Un ambicioso y amplio plan de ciberseguridad de la Casa Blanca publicado el jueves aboga por reforzar las protecciones en sectores críticos y responsabilizar legalmente a las empresas de software cuando sus productos no cumplan las normas básicas. El documento estratégico promete utilizar “todos los instrumentos del poder nacional” para adelantarse a los ciberataques.
La administración demócrata también dijo que trabajaría para “imponer límites firmes y claros” a la recopilación de datos del sector privado, incluida la geolocalización y la información sanitaria.
“Todavía tenemos un largo camino por recorrer antes de que cada estadounidense se sienta seguro de que el ciberespacio es seguro para ellos”, dijo el jueves el director nacional cibernético en funciones, Kemba Walden, durante un foro en línea. “Esperamos que los distritos escolares se enfrenten cara a cara con organizaciones delictivas transnacionales en gran medida por sí solos. Esto no sólo es injusto. Es ineficaz”.
La estrategia codifica en gran medida el trabajo ya en marcha durante los últimos dos años tras una oleada de ataques de ransomware de alto perfil contra infraestructuras críticas. Un ataque en 2021 a un importante oleoducto de combustible que causó pánico en el surtidor, lo que provocó una escasez de combustible en la costa este, y otros ataques perjudiciales convirtieron la ciberseguridad en una prioridad nacional. La invasión rusa de Ucrania agravó estas preocupaciones.
El documento de 35 páginas sienta las bases para contrarrestar mejor las crecientes amenazas a las agencias gubernamentales, la industria privada, las escuelas, los hospitales y otras infraestructuras vitales que son vulneradas habitualmente. En las últimas semanas, el FBI, el Servicio de Alguaciles de EE.UU. y Dish Network fueron algunas de las víctimas de intrusiones.
“La defensa apenas gana. Cada pocas semanas alguien sufre un terrible hackeo”, afirma Edward Amoroso, Director General de la empresa de ciberseguridad TAG Cyber.
Amoroso calificó la estrategia de la Casa Blanca de ambiciosa. Sus iniciativas más audaces -incluidas normas más estrictas sobre la notificación de infracciones y la responsabilidad del software- pueden encontrar la resistencia de las empresas y de los republicanos en el Congreso.
Brandon Valeriano, ex asesor principal de la Comisión del Ciberespacio del gobierno federal, se mostró de acuerdo.
“Hay muchas cosas que me gustan. Sólo le faltan muchos detalles”, dijo Valeriano, miembro distinguido de la Universidad del Cuerpo de Marines. “Elaboran un documento que habla mucho de regulación en un momento en que Estados Unidos está muy en contra de la regulación”.
También se espera que el componente de recopilación de datos de la estrategia se enfrente a duros vientos en el Congreso, aunque las encuestas de opinión dicen que la mayoría de los estadounidenses están a favor de la legislación federal sobre privacidad de datos.
En un nuevo informe, la firma de datos tecnológicos Forrester Research dijo que los ciberataques patrocinados por el Estado aumentaron casi un 100% entre 2019 y 2022 y su naturaleza cambió, con un mayor porcentaje ahora llevado a cabo para la destrucción de datos y el robo financiero. Las amenazas provienen en su mayoría del extranjero: Ciberdelincuentes con sede en Rusia y hackers respaldados por estados de Rusia, China, Corea del Norte e Irán.
La administración del Presidente Biden ya ha impuesto normas de ciberseguridad a determinados sectores industriales críticos, como las empresas eléctricas, los gasoductos y las instalaciones nucleares. La estrategia aboga por ampliarlas a otros sectores vitales.
En una declaración que acompaña al documento, Biden afirma que su administración se enfrenta al “reto sistémico de que demasiada de la responsabilidad de la ciberseguridad ha recaído en usuarios individuales y pequeñas organizaciones”. Eso significará trasladar la responsabilidad legal a los fabricantes de software, responsabilizando a las empresas en lugar de a los usuarios finales.
Como nación, “tendemos a delegar la responsabilidad de la ciberseguridad hacia abajo. Pedimos a los particulares, a las pequeñas empresas y a los gobiernos locales que asuman una carga significativa para defendernos a todos”, dijo Walden.
La Casa Blanca quiere hacer recaer una mayor responsabilidad en las empresas de software.
“Demasiados proveedores ignoran las mejores prácticas de desarrollo seguro, distribuyen productos con configuraciones por defecto inseguras o vulnerabilidades conocidas, e integran software de terceros de procedencia desconocida o no verificada”, dice el documento. Esto debe cambiar, añade, y afirma que la Casa Blanca trabajará con el Congreso y el sector privado en una legislación que establezca responsabilidades.
La directora de la Agencia de Ciberseguridad y Seguridad de las Infraestructuras, Jen Easterly, estableció una analogía en un discurso pronunciado el lunes en la Universidad Carnegie Mellon con la industria del automóvil antes de que los defensores de los consumidores liderados por Ralph Nader forzaran reformas en materia de seguridad, incluidos los cinturones de seguridad y los airbags: “La carga de la seguridad nunca debe recaer únicamente en el cliente. Los fabricantes de tecnología deben responsabilizarse de los resultados de seguridad para sus clientes.”
Pero Amoroso, elejecutivo de ciberseguridad, calificó esa comparación de errónea porque el software es un animal diferente, intrínsecamente complejo y los piratas informáticos encuentran constantemente formas de vulnerarlo. En su opinión, la iniciativa sobre la responsabilidad civil se enredará en los tribunales ante la resistencia del sector. “Si eres un abogado especializado en ciberseguridad, esto es maná del cielo”.
A la pregunta de si era justo hacer a las empresas de software responsables ante los tribunales de los daños causados por ciberataques, la asociación comercial BSA – The Software Alliance dijo en un comunicado: “La ciberseguridad está en constante evolución y ofrecer incentivos a las empresas para que utilicen las mejores prácticas en el diseño y desarrollo de software seguro beneficiaría a todo el ecosistema.”
El grupo, entre cuyos miembros se encuentran Microsoft, Adobe, SAP, Oracle y Zoom, añadió: “Esperamos trabajar con la administración y el Congreso en cualquier legislación propuesta para promover las mejores prácticas.” Amoroso dijo que le gustaban los aspectos positivos de la estrategia, como asegurar las tecnologías de energía limpia y reforzar la mano de obra de la ciberseguridad, en la que actualmente faltan 700.000 trabajadores a nivel nacional.
El documento también aboga por unos esfuerzos más agresivos para adelantarse a los ciberataques recurriendo a herramientas militares, policiales y diplomáticas, así como a la ayuda del sector privado. Estas operaciones ofensivas, dice, deben llevarse a cabo con “mayor velocidad, escala y frecuencia”.
La interrupción de la ciberactividad hostil mediante la “defensa avanzada” ya se está produciendo.
El FBI y el Comando Cibernético de los Estados Unidos ahora se enfrentan rutinariamente a ciberdelincuentes y hackers respaldados por el estado en el ciberespacio, trabajando con socios extranjeros para frustrar las operaciones de ransomware y la interferencia electoral en 2018 y 2020. El gobierno ya ha considerado el ransomware como una amenaza para la seguridad nacional y el documento dice que continuará utilizando métodos como “hackear a los hackers” para combatirlo.
Rebecca Santana, periodista de AP a este informe.