EEUU lanza agresiva estrategia nacional de ciberseguridad

WASHINGTON — La administración Biden está presionando por regulaciones federales más integrales para mantener el ámbito en línea más seguro contra los piratas informáticos, lo que incluye trasladar las responsabilidades de seguridad cibernética de los consumidores a la industria y tratar los ataques de ransomware como amenazas a la seguridad nacional.

El plan es parte de la Estrategia Cibernética Nacional que la administración lanzó el jueves, que describe objetivos a largo plazo sobre cómo las personas, el gobierno y las empresas pueden operar de manera segura en el mundo digital. Esto incluye colocar la carga sobre la industria de la informática y el software para desarrollar productos «seguros por diseño» diseñados, construidos y probados a propósito para reducir significativamente la cantidad de fallas explotables antes de que se introduzcan en el mercado.

La estrategia «reimagina fundamentalmente el contrato social cibernético de Estados Unidos» y «reequilibrará la responsabilidad de administrar el riesgo cibernético en aquellos que son más capaces de soportarlo», dijo el miércoles el director cibernético nacional interino, Kemba Walden, en una conferencia de prensa para obtener una vista previa de la estrategia.

Walden enfatizó que pedirles a las personas, las pequeñas empresas y los gobiernos locales que asuman la mayor parte de la carga de la seguridad cibernética “no solo es injusto, es ineficaz”.

“Los actores más grandes, más capaces y mejor posicionados en nuestro ecosistema digital pueden y deben asumir una mayor parte de la carga para administrar los riesgos cibernéticos y mantenernos a todos seguros”, agregó.

La estrategia de la administración se organiza en torno a cinco pilares; defender la infraestructura crítica; interrumpir y desmantelar a los actores de amenazas; dar forma a las fuerzas del mercado para impulsar la seguridad y la resiliencia; invertir en un futuro resiliente; y forjar alianzas internacionales para perseguir objetivos compartidos.

La estrategia se elaboró después de una serie de importantes ataques cibernéticos, incluido el ataque de ransomware Colonial Pipeline de 2021 y la violación cibernética de Solar Winds de las agencias del gobierno federal en 2019-20. Los atacantes en esos incidentes explotaron las vulnerabilidades de las empresas centrales de un ecosistema de seguridad informática, lo que permitió el acceso a una gran cantidad de clientes. Al imponer mayores requisitos de seguridad a las empresas que son fundamentales para un sistema de ciberseguridad, la administración espera que haya menos riesgo de violaciones de seguridad que afecten a usuarios y clientes.

Los enfoques de las administraciones anteriores sobre la seguridad cibernética se centraron más en las asociaciones voluntarias público-privadas y las prácticas de intercambio de información. Si bien la estrategia de la Casa Blanca de Biden también busca mejorar la cooperación con el sector privado, es la primera en impulsar una regulación federal de ciberseguridad más agresiva y completa.

Ransomware como amenazas a la seguridad nacional

Al señalar los ataques cibernéticos iraníes en las redes gubernamentales de Albania en 2022, Anne Neuberger, asesora adjunta de seguridad nacional para tecnología cibernética y emergente, advirtió que los delincuentes y los actores estatales han llevado a cabo ataques cibernéticos y de ransomware destructivos en todo el mundo.

Según la estrategia, las amenazas de ransomware se tratarán como problemas de seguridad nacional en lugar de actividades delictivas.

“Los estadounidenses deben poder confiar en que pueden contar con servicios críticos, hospitales, gasoductos, aire, servicios de agua, incluso si están siendo atacados por nuestros adversarios”, dijo, subrayando el compromiso de la administración de construir un entorno cibernético más resistente. infraestructura y fortalecer las alianzas internacionales para disuadir los ataques cibernéticos.

La estrategia sienta las bases para una respuesta mucho más agresiva del gobierno federal, incluidas las autoridades policiales y militares, para interrumpir la actividad cibernética maliciosa y perseguir a sus perpetradores.

“Ciertamente estamos en una posición más progresista para asegurarnos de que estamos protegiendo al pueblo estadounidense de estas amenazas”, dijo un alto funcionario de la administración, y agregó que la administración tomará medidas diplomáticas y de inteligencia y sanciones financieras según sea necesario.

“Y herramientas militares según sea necesario. Estas son opciones que tiene el presidente y ciertamente estamos abiertos a usarlas todas”, dijo el funcionario.

La Casa Blanca no respondió a la consulta de la VOA sobre si las opciones incluirían operaciones de pirateo contra delincuentes o gobiernos extranjeros.

La estrategia llama a China, Rusia, Irán, Corea del Norte y “otros estados autocráticos con intenciones revisionistas”, acusándolos de “usar agresivamente capacidades cibernéticas avanzadas” para perseguir objetivos que van en contra de los intereses de Estados Unidos y las normas internacionales. Señala a China como el país que presenta la «amenaza más amplia, activa y persistente para las redes gubernamentales y del sector privado».

Inversiones en infraestructura cibernética

La estrategia también exige inversiones a largo plazo en la fuerza de trabajo cibernética, la infraestructura y los ecosistemas digitales de EE. UU., y subraya las tecnologías para mejorar la resiliencia nacional y la competitividad económica.

Sin embargo, la Casa Blanca implementará la estrategia sin un director cibernético nacional. Christopher Inglis, quien dirigió la Oficina del Director Nacional Cibernético establecida por el Congreso en 2021, renunció a mediados de febrero. Su adjunto, Kemba Walden, es el director cibernético nacional interino hasta que el presidente nombre uno nuevo y el Senado lo apruebe. El papel del director es coordinar las numerosas agencias y departamentos a cargo de proteger la infraestructura digital de la nación y relacionarse con la industria y las partes interesadas internacionales.