El riesgo estratégico que Europa todavía se niega a afrontar en la IA para ciberseguridad

Telefónica Tech ha anunciado una alianza con OpenAI para capacidades avanzadas de IA aplicada a ciberseguridad. Para Alias Robotics, este episodio no es solo una noticia tecnológica: es el síntoma de una contradicción más profunda en Europa.

Esta semana Telefónica Tech anunció públicamente su incorporación al programa Trusted Access for Cyber (TAC) de OpenAI para integrar capacidades avanzadas de IA en ciberseguridad. La noticia fue presentada como un paso estratégico para reforzar el liderazgo tecnológico europeo y mantenerse “a la vanguardia” de la inteligencia artificial aplicada a ciberseguridad. Esta conversación merece ir mucho más allá del entusiasmo inicial.

Alias Robotics no habla desde fuera

Este movimiento nos interpela directamente. No como espectadores, sino como una empresa europea que lleva años construyendo precisamente esa capacidad. Somos una empresa española especializada en inteligencia artificial aplicada a ciberseguridad. Participamos en ejercicios NATO Locked Shields. Formamos parte del programa DIANA de la OTAN. Trabajamos sobre entornos críticos reales. Y llevamos años desarrollando precisamente las capacidades que ahora parecen buscarse fuera de Europa:

• IA especializada en ciberseguridad
• despliegue soberano
• operación on-premise
• control operacional
• alineamiento con GDPR, NIS2 y AI Act
• capacidades ofensivas y defensivas avanzadas
• operación sobre entornos IT, OT y robótica

Además, Telefónica lleva años formando parte de nuestro ecosistema como inversor y conocedor directo de nuestras capacidades tecnológicas. Y aun así, la apuesta estratégica vuelve a dirigirse hacia fuera.

El verdadero problema es la dependencia

OpenAI tiene capacidades extraordinarias.
La innovación estadounidense ha acelerado el avance de toda la industria.
Y colaborar internacionalmente no debería ser un problema.

El problema aparece cuando Europa convierte esa colaboración en dependencia estructural incluso en áreas críticas. Porque aquí es donde el caso concreto deja de ser una simple decisión tecnológica para convertirse en una contradicción estratégica.

Europa lleva años hablando de:

• soberanía digital
• autonomía estratégica
• privacidad
• resiliencia
• independencia tecnológica
• IA confiable

Pero cuando llega el momento de tomar decisiones reales sobre capacidades críticas, demasiadas veces la respuesta sigue siendo exactamente la misma:
externalizar. Externalizar infraestructura. Externalizar modelos. Externalizar capacidades críticas. Externalizar control.

Incluso cuando existen alternativas europeas.
Incluso cuando existen proveedores nacionales.
Incluso cuando hablamos de ciberseguridad.
Incluso cuando hablamos de infraestructuras críticas.
Incluso cuando hablamos de capacidades que afectan directamente a soberanía tecnológica europea.

Especialmente en España, donde llevamos años hablando de autonomía estratégica, reindustrialización tecnológica y soberanía digital mientras seguimos empujando capacidades críticas hacia infraestructuras y proveedores extranjeros incluso cuando existen alternativas desarrolladas dentro del propio ecosistema nacional.

Las consecuencias

Porque cuando una de las compañías más estratégicas de Europa decide que las capacidades avanzadas de IA para ciberseguridad deben depender de infraestructuras, modelos y jurisdicciones externas, el mensaje que recibe el mercado europeo es devastador:

Europa habla de soberanía. Pero sigue confiando fuera incluso para protegerse a sí misma.

Ese mensaje afecta a startups europeas, a inversión deep-tech, a autonomía industrial, a confianza del ecosistema y a la capacidad real de Europa para construir tecnología crítica propia a largo plazo. Especialmente en ciberseguridad, donde la conversación ya no puede limitarse a “qué modelo es más potente”. Porque aquí hablamos de:

• vulnerabilidades reales
• operaciones SOC
• incident response
• entornos OT
• sistemas industriales
• infraestructuras sensibles
• workflows defensivos y ofensivos
• y capacidades que terminan formando parte de la resiliencia nacional

En ese contexto, la soberanía tecnológica deja de ser marketing para convertirse en gestión de riesgo.

Porque una vez que las capacidades críticas dependen de infraestructuras externas y jurisdicciones ajenas a Europa, el control deja de ser completo. Pasa a ser condicional y es lo que llevamos años intentando evitar desde Europa. En Alias Robotics creemos que Europa no debería tener que elegir entre capacidades avanzadas y soberanía tecnológica.

Y por eso construimos CAI, una solución diseñada para operar directamente dentro del entorno del cliente:

• completamente on-premise cuando es necesario
• bajo control operacional del cliente
• alineada con GDPR, NIS2 y AI Act
• sin dependencia obligatoria de infraestructuras externas
• y preparada para operar sobre entornos críticos reales

El problema ya no es únicamente tecnológico. Es también una cuestión de coherencia. Las grandes compañías tecnológicas europeas (y, especialmente, aquellas consideradas actores estratégicos nacionales) tienen la capacidad de decidir qué ecosistema tecnológico ayudan a construir con sus decisiones.

Telefónica no es una empresa cualquiera dentro del tejido tecnológico español. Es uno de los principales actores industriales y tecnológicos del país, con participación pública y un papel clave en infraestructuras críticas, defensa, conectividad y transformación digital.

Precisamente por eso, creemos que debería reflexionar sobre el impacto estratégico de seguir reforzando dependencias externas incluso en áreas donde ya existen capacidades desarrolladas dentro del ecosistema español y europeo.

Porque si Europa quiere soberanía tecnológica real, esa soberanía no puede construirse únicamente desde los discursos institucionales. Tiene que hacerlo también desde las decisiones industriales. Y porque en ciberseguridad, la dependencia tecnológica también forma parte de la superficie de ataque.