SAFETY

A escasos cuatro días de entregar el mando, el presidente Joe Biden no se fue con las manos vacías y lanzó una amplia directiva de ciberseguridad en los Estados Unidos. La movida busca mejorar cómo el Estado maneja sus redes, adquiere software, implementa la IA y le pone un freno a los ciberdelincuentes extranjeros.

Esta orden, un documento de 40 páginas, representa el último intento del gobierno de poner en marcha iniciativas que aprovechen las ventajas de la inteligencia artificial en materia de seguridad. También se busca implementar «identidades digitales» para los ciudadanos y tapar esos agujeros que permitieron a China, Rusia y otros adversarios entrar a los sistemas del gobierno una y otra vez.

Según Anne Neuberger, asesora adjunta de Biden en seguridad nacional para tecnologías cibernéticas y emergentes, «La orden está diseñada para reforzar los cimientos digitales de EE. UU. y también para situar a la nueva administración y al país en la senda del éxito continuo».

¿Seguirá Trump con el plan de Biden?

Ahora, la pregunta que resuena en el aire es si el presidente electo Donald Trump mantendrá alguna de estas iniciativas tras asumir el cargo. Los lineamientos técnicos de la orden no tienen un tinte partidista, pero los asesores de Trump bien podrían optar por otros enfoques o plazos para encarar los problemas que la orden detalla. Trump aún no nombró a sus altos mandos cibernéticos. Neuberger expresó que la directiva no se discutió con el equipo de transición, pero se mostraron dispuestos a charlar con el nuevo equipo cibernético cuando este sea designado.

La médula de esta orden ejecutiva es una serie de mandatos para proteger las redes gubernamentales, basados en las lecciones aprendidas de los últimos fallos de seguridad con contratistas federales. La orden exige a los proveedores de software que certifiquen la seguridad de sus prácticas de desarrollo, tomando como base una orden que se lanzó en 2022, la primera movida cibernética de Biden. La Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) será la encargada de verificar estos certificados y trabajar con los proveedores para solucionar cualquier problema.

Y como la cosa no es para tomarla a la ligera, se «insta a la Oficina del Director Nacional de Ciberseguridad de la Casa Blanca a remitir al Fiscal General los certificados que no sean validados», para que los investigue y, si corresponde, los enjuicie.

El Departamento de Comercio (DOC) tiene ocho meses para hacer un balance de las prácticas cibernéticas más usadas en el mundo empresarial y publicar guías basadas en ellas. Después de eso, esas prácticas serán obligatorias para las empresas que busquen hacer negocios con el Gobierno. Para ponerle la cereza al pastel, la directiva también incluye actualizaciones a los lineamientos sobre desarrollo de software seguro del Instituto Nacional de Normalización y Tecnología (NIST).

Protección de claves de autenticación en la nube

Otro punto clave de la directiva es la protección de las claves de autenticación de las plataformas en la nube. Un descuido en este tema abrió la puerta a la filtración de correos electrónicos de los servidores de Microsoft a manos de hackers chinos. El reciente pirateo de la cadena de suministros del Departamento del Tesoro (USDT) también dejó claro que no hay que descuidar este punto. El DOC y la Administración de Servicios Generales (GSA) tienen 270 días para elaborar guías sobre cómo proteger las claves, que luego se convertirán en requisitos para los proveedores de la nube en un plazo de 60 días.

En resumen, Biden intentó dejar una defensa cibernética en regla antes de soltar el timón, pero quedará en Trump y su equipo decidir si siguen el camino trazado o buscan nuevos rumbos. Veremos qué pasa cuando llegue el momento de la verdad.