Las recientes medidas ejecutivas y las reestructuraciones de agencias marcan un cambio significativo en la estrategia federal de ciberseguridad, lo que plantea interrogantes sobre la resiliencia nacional y la preparación del sector privado.
No es frecuente ver a un gobierno desmantelar intencionalmente avances razonables logrados por su predecesor, pero la administración Trump está plagada de sorpresas. No solo parece haber paralizado las actividades en diversas áreas de ciberseguridad justo cuando más se necesitaba acelerarlas, sino que, en algunos casos, está retrocediendo a toda velocidad.
En ningún otro lugar queda esto más claro que en el último (reporte) de la Comisión Cyber Solarium (CSC) – o mejor dicho, la CSC 2.0. La Comisión se estableció originalmente como parte de la Ley de Autorización de Defensa de 2019, para desarrollar un enfoque estratégico para las defensas contra ataques cibernéticos significativos contra los EE. UU. Después de su disolución en 2021, resurgió como una organización sin fines de lucro en el Centro de Innovaciones Cibernéticas y Tecnológicas (CCTI) de la Fundación para la Defensa de las Democracias (FDD).
El quinto informe anual del CSC muestra que Estados Unidos ha sufrido un retroceso significativo en materia de ciberseguridad. El informe del año pasado indicaba que se había implementado el 48 % de las recomendaciones del CSC en este ámbito. Este año, la implementación ha disminuido del 48 % al 35 %. Casi una cuarta parte de las recomendaciones que debían haberse implementado completamente a partir de 2024 perdieron ese estatus tras los profundos cambios impulsados por la actual administración.
Una de las cinco áreas que el informe recomienda que el país aborde para retomar el rumbo es la crisis de personal en la CISA. La administración Trump redujo la plantilla de la CISA en un tercio a principios de este año, de 3,300 a 2,200 personas.
Moverse rápido y romper cosas a propósito
La administración Trump ha implementado cambios con tanta rapidez que resulta difícil seguirlos, pero aquí presentamos algunos de los más importantes. Tras su investidura, el equipo del presidente rescindió todos los nombramientos en los comités asesores del Departamento de Seguridad Nacional, lo que prácticamente acabó con la Junta de Revisión de Seguridad Cibernética que investigaba los ataques del tifón Salt.
Entonces, Trump encendido Timothy D. Haugh, jefe del Comando Cibernético de Estados Unidos, fue destituido en abril tras la presión ejercida por la activista de extrema derecha Laura Loomer.
En junio se produjeron cambios aún mayores con la orden ejecutiva de Trump “Sosteniendo esfuerzos selectos para fortalecer la ciberseguridad de la nación y modificando la Orden Ejecutiva 13694 y la Orden Ejecutiva 14144”, que revirtió muchas medidas de ciberseguridad de la era Biden.
Esta orden ejecutiva recortó drásticamente las políticas de seguridad de la IA, eliminó los requisitos de certificación de seguridad de software para los proveedores federales de software (incluida la lista de materiales de software o SBOM) y obstaculizó el impulso para adoptar la identidad digital para los beneficios federales. Justificó esto último alegando que “ponía en riesgo el acceso a beneficios públicos al permitir que inmigrantes indocumentados accedieran indebidamente a ellos”.
La diplomacia cibernética (un pilar estratégico clave de la administración Biden) también se vio afectada. En julio, el Departamento de Estado prácticamente desmanteló la Oficina de Diplomacia Cibernética (CDP), que llevaba tres años en funcionamiento, despidiendo a personal clave, incluidos cinco de los ocho responsables de asuntos bilaterales y regionales, y reasignando a su director en funciones. Desmantelará la CDP y trasladará algunas de sus funciones a diferentes divisiones de la agencia. dichos informesEl nuevo gobierno también suspendió la entrada en vigor de una ley de seguridad de IoT de la FCC en vigor desde enero de 2025.
Trump recortó drásticamente la financiación de las iniciativas de gobernanza electoral y lucha contra la desinformación. Recortó la financiación del Centro de Análisis e Intercambio de Información sobre la Infraestructura Electoral (EI-ISAC), y una orden ejecutiva denominada «Restauración de la Libertad de Expresión y Fin de la Censura Federal» recortó la financiación para la investigación sobre la influencia maligna extranjera.
La administración también clausuró el Grupo de Trabajo sobre Influencia Extranjera del FBI y el Centro de Compromiso Global, que se centraban en combatir las campañas de desinformación antiestadounidenses. Ahora no permite que los estados utilicen fondos para adquirir servicios del Centro Multiestatal de Análisis e Intercambio de Información, y ha recortado la financiación de dicha iniciativa con el pretexto de que censura la libertad de expresión.
La fiscal general Pam Bondi también restó importancia a la aplicación de la Ley de Registro de Agentes Extranjeros (FARA) y desmanteló el Grupo de Trabajo sobre Influencia Extranjera del Departamento de Justicia y la Unidad de Cumplimiento Corporativo de la División de Seguridad Nacional. Esto facilita las operaciones extranjeras de piratería informática y filtración, así como las granjas de trolls. Y el Departamento de Justicia Proyecto KleptoCapture abandonado, una iniciativa de la era Biden para incautar los activos de oligarcas rusos que podrían utilizarse para financiar campañas de influencia extranjera.
Estas medidas han disminuido la capacidad del gobierno para ayudar a las organizaciones del sector privado en el momento en que más lo necesitan. En abril, Checkpoint Software... grabar Se prevé un aumento del 47 % en los ciberataques durante el primer trimestre de 2025, alcanzando un promedio de 1,925 ataques semanales por organización, junto con un incremento del 126 % en los ataques de ransomware. CrowdStrike grabado un aumento de hasta el 300% en los ataques chinos contra industrias específicas.
ISO 27001 como línea base de resiliencia
Planificar la resiliencia es especialmente importante a la luz del cambio de postura del gobierno respecto a algunas políticas de ciberseguridad. La falta de directrices gubernamentales hace aún más importante que las empresas sigan las normas aceptadas.
En algunos casos, eso significará seguir el espíritu de regulaciones gubernamentales más estrictas que han sido posteriormente modificadas. Normas como ISO 27001, También son herramientas útiles para las empresas que desean una base sólida en buenas prácticas de seguridad de la información. En particular, la norma ISO 27001:2022 define Anexo A 5.29 – Seguridad de la información durante interrupciones, para garantizar la seguridad de la información en momentos de interrupción.
Para que todo esto funcione, los líderes empresariales deben comprometerse y ser responsables de la estructura de las medidas de seguridad de la información. Es su responsabilidad garantizar la estructura adecuada para prepararse, responder y mitigar las interrupciones. Quizás aún no sea apropiado decir «nadie vendrá a rescatarnos», pero si alguna vez hubo un momento más oportuno para tomar medidas de seguridad, es ahora.
