La estrategia de ciberseguridad de EE. UU. aumenta la apuesta contra los atacantes- ISMS.online

La estrategia de ciberseguridad de EE. UU. aumenta la apuesta contra los atacantes

Por Danny Bradbury • 21 de marzo de 2023

Poco después publicamos nuestro realice una vista previa de la Estrategia Nacional de Ciberseguridad (NCS) de EE. UU., el gobierno dio a conocer el documento final. Contenía un lenguaje más fuerte que nunca, ya que pedía a las empresas de todo Estados Unidos que reforzaran su ciberseguridad y también mostraba un pensamiento perspicaz diseñado para abordar algunos problemas de ciberseguridad a largo plazo en el país y en el extranjero.

Un enfoque en la infraestructura crítica

La Estrategia aborda los desafíos de seguridad a través de cinco pilares, el primero de los cuales es la defensa de la infraestructura crítica. Se necesita un enfoque de palo y zanahoria para afrontar este desafío. Por un lado, aboga por una regulación más estricta que haga que las empresas sean más responsables de la ciberseguridad. Sin embargo, reconoce que algunos sectores carecen de recursos en comparación con otros y pide a los reguladores que tengan en cuenta el nivel de recursos disponibles al elaborar nuevas normas de ciberseguridad.

El documento combina este rigor regulatorio con incentivos para tomar buenas decisiones en materia de ciberseguridad a largo plazo. Estos incentivos provendrán de mecanismos que incluyen la fijación de tasas y estructuras impositivas, afirma.

Responsabilizar a los proveedores y operadores de tecnología

Otro pilar de la NCS, la configuración de las fuerzas del mercado para respaldar la ciberseguridad, también presagia un cambio de enfoque. Transfiere la responsabilidad de lo que llama los actores más vulnerables del ecosistema (usuarios de tecnología) a los proveedores y operadores que suministran la tecnología. Hacer que estos últimos rindan más cuentas es un principio fundamental de la Estrategia.

Estos operadores incluyen proveedores de servicios en la nube (CSP), que son cada vez más importantes en el ecosistema tecnológico. La misma semana en que cayó el NCS, el director cibernético nacional interino Kemba Walden , que son la nube es “demasiado grande para fracasar”. Los servicios en la nube también son lo suficientemente locales como para que los atacantes los exploten. Los adversarios extranjeros utilizan con frecuencia su infraestructura para realizar ataques, lo que dificulta el bloqueo geográfico y otras medidas de protección.

Teniendo esto en cuenta, la NCS pide a los CSP que asuman más responsabilidad en la evaluación y mitigación del riesgo para sus sistemas. cita Orden Ejecutiva 13984, “Tomar medidas adicionales para abordar la emergencia nacional con respecto a importantes actividades cibernéticas maliciosas”. Este documento de la era Trump pedía una mejor identificación de los clientes entre los CSP, pero no se hizo cumplir hasta ahora.

Este nuevo enfoque en la responsabilidad se extiende a quienes manejan datos y crean software para administrarlos. La Casa Blanca quiere una legislación que "establezca requisitos nacionales para proteger los datos personales de acuerdo con los estándares y directrices desarrollados por el NIST". Esta es la indicación más clara hasta ahora del deseo de una legislación federal sólida sobre privacidad y seguridad de datos que proteja a los consumidores en lugar de un mosaico de leyes a nivel estatal.

La NCS también pide una legislación que cubra a los proveedores de software, que, según dice, eluden la responsabilidad por software inseguro en sus acuerdos de licencia. Estas leyes impondrían responsabilidad a los proveedores de software que no cumplan con los estándares de seguridad de software ya establecidos por empresas como el NIST. Sin embargo, habría un acuerdo de puerto seguro para aquellos que lo hagan.

Pasando a la Ofensiva

Defender las redes nacionales y a los consumidores es un brazo de la estrategia. Otro pilar, Interrupción y desmantelamiento de actores de amenazas, recomienda más agresión para derribar los sistemas de los atacantes.

Este enfoque apunta a todo el ecosistema criminal, no sólo a las botnets de los atacantes. El gobierno contrarrestará a los atacantes de ransomware intentando hacer que su negocio ilícito sea menos rentable. Esto significa seguir apuntando a los intercambios de criptomonedas donde retiran dinero, por ejemplo. El Tesoro ya ha sancionado varios de estos sistemas, por lo que esto articula y duplica una tendencia existente como muchas otras partes de la Estrategia.

Los militares desempeñarán un papel más importante en este ataque a los ecosistemas de los atacantes, creando una nueva estrategia para trabajar más estrechamente con agencias civiles para atacar a los actores maliciosos. Las empresas privadas también jugarán un papel importante. El gobierno ha trabajado anteriormente con organizaciones como Microsoft para acabar con redes maliciosas. Aún así, ahora está subiendo la apuesta, reclutando abiertamente a empresas en su campaña para acabar con los atacantes. Les aconseja formar “células temporales ágiles” para operaciones específicas, trabajando a través de una serie de organizaciones centrales sin fines de lucro centradas en la ciberseguridad que representan una interfaz con los federales.

