eliminar otros 766 puestos a tiempo completo. Esto ocurre en el momento exacto en que las amenazas cibernéticas impulsadas por IA están evolucionando más rápido de lo que la mayoría de las organizaciones pueden parchear sus sistemas.
La amenaza de la IA que cambió el cálculo
El 7 de abril de 2026, Anthropic lanzó Claude Mythos Preview, un modelo de IA capaz de identificar miles de vulnerabilidades de día cero y ejecutar ataques autónomos.
Las vulnerabilidades de día cero son fallas de seguridad que los fabricantes de software aún no conocen. Son el tipo de explotación más peligroso, ya que no hay parche disponible cuando los atacantes actúan. Históricamente, encontrarlas requería hackers de élite con gran experiencia que dedicaban semanas o meses a sondear sistemas. Claude Mythos Preview comprimió drásticamente ese plazo.
El director interino de la CISA, Nick Andersen, ha sido descrito como “en la mesa, pero no en el juego” durante las primeras discusiones en la Casa Blanca sobre la respuesta a la amenaza de la IA. Es una forma educada de decir que la entrada de la agencia se escucha, pero no está guiando las decisiones.
Empeorando las cosas, CISA no ha reemplazado a su jefe de inteligencia artificial desde que ese puesto quedó vacante en 2025. Así que la agencia encargada de defender la infraestructura digital de la nación no tiene un líder senior dedicado a comprender la tecnología que está redefiniendo el panorama de amenazas.
Las pérdidas de personal coinciden con amenazas crecientes
La reducción de personal de la CISA de aproximadamente un tercio se logró mediante una combinación de rescisiones planificadas y acciones presupuestarias.
CISA administra el programa de Vulnerabilidades Conocidas y Explotadas, o KEV, que mantiene un catálogo de fallos de seguridad activamente explotados y establece plazos para que las agencias federales los corrijan. Las discusiones actuales exploran la posibilidad de reducir esos plazos de parcheo de semanas a tan solo tres días.
Exfuncionarios han expresado públicamente su preocupación de que el giro estratégico alejándose del rol tradicional de la CISA podría socavar la gestión de vulnerabilidades en un momento en que las capacidades impulsadas por IA hacen que la respuesta rápida sea más importante que nunca.