Análisis Joe Biden, en los últimos días de su presidencia de Estados Unidos, emitió otra orden de ciberseguridad que tiene un alcance casi tan amplio como lo es al final del juego.
La amplia directiva, firmada el jueves, cubre una variedad de temas incluyendo proteger las redes de comunicaciones federales contra fisgones extranjeros, imponer sanciones más duras para las bandas de ransomware, exigir a los proveedores de software que desarrollen productos más seguros y utilizar la inteligencia artificial para impulsar las capacidades de ciberdefensa de Estados Unidos, entre otras cosas.
Este último mandato presidencial sigue a un año de ataques sin precedentes por espías del gobierno chino que han sido descubiertos alfombrilla de ratón en redes federales y de telecomunicaciones y excavando en infraestructuras críticas para prepararse para futuros ciberataques destructivos.
Además, delincuentes ransomware interrumpido miles de farmacias y hospitales en todo Estados Unidos y robó información confidencial perteneciente a alrededor de 100 millones de personas después de bloquear los sistemas de Change Healthcare en febrero.
También el jueves, Microsoft prevenido que el brazo en línea del Servicio Federal de Seguridad Ruso había regresado con una nueva campaña de phishing de robo de datos a pesar de que los federales y Microsoft confiscaron o cerraron más de 180 sitios web relacionados con esa actividad desde octubre.
Y llega pocos días antes de que Donald Trump se convierta en el presidente número 47 de Estados Unidos, a pesar de que muchos de los plazos se extienden hasta bien entrada la toma de posesión de la nueva administración.
Es una especie de Ave María diseñada para incluir todo lo posible y ver qué se pega.
Si bien Estados Unidos enfrenta serias amenazas cibernéticas provenientes tanto de estados nacionales como de delincuentes con motivaciones financieras, varios de los componentes de la orden ejecutiva pueden estar muertos al llegar.
«Dado el momento justo antes de un cambio en la administración, no puedo evitar pensar que es una especie de Ave María diseñada para incluir todo lo posible y simplemente ver qué se mantiene», dijo el estratega de seguridad de Wallarm, Tim Erlin. El Registro.
«Es importante tener en cuenta que estas órdenes ejecutivas, si bien tienen intenciones radicales, tienen un alcance limitado y a menudo se retrasan significativamente en su ejecución», añadió. «Por ejemplo, el requisito para la contratación pública utilizando la Cyber Trust Mark recientemente ratificada no entrará en vigor hasta 2027. En dos años pueden cambiar muchas cosas en materia de ciberseguridad».
Asegurar las cadenas de suministro de software
Una gran parte del pedido aborda la necesidad de mejorar cadenas de suministro de software seguras y usando el poder de adquisición del gobierno para garantizar que esto suceda. Hace referencia a la directiva anterior de ciberseguridad de Biden, orden ejecutiva 14028firmado en mayo de 2021 durante su primer año en el cargo.
Esto condujo al desarrollo de prácticas seguras de desarrollo de software, requirió que las empresas de software demostraran el cumplimiento de esas prácticas y luego les dijo a las agencias federales que solo podían usar software de proveedores que certificaran el uso de esas mejores prácticas.
Aun así, «en algunos casos, los proveedores de software del gobierno federal se comprometen a seguir prácticas de ciberseguridad, pero no solucionan vulnerabilidades explotables bien conocidas en su software, lo que pone al gobierno en riesgo de verse comprometido», dice la EO.
Para abordar estos problemas, la directiva de ciberseguridad exige que las empresas de software que venden al gobierno deben presentar pruebas a CISA de que están siguiendo prácticas seguras de desarrollo de software.
También requiere que el gobierno federal elabore un «conjunto coordinado de prácticas de seguridad prácticas y efectivas que deberá exigir cuando adquiera software», esencialmente requisitos mínimos de ciberseguridad.
Además, ordena al Instituto Nacional de Estándares y Tecnología (NIST) que brinde orientación sobre cómo implementar parches y actualizaciones de software de manera segura, y ordena a varios jefes de agencias gubernamentales, incluido CISA, que emitan recomendaciones sobre parches de software de código abierto y mejores prácticas para contribuir a proyectos de código abierto.
Es probable que estos requisitos federales de adquisiciones experimenten un rechazo por parte de la industria del software, y posiblemente un retroceso total por parte de Trump, que no es partidario de las regulaciones.
«Obviamente, los cabilderos van a luchar con uñas y dientes» para eliminar los pasos adicionales que los fabricantes de software deben tomar para demostrar que sus productos son seguros, dijo Tom Kellermann, investigador global de política cibernética en el Wilson Center. El Registro.
Aun así, añadió, a la orden presidencial «le falta algo».
«Debería exigir que uno pueda monitorear continuamente su código, sus aplicaciones, para detectar anomalías de comportamiento, es decir, días cero», dijo Kellermann. «Como monitorear continuamente, en tiempo real y en tiempo de ejecución, en producción. No lo escaneas en desarrollo y me muestras una certificación de que lo haces. La única razón por la que los chinos y los rusos entran todo el tiempo es por cero -días.»