Manos al otro lado del océano

Parte de esta estrategia ofensiva implica la colaboración internacional, dado que muchos actores maliciosos se encuentran en el extranjero. El documento dedica todo un pilar a esta estrategia, que está en marcha. La Casa Blanca ya formado la Iniciativa Contra el Ransomware (CRI) para combatir el ransomware en octubre de 2021.

El problema es que Rusia, que es un refugio para los grupos de ransomware, no es miembro de esa iniciativa. Es un país, junto con China, Corea del Norte e Irán, al que la Estrategia señala como una amenaza exterior. Para contrarrestar a estos adversarios en el ciberespacio, la NCS promete aplicar presión diplomática internacional, trabajando "con nuestros aliados y socios para combinar declaraciones de condena con la imposición de consecuencias significativas".

Pensamiento a largo plazo

En lugar de una reacción instintiva a las amenazas cibernéticas, la NCS contiene algunas ideas de largo plazo. Un ejemplo es el debate sobre un posible respaldo de seguro cibernético para cubrir el tipo de evento cibernético catastrófico que el Foro Económico Mundial dice está viniendo. Esta es una reacción a las crecientes tensiones entre aseguradoras y clientes por el creciente costo de los incidentes cibernéticos.

Otras acciones a más largo plazo se encuentran bajo un pilar separado llamado Invertir en un futuro resiliente. Estos incluyen una nueva Estrategia Nacional de Educación y Fuerza Laboral Cibernética para compensar la falta de habilidades en ciberseguridad en los EE. UU. y una iniciativa para construir mejores soluciones de identidad digital, luchando contra la actual pandemia de robo de identidad. Este pilar también exige asegurar las cadenas de suministro digitales y piensa en un mundo poscuántico, exigiendo soluciones que puedan conectar datos cuando las computadoras cuánticas amenacen los métodos criptográficos existentes.

Este documento de estrategia es un esfuerzo loable para pensar inteligentemente sobre los problemas de hoy y al mismo tiempo vigilar los del mañana. El problema, como siempre, es la ejecución. El poder ejecutivo no puede hacer mucho por sí solo para hacer realidad estas ambiciones. La NCS admite que depende del poder legislativo para impulsar muchos de estos cambios.

danny bradbury

Danny Bradbury ha sido periodista impreso especializado en tecnología desde 1989 y escritor independiente desde 1994. Ha escrito para publicaciones nacionales en ambos lados del Atlántico y ha ganado premios por su trabajo de periodismo de investigación en ciberseguridad.

Lea más de Danny Bradbury

La seguridad cibernética 13 November 2025

Evaluación del cambio de la administración Trump en la política de ciberseguridad de EE. UU. (Banner)

Evaluación del cambio de política de ciberseguridad de Estados Unidos durante la administración Trump

Las recientes acciones ejecutivas y las reestructuraciones de agencias marcan un cambio significativo en la estrategia federal de ciberseguridad, lo que plantea interrogantes sobre la resiliencia nacional...

danny bradbury

La seguridad cibernética 23 October 2025

Por qué la investigación de la FTC sobre chatbots debería preocupar a las empresas B2B

Septiembre marcó un hito para los defensores de la ética de la IA. La FTC emitió órdenes conforme a la Sección 6(b) a siete importantes empresas tecnológicas que producen chatbots...

danny bradbury

La seguridad cibernética 7 October 2025

La revisión de Safe Harbor sigue como siempre, por ahora

Septiembre fue un mes decisivo para las empresas europeas que querían compartir datos con EE. UU. El Tribunal General de la Unión Europea rechazó una impugnación...

danny bradbury

La estrategia de ciberseguridad de EE. UU. aumenta la apuesta contra los atacantes

Un enfoque en la infraestructura crítica

Responsabilizar a los proveedores y operadores de tecnología

Pasando a la Ofensiva

Manos al otro lado del océano

Pensamiento a largo plazo

danny bradbury

Artículos relacionados

Evaluación del cambio de política de ciberseguridad de Estados Unidos durante la administración Trump

Control continuo en acción: Nuevas actualizaciones de API e integración de IO

Lo que la saga de Deloitte Australia revela sobre los riesgos de gestionar la IA

Lea más de Danny Bradbury

Evaluación del cambio de política de ciberseguridad de Estados Unidos durante la administración Trump

Por qué la investigación de la FTC sobre chatbots debería preocupar a las empresas B2B

La revisión de Safe Harbor sigue como siempre, por ahora