Desglosando la estrategia nacional de ciberseguridad de Biden- ISMS.online

Desglosando la estrategia nacional de ciberseguridad de Biden

Por Danny Bradbury • 2 de marzo de 2023

Lo que está en juego en materia de ciberseguridad es mayor que nunca. La sociedad está tan profundamente conectada y dependiente de la tecnología digital que un ataque lo suficientemente grave podría paralizar funciones críticas. El gobierno de Estados Unidos es consciente de la amenaza y está preparando lo que promete ser el documento de estrategia de ciberseguridad más agresivo jamás realizado. Llamada Estrategia Nacional de Ciberseguridad (NCS), todavía está en secreto al momento de escribir este artículo, pero los que lo han visto promete que mejorará las capacidades de ciberseguridad de Estados Unidos. Esto es lo que sabemos y lo que podemos esperar.

Una historia de política de ciberseguridad blanda

Hasta la administración actual, la Casa Blanca adoptó un enfoque relativamente ligero para asegurar la infraestructura nacional crítica (CNI). Este tipo de infraestructura, que se considera vital para el funcionamiento de la sociedad, es integral e incluye 16 secciones desde alimentos hasta finanzas.

Los esfuerzos pasados para proteger al CNI han sido muy parecidos a este segmento de la economía: fragmentados e incoherentes. Las administraciones anteriores emitieron directrices voluntarias de ciberseguridad para los sectores CNI, dejando que los reguladores desarrollaran y aplicaran controles de ciberseguridad más sólidos.

Algunos de estos controles han tenido más éxito que otros y, a menudo, se han impuesto a nivel estatal. Por ejemplo, el Departamento de Servicios Financieros de Nueva York (NYDFS) emitió la regulación Parte 500, que entró en vigor en 2017 y adoptó un enfoque agresivo para la aplicación de la ciberseguridad. La SEC también ha estado intensificando los controles de ciberseguridad.

Sin embargo, otros sectores han sido menos agresivos. Los departamentos municipales de agua a menudo carecen de experiencia en ciberseguridad. Las empresas de otras industrias consideradas parte del CNI a menudo tienen prioridades en competencia, como mantener el desempeño financiero trimestral.

Incluso antes del ataque de ransomware de mayo de 2021 a Colonial Pipeline que disparó los precios de la gasolina en todo el este de EE. UU., la administración Biden ya había avanzado hacia un enfoque más cohesivo y práctico de la seguridad del CNI. En abril de 2021 inició una revisión sector por sector y un endurecimiento del CNI con un plan de 100 días para aumentar la seguridad entre utilidades eléctricas.

En julio de ese año, el presidente siguió esto firmando el Memorando de Seguridad Nacional sobre la Mejora de la Ciberseguridad para los Sistemas de Control de Infraestructuras Críticas, prometiendo abordar las protecciones de ciberseguridad en una variedad de sectores de la CNI. El Gobierno emitido requisitos sustanciales de ciberseguridad para los operadores de oleoductos y gasoductos en mayo y julio, anunció el Plan de Acción del Sector del Agua en enero de 2022, y se centró en químico sector con un plan diferente el pasado mes de octubre.

Estas medidas fueron más agresivas que los intentos de administraciones anteriores. Impuso medidas obligatorias, como exigir planes de respuesta a incidentes. El poder ejecutivo también trabajó con el Congreso para crear el Informe de incidentes cibernéticos para la Ley de infraestructura crítica, que eventualmente impondrá una ventana de notificación de ciberataques de 72 horas para los operadores de CNI.

Quienes han visto el documento de estrategia creen que unificará este enfoque y tomará más medidas para obligar a las empresas de los sectores CNI a reforzar sus defensas. El documento pedirá trasladar la responsabilidad a las empresas que no implementen las medidas adecuadas.

No más señor buen chico

El documento de estrategia no sólo perfecciona las medidas defensivas; también dirige su atención hacia afuera. Incluye medidas explícitas para atacar a los actores maliciosos, dicen los que lo saben.

