El presidente Biden emitió una orden ejecutiva el jueves exigiendo a las empresas de software que venden sus productos al gobierno federal que demuestren que tienen características de seguridad férreas que pueden frustrar a las agencias de inteligencia chinas, las bandas rusas de ransomware, los ladrones de criptomonedas norcoreanos y los espías iraníes.
Pero no está claro si la administración Trump, ansiosa por la desregulación incluso cuando promete enfrentarse a China en particular, mantendrá en vigor las normas revisadas de ciberseguridad.
La orden, emitida cuatro días antes del final del mandato de Biden, es la última en la batalla de cuatro años de su administración para proteger la infraestructura de Estados Unidos y defenderse de operaciones de vigilancia cada vez más sofisticadas.
Pero después de cuatro años de esta amarga confrontación diaria -durante la cual se desarrolló gran parte de la nueva Guerra Fría con China- los hackers generalmente salían victoriosos. En los últimos dos años se han producido repetidos y exitosos ataques chinos contra la red de servicios públicos, los oleoductos, el sistema de telecomunicaciones del país y, en las últimas semanas, el Departamento del Tesoro. Estos ataques han llevado a la nueva administración Trump a quejarse de que las defensas estadounidenses siguen siendo fáciles de violar y que sus capacidades de disuasión son inadecuadas.
A medida que la lista de nuevas regulaciones y órdenes de Biden continúa creciendo e incluye temas como perforaciones en la costa este y eliminar a Cuba de la lista de terrorismo, los asesores de Trump se quejan de que la administración actual está librando una furiosa campaña para bloquear sus políticas para obligan y mandan.
Algunas medidas se revertirán la próxima semana, lo que hará que muchas de las medidas de Biden no sean más que un gesto político emocionante. Pero los nuevos requisitos de ciberseguridad están intensificando el debate y potencialmente creando un conflicto entre la promesa de desregulación de la administración Trump y su promesa de defenderse de la interferencia china en las redes estadounidenses.
Las nuevas reglas requerirían, por primera vez, que las empresas demuestren que el software que venden al gobierno federal cumple con los requisitos básicos de ciberseguridad y que publiquen evidencia de esos pasos. Señalan la “amenaza cibernética activa y continua a Estados Unidos” de China y las oleadas de ataques de otras naciones y grupos criminales.
Pero a pesar de las 50 páginas de requisitos de la orden, Biden esencialmente está abandonando el enfoque de la administración de lograr que la industria privada invierta en ciberseguridad a través de programas voluntarios y asociaciones público-privadas.
Él y su personal han llegado a la conclusión de que la única manera de lograr que las empresas adopten medidas estrictas de ciberseguridad es exigir esas medidas y obligar a las empresas a publicar sus pasos exactos. De esta manera, si se produce otra infracción vergonzosa, quedará claro si las empresas han dejado huecos en sus defensas.
La nueva regulación ampliaría la autoridad federal sobre la cadena de suministro de software. La Casa Blanca ya ha emitido regulaciones para oleoductos, ferrocarriles y hospitales, a menudo basándose en autoridades existentes.
Anne Neuberger, asesora adjunta de seguridad nacional para tecnologías cibernéticas y emergentes que ha liderado esta iniciativa, dijo a los periodistas el miércoles que la orden ejecutiva, que ha estado en proceso durante muchos meses, “tiene como objetivo poner al país en el camino hacia la defensa”. -Redes listas para el mundo”.
Fue el resultado de una amarga experiencia. Hace cuatro años, cuando Biden todavía era presidente electo, los servicios de inteligencia rusos penetraron el código de SolarWinds, una empresa que vendía software de gestión de redes al gobierno y a empresas Fortune 500. Después de que SolarWinds actualizó este software y lo distribuyó a sus clientes, Rusia obtuvo la capacidad de robar secretos corporativos y realizar operaciones de vigilancia en agencias federales como el Departamento de Finanzas y Comercio.
Biden condenó a los rusos, y su única reunión como presidente con el presidente Vladimir V. Putin en Ginebra en 2021 se centró en gran medida en el ransomware ruso que paralizó el Colonial Pipeline, que transporta gas y petróleo a lo largo de la costa este. Después de esa reunión, la Sra. Neuberger instó a las agencias del gobierno a redactar nuevos requisitos para las empresas que hacen negocios con ellos, con la esperanza de utilizar el proceso de contratación federal para forzar cambios en la forma en que las empresas desarrollan su software.
