Hackers usaron IA para construir el primer exploit de día cero confirmado; Trump reversa su posición y abraza la regulación de IA por razones de seguridad nacional.
La conferencia anual de Google, programada para el 19 y 20 de mayo en Mountain View, promete el modelo multimodal unificado más ambicioso de la compañía y la primera generación de gafas Android XR.
Google I/O 2026 abre sus puertas este martes 19 de mayo en el Shoreline Amphitheatre de Mountain View con el keynote a las 10 a.m. PT (12 m. hora Costa Rica). La expectativa central gira en torno a Gemini Omni, un nuevo modelo multimodal que unificaría texto, imagen y video en un único pipeline de inferencia, compitiendo directamente con GPT-5.5-high de OpenAI. La empresa también tiene previsto presentar Gemini Spark, una versión ligera para dispositivos de baja potencia. El Android Show: I/O Edition del 13 de mayo ya adelantó las líneas maestras: Gemini Intelligence como sistema operativo de facto de Android 17, compatibilidad de Quick Share con AirDrop de Apple, emoji Noto 3D y el Googlebook, una nueva categoría de laptops con el chip Tensor G5 en colaboración con Acer, Asus, Dell, HP y Lenovo. Las gafas Android XR —el proyecto de realidad extendida de Google— se esperan como el producto estrella de la segunda jornada. El ángulo contrario: la consultora Bernstein Research publicó esta semana un análisis en el que señala que Google lleva cuatro I/O consecutivos prometiendo una revolución en IA asistente que no ha cuajado en retención de usuarios; la cuota de búsqueda de Google cayó del 94.5% al 91.3% en dieciocho meses. En Costa Rica, las empresas de tecnología que operan en zonas francas —como Intel Belén, con más de 3.500 empleados— seguirán de cerca el I/O para calibrar el ecosistema de herramientas de desarrollo que adoptarán en 2026-2027.
El nuevo modelo personaliza respuestas con historial de conversaciones, archivos y correo de Gmail de los usuarios Plus y Pro, y hereda el financiero como caso de uso prioritario.
OpenAI lanzó GPT-5.5 Instant el 5 de mayo y lo instaló como el nuevo modelo predeterminado para todos los usuarios de ChatGPT, reemplazando a GPT-5.3 Instant. El avance más citado en la documentación técnica es una reducción del 52.5% en afirmaciones alucinadas en dominios de alto riesgo —medicina, derecho y finanzas— frente al modelo anterior, según las métricas internas de OpenAI publicadas en TechCrunch. El modelo también incorpora personalización contextual que aprovecha chats anteriores, archivos subidos y datos conectados de Gmail para usuarios Plus y Pro. En la misma semana, OpenAI anunció dos funciones adicionales: ChatGPT Personal Finance —conexión segura con cuentas bancarias y panel de análisis financiero, disponible para usuarios Pro en Estados Unidos— y la expansión de Codex a la app móvil de iOS y Android en todos los planes, incluido el gratuito. ChatGPT Images 2.0, el nuevo motor de generación de imágenes, también quedó disponible en todos los planes. La acumulación de anuncios ocurre dos semanas antes del Google I/O, lo que algunos analistas del sector interpretan como una estrategia deliberada para saturar el ciclo de noticias antes de que Google tome el foco. Para las empresas costarricenses que utilizan la API de OpenAI en sus flujos de trabajo, la transición a GPT-5.5 Instant ocurre de forma automática sin cambios en los contratos vigentes.
El Threat Intelligence Group de Google identificó el código malicioso por un rasgo revelador: estaba escrito en «formato Python de libro de texto», característico de los LLMs.
El Threat Intelligence Group (GTIG) de Google reportó el 11 de mayo que un actor malicioso utilizó un modelo de lenguaje de gran escala para descubrir y explotar una vulnerabilidad de día cero no documentada en una herramienta de administración web de código abierto ampliamente utilizada, creando un bypass para la autenticación de dos factores. El código del exploit contenía puntuaciones CVSS alucinadas y estaba escrito en un estilo «Python de libro de texto» altamente característico de los datos de entrenamiento de LLMs, lo que permitió al equipo de Google identificarlo como obra de IA. Según CNBC, los atacantes planeaban un evento de explotación masiva antes de que Google frustrara el intento. Bloomberg señala que es la primera vez que se documenta públicamente un exploit de día cero construido por IA en una operación real contra infraestructura crítica. La firma no identificó a los atacantes, pero precisó que tienen motivaciones financieras. El hallazgo anticipa un cambio de paradigma en ciberseguridad: hasta ahora, la IA se utilizaba para acelerar la escritura de código malicioso conocido, no para descubrir vulnerabilidades originales. Para Costa Rica, el MICITT y el CSIRT nacional todavía no han emitido una guía específica sobre IA adversarial, aunque el sistema bancario supervisado por SUGEF ya solicitó a sus proveedores de TI que reporten cualquier incidente vinculado a IA generativa.