El gobierno de Estados Unidos se ha vuelto cada vez más agresivo al atacar a los actores de amenazas en el ciberespacio. La administración Obama mantuvo un estricto control sobre las actividades cibernéticas ofensivas, requiriendo un permiso presidencial explícito para perseguir a los enemigos de Estados Unidos en línea. La administración Trump quitó el pie del freno en 2018, emisor Memorando Presidencial de Seguridad Nacional No. 13, que dio al Pentágono más autonomía para lanzar operaciones cibernéticas ofensivas.

Inicialmente, la Casa Blanca de Biden estudió si debía derogar algunas de las medidas de Trump. Sin embargo, los informes sugieren que la Estrategia Nacional de Ciberseguridad los llevará un paso más allá.

"Nuestro objetivo es hacer que los actores maliciosos sean incapaces de montar campañas cibernéticas sostenidas que amenazarían la seguridad nacional o la seguridad pública de los Estados Unidos", según se informa, afirma el documento en una sección de cinco páginas titulada "Interrumpir y desmantelar actividades amenazantes". También dice que el Grupo de Trabajo Conjunto de Investigación Cibernética Nacional del FBI trabajará con otras agencias para interferir y, en última instancia, derribar las redes de los atacantes.

Hacer cumplir lo que viene

Según se informa, el gobierno también reclutará a empresas privadas como socios en la lucha contra los atacantes, compartiendo con ellas información sobre los patrones de ataque. Estas asociaciones, junto con las medidas de cumplimiento que probablemente veremos en la NCS, plantean una pregunta: ¿hasta qué punto será capaz el poder ejecutivo de hacer cumplir esto?

El documento más innovador del gobierno antes de este, el de mayo de 2021 Orden ejecutiva sobre la mejora de la ciberseguridad de la nación, tenía un alcance más limitado porque las órdenes ejecutivas solo se aplican a agencias federales. Cualquier presión aplicada al sector privado fue indirecta, mediante la imposición de controles de ciberseguridad en las políticas federales de adquisiciones que requerirían el cumplimiento de los proveedores.

El nuevo documento de estrategia se aplicará a una gran cantidad de empresas privadas que tradicionalmente han sido cautelosas con respecto a las regulaciones gubernamentales de ciberseguridad. Por ejemplo, el intercambio de información ha sido un punto polémico en el pasado. Las empresas se han preocupado por la responsabilidad legal si divulgan el alcance de los ataques al gobierno.

Algunos de los sectores incluidos en el CNI podrían resultar legalmente difíciles de regular para la Casa Blanca. Necesitará la ayuda de agencias y de un Congreso profundamente dividido y disfuncional que resultará problemático a la hora de impulsar leyes sensatas. Sabremos más cuando se publique el documento, lo que debería ser muy pronto.

danny bradbury

Danny Bradbury ha sido periodista impreso especializado en tecnología desde 1989 y escritor independiente desde 1994. Ha escrito para publicaciones nacionales en ambos lados del Atlántico y ha ganado premios por su trabajo de periodismo de investigación en ciberseguridad.

Lea más de Danny Bradbury

La seguridad cibernética 15 de enero de 2026

De la seguridad perimetral a la identidad como bandera de seguridad

De la seguridad perimetral a la identidad como seguridad

Hoy en día, es imposible ver un evento de seguridad sin ver la frase "confianza cero". Es una palabra de moda, sí, pero...

danny bradbury

La seguridad cibernética 18 December 2025

Cómo navegar por el laberinto de cumplimiento de IA en EE. UU.

Cómo navegar por el laberinto del cumplimiento normativo de la IA en EE. UU.

En materia de regulación, el término «Estados Unidos» es un oxímoron. Las leyes estatales están lejos de estar unificadas, y cada jurisdicción tradicionalmente...

danny bradbury

La seguridad cibernética 20 November 2025

Lo que las brechas de seguridad de Salesforce nos enseñan sobre la responsabilidad compartida

2025 no ha sido un buen año para los clientes de Salesforce. Un grupo criminal sin escrúpulos lanzó una serie de ataques contra sus clientes, afectando finalmente a...

danny bradbury