OpenAI ha anunciado la ampliación de su programa Trusted Access for Cyber (TAC) y la introducción de GPT-5.4-Cyber, una variante de GPT-5.4 ajustada para casos de uso de ciberseguridad defensiva. La idea central del texto es que la evolución de los modelos debe ir acompañada de un refuerzo paralelo en acceso verificado, salvaguardas y apoyo al ecosistema de defensa.
El artículo plantea que la IA ya está acelerando el trabajo de los defensores, al tiempo que también puede ser utilizada por actores maliciosos. A partir de esa realidad, OpenAI explica cómo está organizando su estrategia para escalar las capacidades defensivas de forma gradual, con controles y criterios de confianza.
Una estrategia basada en acceso, despliegue y resiliencia
OpenAI sitúa su programa de defensa en ciberseguridad sobre tres principios que, según el texto, han guiado su trabajo durante años:
- Acceso democratizado.
- Despliegue iterativo.
- Inversión en la resiliencia del ecosistema.
La compañía explica que quiere ampliar el acceso a estas capacidades sin permitir un uso indebido. Para ello, propone mecanismos basados en criterios claros y objetivos, como procesos de verificación de identidad y señales de confianza, en lugar de decisiones arbitrarias sobre quién puede acceder a capacidades más avanzadas.
También sostiene que el despliegue debe ser iterativo. Según el texto, la mejor forma de entender capacidades y riesgos es introducir estos sistemas con cuidado, observar su comportamiento en el mundo real e ir ajustando tanto los modelos como los sistemas de seguridad.
A esto se suma una tercera línea de trabajo: reforzar la resiliencia del ecosistema. OpenAI describe aquí un enfoque que combina programas de acceso confiable, ayudas dirigidas, contribuciones a iniciativas open source de seguridad y herramientas como Codex Security para ayudar a detectar y corregir vulnerabilidades con mayor rapidez.
La ciberseguridad como un problema ya presente
Uno de los puntos más claros del texto es que el riesgo cibernético no es una posibilidad futura, sino una realidad ya en marcha. OpenAI afirma que la infraestructura digital lleva años siendo vulnerable, incluso antes de la llegada de la IA avanzada.
A partir de ahí, el artículo sostiene que los modelos actuales ya pueden:
- Encontrar vulnerabilidades.
- Razonar sobre bases de código.
- Apoyar partes significativas del flujo de trabajo en ciberseguridad.
El texto añade que los actores de amenaza también están experimentando con nuevas aproximaciones impulsadas por IA. Por eso, OpenAI defiende que las salvaguardas no pueden esperar a un único umbral futuro, sino que deben evolucionar en paralelo al incremento de capacidades.
El acceso no depende solo del modelo
Otro eje importante del artículo es que, según OpenAI, el riesgo no está definido únicamente por el modelo. En ciberseguridad, las capacidades son de doble uso, por lo que también importa quién usa el sistema, qué señales de confianza existen sobre ese usuario y qué nivel de acceso recibe.
Desde esa premisa, el texto plantea que pueden coexistir dos capas:
- Un acceso amplio a modelos generales con salvaguardas.
- Controles más granulares para capacidades de mayor riesgo.
OpenAI explica que estos controles más específicos deben apoyarse en una verificación más sólida, señales de intención más claras y una mejor visibilidad sobre el uso. La compañía también afirma que no considera práctico ni apropiado decidir de forma centralizada quién puede defenderse, y que su objetivo es habilitar al mayor número posible de defensores legítimos sobre la base de verificación, confianza y responsabilidad.
Escalar defensas al ritmo de las capacidades
El artículo insiste en que las defensas deben crecer al mismo ritmo que las capacidades del modelo. OpenAI vincula esta idea con la evolución de la programación con agentes y con sus implicaciones directas para la ciberseguridad.
En ese recorrido, el texto señala varios hitos:
- El entrenamiento de seguridad específico para ciberseguridad comenzó con GPT-5.2.
- Se amplió con salvaguardas adicionales en GPT-5.3-Codex y GPT-5.4.
- GPT-5.4 fue clasificado como modelo de capacidad cibernética “alta” bajo el Preparedness Framework.
En paralelo, OpenAI afirma haber reforzado su apoyo a los defensores con varias iniciativas:
- Un Cybersecurity Grant Program de 10 millones de dólares.
- Alcance a más de 1.000 proyectos open source con Codex for Open Source.
- Mejora continuada de Codex Security.
El papel de Codex Security
Dentro del texto, Codex Security aparece como una de las herramientas concretas en esta estrategia. OpenAI explica que se lanzó en beta privada hace seis meses y como vista previa de investigación a principios de este año.
Según el artículo, Codex Security puede:
- Monitorizar bases de código de forma automática.
