La verdad como algoritmo: el nuevo marco FIMI y el espejo donde el AI Act debe mirarse

La obsesión de Bruselas por la verdad (y por qué debería importarte)

En los pasillos de la Comisión Europea, el acrónimo FIMI (Foreign Information Manipulation and Interference) se ha convertido en el nuevo coco. No es para menos. Llevamos años viendo cómo las campañas de desinformación pasan de ser simples granjas de bots a sofisticadas operaciones de guerra híbrida que harían palidecer a los guionistas de Homeland. Pero aquí está el giro: la publicación del marco metodológico del proyecto RESONANT para probar herramientas OSINT (Open Source Intelligence) no es solo un ejercicio académico para cazar espías. Es, en realidad, el primer ensayo general de cómo se va a auditar el cumplimiento del AI Act en el mundo real.

Si creías que el AI Act era solo una lista de requisitos éticos para que ChatGPT no sea maleducado, te equivocas. El núcleo duro de la regulación es la gestión de riesgos en sistemas de alta criticidad. Y si algo nos enseña este nuevo marco para detectar TTPs (Tácticas, Técnicas y Procedimientos), es que la tecnología por sí sola es un colador si no hay una metodología de prueba estandarizada. ¿Te suena? Es exactamente el mismo dolor de cabeza que tienen ahora los CISO de la banca con DORA.

Del contenido al comportamiento: el cambio de paradigma

Históricamente, combatir la desinformación consistía en jugar al 'pilla-pilla' con las noticias falsas. Un fact-checker decía que algo era mentira y fin de la historia. Pero el marco FIMI propuesto por RESONANT cambia el enfoque: ya no importa solo qué se dice, sino cómo se distribuye. Se trata de mapear el comportamiento del adversario usando taxonomías como DISARM o MITRE ATT&CK.

Este enfoque conductual es oro puro para la regulación financiera. En un mercado donde un rumor generado por IA puede hundir una cotización en milisegundos, la detección de TTPs es la única defensa real. El informe revela que las herramientas de análisis de redes sociales son excelentes para ver patrones de coordinación, pero fallan estrepitosamente en la interoperabilidad. Aquí está el quid: tenemos un arsenal de herramientas OSINT que no se hablan entre sí, con APIs que cambian cada vez que a un magnate tecnológico le da un aire, y una dependencia absoluta de plataformas que son, a la vez, el campo de batalla y el árbitro.

La evaluación de riesgos en sistemas de IA requiere metodologías de prueba tan rigurosas como las usadas para detectar interferencias extranjeras.

Tesis editorial: El mito de la herramienta mágica

Como periodista que ha visto pasar decenas de normativas 'revolucionarias', me produce una mezcla de ternura e ironía la fe ciega que algunos reguladores depositan en la tecnología de supervisión. El estudio de RESONANT deja claro que las herramientas OSINT no son una solución plug-and-play. Los resultados muestran una volatilidad alarmante debido a los cambios de políticas de las plataformas.

Mi tesis es clara: el cumplimiento del AI Act y la protección contra el FIMI no vendrán de un software milagroso, sino de la capacidad de las entidades para integrar inteligencia humana en el bucle de detección. La obsesión por la automatización total es el camino más corto hacia el falso sentido de seguridad. Si los agentes de la ley en Grecia y Ucrania —que están en primera línea de fuego— avisan de que la usabilidad y la exportación de datos son los mayores cuellos de botella, ¿por qué seguimos pensando que un algoritmo de cumplimiento en una gestora de fondos en Madrid va a funcionar sin supervisión constante?

Impacto regulatorio cruzado: DORA, NIS2 y el laberinto del AI Act

Aquí es donde la sopa de letras regulatoria se vuelve indigesta, pero fascinante. No podemos mirar el marco FIMI de forma aislada. Existe una convergencia inevitable entre tres pilares:

DORA: Exige resiliencia operativa digital. Si una campaña de FIMI dirigida a los clientes de un banco provoca una retirada masiva de depósitos (un bank run digital), ¿es un incidente de ciberseguridad o un fallo de resiliencia? DORA dirá que es lo segundo, y exigirá pruebas de resistencia.
NIS2: Amplía el espectro de entidades esenciales. La manipulación de información que afecte a la cadena de suministro o a infraestructuras críticas entra de lleno en el radar de la gestión de riesgos de NIS2.
AI Act: Clasifica los sistemas que manipulan el comportamiento humano como de alto riesgo o incluso prohibidos. El marco de pruebas de herramientas OSINT es el prototipo perfecto para lo que el AI Act llama 'evaluación de la conformidad'.

Riesgos de la IA en el sector financiero: El nuevo vector de ataque

Para la banca y los seguros, el riesgo no es solo que la IA cometa errores en la concesión de créditos. El verdadero peligro reside en el uso de la IA generativa para escalar ataques de ingeniería social y manipulación de mercado. Imagina un escenario donde un actor estatal —o un grupo criminal bien financiado— utiliza modelos de lenguaje para inundar los foros de inversión con análisis técnicos impecables, pero falsos, que apuntan a la insolvencia de una entidad española.

¿Tienen los departamentos de cumplimiento las herramientas OSINT necesarias para detectar esto en tiempo real? El estudio de la Comisión Europea sugiere que no. La mayoría de las herramientas actuales sufren con el procesamiento multilingüe y tienen dificultades para integrar sus resultados en formatos de inteligencia de amenazas estructurados. Si no puedes exportar el dato a tu SIEM (Security Information and Event Management), el dato no existe para tu equipo de respuesta.

Implicaciones para entidades financieras españolas

España no es ajena a estas dinámicas. Con un sector bancario altamente digitalizado y una exposición política considerable en el tablero europeo, las entidades españolas deben empezar a mirar más allá de la ciberseguridad tradicional (firewalls y cifrado). La protección de la reputación digital y la detección de interferencias informativas deben formar parte del plan de resiliencia operativa bajo DORA.

La recomendación es clara: deja de comprar herramientas aisladas y empieza a exigir a tus proveedores de inteligencia de amenazas que adopten marcos como el propuesto en RESONANT. No se trata de saber qué se dice de ti, sino de entender quién está moviendo los hilos y con qué técnicas. La transparencia metodológica es el único antídoto contra la manipulación algorítmica.

La convergencia entre la resiliencia operativa y la detección de desinformación es el próximo gran reto para los CISO del sector financiero.

Conclusión: La regulación no es un destino, es un proceso

El marco para probar herramientas OSINT contra el FIMI es una pieza más en el puzzle de la soberanía digital europea. Nos recuerda que, en la era de la IA, la confianza se basa en la capacidad de verificación. Para los profesionales de la regulación y la ciberseguridad, el mensaje es directo: la complacencia es el mayor riesgo. Si los reguladores europeos están empezando a sistematizar cómo se detecta la mentira, las empresas deben empezar a sistematizar cómo demuestran su verdad.

Aquí está el quid. El AI Act no se ganará en los tribunales, sino en la capacidad técnica de auditar lo que ocurre dentro y fuera de los modelos. Y, por ahora, como demuestra este estudio, todavía estamos aprendiendo a manejar las herramientas.