Asegurar las redes federales
Otra pieza importante de la EO implica proteger las redes y sistemas federales luego de una serie de intrusiones por parte de ambos. Rusia y Porcelana en sistemas y dispositivos de TI gubernamentales.
Esta sección requiere que las agencias utilicen estándares de autenticación resistentes al phishing, como WebAuthn.
Ordena al Departamento de Defensa y Seguridad Nacional que «establezca procedimientos para compartir inmediatamente información sobre amenazas» mientras fortalece la «capacidad de CISA para buscar e identificar amenazas entre las agencias de la FCEB». Ambos apuntan a acelerar la búsqueda e identificación de nuevas amenazas por parte del gobierno antes de que avancen a través de las redes gubernamentales.
La EO también dice que las agencias gubernamentales deben habilitar el cifrado de transporte de forma predeterminada en el correo electrónico, la mensajería instantánea y las conferencias de voz y video basadas en Internet. Pero no llega a exigir cifrado de extremo a extremo para proteger las comunicaciones seguras y, en cambio, dice que las agencias «cuando estén técnicamente respaldadas, utilizarán cifrado de extremo a extremo de forma predeterminada mientras mantienen capacidades de registro y archivo que permitan a las agencias cumplir con los requisitos de gestión de registros y responsabilidad».
La verdadera privacidad y seguridad exige cifrado de extremo a extremo. La EO del Presidente no da en el blanco
Esto, según el director ejecutivo de Virtru, John Ackerly, que trabajó en la Casa Blanca de George W. Bush como asesor tecnológico, es otra oportunidad perdida para la administración Biden.
Ackerly señaló las «múltiples menciones» de la orden a la seguridad de la capa de transporte, o TLS. «Aunque tal vez no sea sorprendente dada la continua protección de la administración saliente y el FBI sobre este tema, el silencio sobre el cifrado de extremo a extremo es ensordecedor», dijo. El Registro. «TLS sólo protege los datos en tránsito, y sólo están en tránsito por un instante».
Tras los ataques del tifón de sal que comprometieron a las empresas de telecomunicaciones estadounidenses y permitieron a los espías respaldados por Beijing «grabar llamadas telefónicas a voluntad«, el FBI y CISA aconsejaron a la gente que utilizara un «cifrado responsable».
«En un mundo donde los malos actores atacan a Estados Unidos a diario, el ‘cifrado responsable’ y TLS simplemente no son suficientes», afirmó Ackerly. «La verdadera privacidad y seguridad exige cifrado de extremo a extremo. Esto no es discutible. La EO del presidente no da en el blanco».
Asegurar la IA y la seguridad habilitada por IA
La IA tiene su propia sección en la EO, titulada «Promoción de la seguridad con y en la inteligencia artificial». La directiva establece varios plazos relacionados con la IA y exige una colaboración público-privada y un programa piloto sobre el uso de la IA para la ciberdefensa en el sector energético.
También exige un nuevo programa del Departamento de Defensa para implementar modelos avanzados de ciberdefensa y prioriza la financiación de la investigación sobre ciberseguridad asistida por IA.
«Si bien la IA para la ciberdefensa es imprescindible, introduce riesgos como sesgo algorítmico, ataques adversarios, fuga de datos y dependencia excesiva de la tecnología sin supervisión humana y regulación adecuada», advirtió Gabrielle Hempel, ingeniera de soluciones para clientes de Exabeam.
Y luego, en el otro lado de la seguridad de la IA (proteger el software y los modelos mismos), la orden requiere que el Departamento de Defensa, Seguridad Nacional y los Directores de Inteligencia Nacional y la Oficina de Gestión y Presupuesto incorporen la gestión de las vulnerabilidades del software de IA en sus procesos.
También exige que estas agencias hagan un mejor trabajo coordinando «la gestión de vulnerabilidades, incluso mediante el seguimiento, la respuesta y la presentación de informes de incidentes, y compartiendo indicadores de compromiso para los sistemas de IA».
Hempel dice que la EO «parece sólida sobre el papel», pero añade que muchos planes lo son. «¿Qué tan factible es implementarlo? Con la forma en que actúe el gobierno federal, habrá un panorama de ataques completamente nuevo antes de que se implemente», advirtió.
Por ejemplo, otra sección de la EO fomenta el uso de documentos de identidad digitales para acceder a programas de beneficio público como medio para combatir las identidades robadas y falsas utilizadas por los delincuentes en esquemas de fraude digital.
«Los marcos de identidad digital son un gran paso, ya que muchos otros países ya los están utilizando y gobernando», dijo Hempel. «Sin embargo, planteo la misma pregunta que todas las demás implementaciones tecnológicas que tiene el gobierno: ¿cómo garantizaremos la privacidad de los datos y no abriremos una gran cantidad de nuevos vectores de ataque al implementar esto?»
Si bien la EO menciona proteger los sistemas federales, «hay una marcada falta de enfoque en proteger los sectores de infraestructura críticos y cerrar la brecha entre la infraestructura pública y privada», señaló Hempel. «La seguridad federal es sólo una pieza del rompecabezas y, francamente, no es donde reside la mayor vulnerabilidad». ®