Pero los esfuerzos no fueron suficientes. Las empresas dijeron que sus productos cumplían con las nuevas condiciones, pero nunca se les pidió que probaran sus afirmaciones. Cuando piratas informáticos vinculados a una de las agencias de inteligencia de China irrumpieron recientemente en el Departamento del Tesoro y obtuvieron acceso a miles de documentos no clasificados, parecieron utilizar software de BeyondTrust. Los funcionarios federales dijeron que la compañía afirmó haber cumplido con todos los requisitos de ciberseguridad, pero las nuevas regulaciones la obligaron a hacer públicos esos pasos.
“Hemos dado instrucciones a las empresas que fabrican software para que simplemente nos digan que lo están utilizando”, dijo Neuberger sobre regulaciones federales más antiguas. “Creo que hemos visto en los últimos cuatro años que realmente necesitamos pruebas”.
BeyondTrust ha dicho poco sobre el incidente, aparte de breves declaraciones de que “tomó medidas para resolver un incidente de seguridad a principios de diciembre de 2024” y “notificó al número limitado de clientes”. Se negó a discutir cómo ocurrió la violación.
Las mayores empresas de telecomunicaciones del país tampoco han dicho mucho sobre cómo los servicios de inteligencia chinos han descubierto nuevos agujeros, casi imperceptibles, en sus redes. El descubrimiento proporcionó acceso a algunos de los sistemas de escuchas telefónicas más secretos del gobierno que contienen órdenes judiciales, así como a conversaciones no cifradas del presidente electo Donald J. Trump y el vicepresidente electo JD Vance. (No está claro si las autoridades aprovecharon este acceso).
“Después de los ciberataques que acapararon los titulares en los últimos cuatro años, como el compromiso de la nube de Microsoft en China, el cierre de una empresa de satélites comerciales por parte de Rusia y los atacantes de ransomware que obligaron a los hospitales a posponer las cirugías”, dijo la Sra. Neuberger, “invertimos siete años. “Durante meses, cada incidente de piratería fue examinado cuidadosamente para determinar exactamente cómo los atacantes atravesaron las puertas”.
Lo más probable es que las nuevas normas no hubieran supuesto ninguna diferencia en la operación de vigilancia contra las empresas de telecomunicaciones llamada Salt Typhoon. Es posible que hayan ayudado a proteger la red eléctrica y las tuberías de agua de un tipo diferente de ataque de piratas informáticos relacionado con China que tenía como objetivo paralizar esos sistemas en Estados Unidos para disuadir la ayuda a Taiwán en caso de una acción militar en la isla.
Según las últimas directrices, cualquier empresa que pague con los más de 100 mil millones de dólares que el gobierno federal gasta en software cada año estaría sujeta a los requisitos. Los infractores podrían ser remitidos al Departamento de Justicia para un proceso civil.
Las nuevas reglas también impondrían requisitos a los sistemas espaciales después de que Rusia desactivó un sistema europeo de comunicaciones por satélite al atacar sus módems en tierra.
Sin embargo, la implementación de la nueva orden quedará en manos de la administración Trump, que tendría que cumplir plazos que comienzan en unos 120 días. Llegará un momento crucial cuando las empresas decidan comprobar si Trump cumple con los plazos.
La Sra. Neuberger señaló que la administración Biden ha adoptado muchas reglas y órdenes que quedaron de la anterior administración Trump. Dijo que esperaba que el gobierno que regresa “haga lo mismo”. Pero eso difícilmente está garantizado.
Y aunque Neuberger señaló recientemente que desarrollar la resiliencia de las redes estadounidenses es un esfuerzo bipartidista, el nuevo asesor de seguridad nacional, el representante Michael Waltz, ha hablado mucho más sobre responder a China con operaciones cibernéticas ofensivas.
Esto también se aplica a John Ratcliffe, la elección de Trump para director de la CIA. Ratcliffe dijo en su audiencia de confirmación el miércoles que Estados Unidos estaba presenciando una “invasión a través de nuestras fronteras digitales desde medio mundo de distancia, en unos pocos segundos y con unas pocas pulsaciones de teclas”. Sostuvo que la capacidad de Estados Unidos para disuadir tales ataques ha flaqueado.
“El efecto disuasorio tiene que ser que habrá consecuencias para nuestros adversarios si hacen eso”, dijo.
