¿Qué hay en la nueva estrategia cibernética internacional de EE.UU.? SGSI.en línea

¿Qué hay en la nueva estrategia cibernética internacional de EE.UU.?

Por Danny Bradbury • 27 de junio de 2024

En la Conferencia RSA del 6 de mayo, Estados Unidos dio a conocer una estrategia para construir un ecosistema digital más fuerte y seguro en todo el mundo. El Estrategia internacional de política digital y ciberespacio de los Estados Unidos (ICDPS) el espíritu subyacente es la “solidaridad digital” frente a las crecientes amenazas de Rusia, China, Corea del Norte e Irán.

Pero, ¿qué impacto tendrá, si es que alguno, en las empresas ordinarias? Como mínimo, debería ser otro recordatorio de la necesidad de una buena gobernanza digital.

Bucear más profundo

Este documento no aparece en el vacío. Se basa directamente en el de los EE.UU. Estrategia Nacional de Ciberseguridad del año pasado, que tenía todo un pilar propio dedicado a la colaboración y el consenso internacional. La diplomacia es uno de los tres principios que sustentan el último documento, que dice que aplicará el “arte de gobernar internacional” en una serie de áreas diferentes que van desde software de aplicación hasta cables submarinos.

Los otros dos principios fundamentales de la ICDPS son la confianza en la acción positiva para difundir los beneficios de la tecnología y el enfoque en la ciberseguridad y la resiliencia.

La estrategia ejecutará estos principios en cuatro áreas de acción clave. El primero gira en torno a la construcción de un ecosistema digital abierto y seguro. Este ecosistema se basa en las redes de telecomunicaciones, que tienen su propia subsección en el documento, que aborda explícitamente las telecomunicaciones 5G y las próximas 6G. Otra área de interés es la nube y los centros de datos. Cables submarinos (que tienen la desagradable costumbre de ser cortado o espiado) y satélites (el gobierno de EE. UU. se alarmó recientemente al descubrir que Rusia estaba planeando un sistema antisatélite espacial) también son áreas de interés.

La segunda área de acción exige acuerdos sobre gobernanza de datos con socios internacionales que respeten los derechos humanos. La ICDPS exige flujos de datos libres entre países y describe el trabajo que Estados Unidos ya ha realizado para elaborar reglas de privacidad transfronterizas con otros países. También hizo una crítica indirecta a Europa: “El surgimiento de una creciente narrativa de soberanía digital que ha sido adoptada por algunos de nuestros socios y aliados más cercanos tiene el potencial de socavar objetivos clave de la economía digital y la ciberseguridad”, dijo.

Otros puntos focales en esta área de acción son el desarrollo de estándares abiertos e imparciales. Aquí, el documento ataca explícitamente a China, que, según dice, impulsa “enfoques de arriba hacia abajo para el desarrollo de estándares” y utiliza su influencia económica para impulsar el apoyo a sus propuestas de estándares. El Departamento de Estado tiene razón, ya que China ha estado impulsando su propia estándares de internet en la ITUy ha estado ayudando a construir infraestructura para regímenes autoritarios utilizando su propio equipo.

El documento también destaca la necesidad de ampliar la participación civil en las decisiones tecnológicas, la promoción de los derechos civiles en línea y el establecimiento de un tratado contra el cibercrimen que respete los derechos. Su lista de tareas pendientes también cubre la promoción de una IA confiable y la lucha contra la desinformación.

Responsabilizar a los malos actores

La tercera área de acción se centra en generar consenso entre los actores estatales para un comportamiento responsable en el ciberespacio. Se centra específicamente en contar las amenazas a la infraestructura crítica. Quizás no sea sorprendente que el documento señale a Rusia, China, Corea del Norte e Irán como agitadores clave.

Este pilar de actividad incluye fortalecer la infraestructura crítica contra ataques cibernéticos de otros estados a través de la cooperación internacional y aislar a los malos actores en el escenario mundial. Esto incluye reafirmar los tratados de defensa mutua con otras naciones en lo que se refiere al ciberespacio. Artículo cinco del Tratado de Washington de la OTAN –que permite a los miembros ayudarse mutuamente en caso de un ataque– me viene a la mente aquí, dadas las tensiones actuales entre Rusia y los países de la alianza en torno a Ucrania.