La administración Trump, que en enero publicó un marco de política nacional priorizando la competitividad de IA sobre cualquier restricción, revirtió su postura en mayo y firmó una orden ejecutiva que invoca la Ley de Producción para la Defensa (Defense Production Act). El decreto obliga a las empresas que entrenen los modelos de IA más avanzados a compartir resultados de pruebas de seguridad con el gobierno federal antes de desplegarlos públicamente. El cambio fue impulsado por reportes de agencias de inteligencia sobre el modelo «Mythos» de Anthropic, descrito como capaz de identificar y explotar vulnerabilidades en sistemas de ciberseguridad con autonomía inédita. Washington Post reporta que la CIA y el NSA compiten internamente por las atribuciones regulatorias sobre IA avanzada, mientras que Fortune describe la tensión entre el Departamento de Comercio —que quiere supervisión técnica— y el Departamento de Defensa, que prefiere autorización caso por caso. El giro de Trump incomoda a los laboratorios de IA: Anthropic, OpenAI y Google han invertido en lobbying a favor de autorregulación, no en mandatos federales. Para las empresas costarricenses que usan plataformas de IA como servicio (SaaS), el impacto directo es marginal: las obligaciones aplican a los desarrolladores de modelos, no a los usuarios finales. Pero el precedente regulatorio podría acelerar el proceso del AI Act europeo, que entra en vigor el 2 de agosto y sí tiene alcance extraterritorial cuando los usuarios finales están en la UE.
Connecticut aprobó el 1 de mayo la SB5, considerada la ley de inteligencia artificial más completa promulgada hasta ahora por un estado de EE.UU. La norma incluye obligaciones laborales relacionadas con IA, reglas de seguridad para chatbots, etiquetado de contenido sintético y disposiciones antidiscriminación. El País de los Nutmeg se convierte así en el primer estado en tener un marco legal comprehensivo de IA después de que el Congreso federal no ha logrado avanzar en ningún proyecto de ley. La proliferación es la cara B del avance: Fortune reporta que EE.UU. acumula más de 1.200 proyectos de ley de IA en legislaturas estatales, lo que genera un mosaico regulatorio que complica la operación de empresas en múltiples estados. Expertos de DLA Piper advierten que la SB5 de Connecticut podría convertirse en el equivalente estatal de la Proposición 65 de California: una norma que define el estándar de facto para todo el país, aunque no sea vinculante fuera del estado.
Elon Musk lanzó Grok Build, un agente de programación en beta para suscriptores de SuperGrok Heavy ($300/mes), que puede planificar proyectos, escribir y editar archivos, ejecutar comandos de shell y construir aplicaciones desde prompts en lenguaje natural. Compite directamente con Claude Code de Anthropic y Codex CLI de OpenAI en el segmento de mayor crecimiento del mercado de IA en 2026. En paralelo, Bloomberg reportó que xAI está reclutando a Morgan Stanley, Apollo Global Management y otros actores de Wall Street para probar Grok internamente, en un movimiento que analistas vinculan a la planificación de una posible OPI de SpaceX en 2027. La combinación de un agente de código profesional y relaciones con el sistema financiero posiciona a xAI como el tercer competidor real en el mercado empresarial de IA, detrás de Anthropic y OpenAI. Para los desarrolladores costarricenses, Grok Build aún no está disponible en la región en su versión beta.
«El que controla el agente de código controla el pipeline de desarrollo», dijo un analista de Bernstein Research citado por Bloomberg al evaluar el mercado de agentes de IA en 2026.
El sistema orquesta más de 100 agentes especializados de IA y superó en 5 puntos al segundo clasificado en el benchmark de ciberseguridad CyberGym.
Microsoft reveló el 12 de mayo que su nuevo sistema de seguridad agentico MDASH (Microsoft Security Multi-model Agentic Scanning Harness) descubrió 16 nuevas vulnerabilidades en la pila de red y autenticación de Windows —incluidas cuatro fallas críticas de ejecución remota de código (RCE)— antes de que cualquier actor malicioso pudiera explotarlas. MDASH orquesta más de 100 agentes de IA especializados y obtuvo un puntaje de 88.45% en el benchmark CyberGym, aproximadamente 5 puntos por encima del sistema siguiente en el ranking. El hallazgo llega en el mismo ciclo en que Google detectó el primer exploit de día cero construido con IA, lo que convierte la semana del 11-17 de mayo en el punto de inflexión más significativo del año en la intersección de IA y ciberseguridad. Microsoft parcheó las cuatro fallas críticas en el Patch Tuesday de mayo, junto con otras 116 vulnerabilidades. La empresa presentó MDASH como un modelo para la «defensa a velocidad de IA»: en lugar de esperar a que se publiquen exploits, el sistema busca activamente las fallas en el código de producción. Para las organizaciones costarricenses que utilizan infraestructura Windows, el Patch Tuesday de mayo es de aplicación urgente.