- Validar incidencias.
- Proponer correcciones.
OpenAI añade que, a medida que los modelos han mejorado, también lo han hecho la precisión y la utilidad del sistema. El texto afirma además que, desde su lanzamiento reciente, Codex Security ha contribuido a más de 3.000 vulnerabilidades críticas y altas ya corregidas, además de muchas otras incidencias de menor severidad en el ecosistema.
Hacer más seguro el propio desarrollo de software
El artículo no se limita a hablar de protección externa. También plantea que el propio desarrollo de software debe volverse más seguro. OpenAI defiende que el ecosistema más sólido es aquel capaz de identificar, validar y corregir problemas de seguridad de forma continua mientras el software se está escribiendo.
En ese marco, la compañía propone integrar modelos avanzados de código y capacidades basadas en agentes en los flujos de desarrollo para ofrecer retroalimentación inmediata y accionable. El cambio que describe es un paso desde auditorías episódicas e inventarios estáticos de errores hacia una reducción de riesgo más continua y tangible.
Qué es GPT-5.4-Cyber y cómo encaja en TAC
La parte más concreta del anuncio llega con la expansión de Trusted Access for Cyber y con la introducción de GPT-5.4-Cyber.
OpenAI recuerda que en febrero presentó TAC con dos componentes principales:
- Verificación automática de identidad para individuos.
- Colaboración con un conjunto limitado de organizaciones para modelos más permisivos en ciberseguridad.
Ahora, según el texto, el programa se amplía con nuevos niveles de acceso para usuarios dispuestos a autenticarse como defensores de ciberseguridad. Los clientes en los niveles más altos podrán acceder a GPT-5.4-Cyber.
OpenAI describe este modelo como una versión de GPT-5.4 ajustada específicamente para capacidades adicionales en ciberseguridad y con menos restricciones de capacidad. El artículo añade que reduce el umbral de rechazo para trabajo legítimo de ciberseguridad y habilita nuevas posibilidades para flujos defensivos avanzados.
Entre esas capacidades, el texto destaca una en particular:
- Capacidades de ingeniería inversa de binarios para analizar software compilado en busca de posible malware, vulnerabilidades y robustez de seguridad sin necesidad de acceder al código fuente.
Un despliegue limitado y con controles
Precisamente por ser más permisivo, OpenAI explica que GPT-5.4-Cyber empezará con un despliegue limitado e iterativo para proveedores de seguridad, organizaciones e investigadores verificados.
El texto también señala que el acceso a modelos más permisivos y con mayor capacidad cibernética puede incluir limitaciones, especialmente en usos con menor visibilidad como Zero-Data Retention (ZDR). Esta cautela, según se explica, es especialmente relevante cuando desarrolladores u organizaciones acceden a los modelos a través de plataformas de terceros, donde OpenAI puede tener menos visibilidad sobre el usuario, el entorno o la finalidad de la solicitud.
Cómo se accede a Trusted Access for Cyber
El artículo resume el acceso a TAC de forma directa:
- Los usuarios individuales pueden verificar su identidad en chatgpt.com/cyber.
- Las empresas pueden solicitar trusted access para su equipo a través de su representante de OpenAI.
El texto añade que todos los clientes aprobados mediante este proceso obtendrán acceso a versiones de modelos existentes con menor fricción en salvaguardas que podrían activarse ante actividad cibernética de doble uso. Esto, según OpenAI, permitirá seguir apoyando la educación en seguridad, la programación defensiva y la investigación responsable de vulnerabilidades.
Además, los clientes que ya formen parte de TAC y quieran autenticarse más a fondo como defensores legítimos podrán mostrar interés en niveles adicionales de acceso, incluyendo la posibilidad de solicitar acceso a GPT-5.4-Cyber.
Lo que OpenAI anticipa para los próximos modelos
En la parte final, OpenAI sostiene que sus defensas actuales en ciberseguridad son el resultado de muchos meses de mejora iterativa. La compañía considera que la clase de salvaguardas que utiliza hoy reduce lo suficiente el riesgo cibernético como para permitir el despliegue amplio de los modelos actuales.
Aun así, el texto introduce una distinción relevante:
- Las salvaguardas actuales deberían ser suficientes para próximos modelos más potentes.
- Los modelos entrenados explícitamente para trabajo de ciberseguridad y hechos más permisivos requieren despliegues más restrictivos y controles apropiados.
A más largo plazo, OpenAI anticipa que harán falta defensas más amplias para modelos futuros, cuyas capacidades superarán rápidamente incluso a los mejores modelos especializados de hoy.
Fuente
Fuente
OpenAI, “Trusted access for the next era of cyber defense”, OpenAI, 2026.