Frenar la actividad delictiva –especialmente el ransomware– tiene su propia sección en el tercer pilar, en resonancia con el llamado a un tratado contra el cibercrimen en el segundo pilar. La estrategia señala a "algunos estados" (se refieren a usted, Rusia) que "utilizan actores de ransomware como representantes o hacen la vista gorda ante sus actividades y el impacto significativo de sus ciberataques en la infraestructura crítica".

Curiosamente, también hay una sección dedicada al software espía. En marzo, Estados Unidos añadió seis países a los 10 originales que firmaron un compromiso de la Casa Blanca para contrarrestar la proliferación de esta categoría de herramientas de ataque. Israel, hogar del infame grupo de software espía NSO, está notablemente ausente.

Finalmente, la cuarta área de la estrategia se centra en fortalecer la política digital y la capacidad cibernética a nivel internacional. En esta área, Estados Unidos promete trabajar con otros estados para ayudarlos a reforzar su resiliencia cibernética, incluida la creación de nuevas herramientas y redes de colaboración sólidas para ayudarlos a enfrentar desafíos emergentes, como los ataques a la infraestructura.

¿Un papel del sector privado?

¿Qué debería sacar el sector privado de todo esto? La estrategia exige específicamente un enfoque de múltiples partes interesadas para sus objetivos de solidaridad digital, que incluya a las empresas, no solo a los gobiernos. Si bien se trata de debates políticos de alto nivel cuyos resultados, con suerte, se filtrarán con el tiempo, las empresas que se adhieran a buenas prácticas de gobernanza digital (que van desde la higiene de la ciberseguridad hasta el uso responsable de las nuevas tecnologías) se moverán en la misma dirección general que las anteriores. estrategia.

Es un problema peliagudo este negocio de la ciberdiplomacia internacional. En este nivel, Estados Unidos está jugando en un campo donde hay muy pocas leyes y donde las agencias de inteligencia a menudo trabajan a puerta cerrada, diciendo una cosa y haciendo otra.

Por un lado, Estados Unidos debe actuar para ejercer el mismo tipo de influencia sobre la política global en el ciberespacio que ha ejercido en el mundo físico durante tanto tiempo, especialmente porque el ámbito digital se ha convertido en un teatro crítico para guerras encubiertas de todo tipo; infraestructurales, económicos e informativos.

Este ambicioso esfuerzo requiere mucha credibilidad e influencia. Sin embargo, esta es la misma nación que digitalmente espiado a sus propios ciudadanos en masa, presuntamente empresas extranjeras hackeadas, molestó su propios aliados en los niveles más altos, y socavado estándares de cifrado introducir debilidades técnicas. Entre muchas otras escapadas.

Y, por supuesto, en menos de seis meses todo podría volver a cambiar a medida que la moneda política en Estados Unidos gire una vez más. Si una nueva administración infamemente aislacionista toma el poder, ¿entonces qué? En el embriagador mundo de la política global, nada es seguro y todo está en juego.

danny bradbury

Danny Bradbury ha sido periodista impreso especializado en tecnología desde 1989 y escritor independiente desde 1994. Ha escrito para publicaciones nacionales en ambos lados del Atlántico y ha ganado premios por su trabajo de periodismo de investigación en ciberseguridad.

Lea más de Danny Bradbury

La seguridad cibernética 15 de enero de 2026

De la seguridad perimetral a la identidad como bandera de seguridad

De la seguridad perimetral a la identidad como seguridad

Hoy en día, es imposible ver un evento de seguridad sin ver la frase "confianza cero". Es una palabra de moda, sí, pero...

danny bradbury

La seguridad cibernética 18 December 2025

Cómo navegar por el laberinto de cumplimiento de IA en EE. UU.

Cómo navegar por el laberinto del cumplimiento normativo de la IA en EE. UU.

En materia de regulación, el término «Estados Unidos» es un oxímoron. Las leyes estatales están lejos de estar unificadas, y cada jurisdicción tradicionalmente...

danny bradbury

La seguridad cibernética 20 November 2025

Lo que las brechas de seguridad de Salesforce nos enseñan sobre la responsabilidad compartida

2025 no ha sido un buen año para los clientes de Salesforce. Un grupo criminal sin escrúpulos lanzó una serie de ataques contra sus clientes, afectando finalmente a...

danny bradbury