La Orden Ejecutiva de Trump puede crear nuevos desafíos de seguridad

Hoy en día, el gobierno de EE. UU. ejerce tanta influencia sobre la ciberseguridad que incluso el cambio más pequeño en la política puede tener un impacto profundo. Una orden ejecutiva emitida por el presidente Trump no es una excepción, especialmente cuando se refiere a reglas que requieren que las agencias federales comiencen a probar tecnologías de autenticación resistentes al phishing y la adopción tanto de identidades digitales como de criptografía post-cuántica (PQC).

Específicamente, la administración está revirtiendo una orden ejecutiva anterior emitida por el expresidente Joe Biden que pedía una adopción más agresiva de tecnologías de autenticación más robustas e identidades digitales para mejorar la ciberseguridad y reducir el fraude. Sin embargo, la administración de Trump, dado el enfoque actual en la aplicación de políticas de inmigración, está preocupada de que las identidades digitales puedan ser utilizadas por inmigrantes ilegales para acceder a beneficios que no tienen derecho a recibir.

El segundo cambio importante eliminó una orden de Biden que requería que las agencias federales comenzaran a usar cifrado resistente a la computación cuántica “tan pronto como sea posible”, además de exigir a los proveedores que usen PQC cuando sea tecnológicamente posible. La administración Trump también eliminó las instrucciones para que los departamentos de Estado y Comercio alentaran a los principales aliados extranjeros y a las industrias en el extranjero a adoptar algoritmos post-cuánticos definidos por el Instituto Nacional de Estándares y Tecnología (NIST).

Un tercer cambio se refiere a asegurar las cadenas de suministro de software. Anteriormente, cualquier proveedor que vendiera software al gobierno federal debía atestiguar la seguridad del software presentando documentación que demostrara que seguían las mejores prácticas de DevSecOps. Ahora, el gobierno de EE. UU. a través de NIST solo proporcionará orientación, en lugar de exigir a los proveedores que presenten un informe real.

Además, se han eliminado las disposiciones que requerían que la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) verificara las declaraciones proporcionadas por los proveedores, que requerían que la Oficina del Director Nacional de Ciberseguridad (ONCD) publicara los resultados de esas revisiones y alentaban a la ONCD a remitir a las empresas cuyas declaraciones no superaran una revisión al Departamento de Justicia "para que tomara medidas según corresponda".

La administración Trump también eliminó las reglas que exigían al NIST emitir directrices para identificar prácticas mínimas de ciberseguridad basadas en una revisión de estándares aceptados globalmente que requerían que los proveedores siguieran esas prácticas.

La hoja informativa proporcionada por la administración Trump dijo que la orden anterior de Biden impuso “procesos de contabilidad de software no probados y onerosos que priorizaron las listas de verificación de cumplimiento sobre inversiones genuinas en seguridad” y micromanipuló “decisiones técnicas de ciberseguridad que se manejan mejor a nivel de departamento y agencia, donde los intercambios presupuestarios y las soluciones innovadoras pueden ser evaluadas e implementadas de manera más efectiva.”

La administración Trump también está reduciendo el alcance de una orden anterior relacionada con la seguridad de la inteligencia artificial (IA). La orden de Trump ahora requiere que las agencias federales rastreen las vulnerabilidades en los sistemas de IA, las integren en las líneas de respuesta ante incidentes y limiten el intercambio de datos solo a lo que sea factible bajo restricciones de seguridad y confidencialidad. Anteriormente, las agencias federales compartían esa información con otros países aliados con los EE.UU.

La administración de Trump está modificando una orden anterior emitida por el presidente Obama hace casi 10 años. Ahora las sanciones no se pueden aplicar en ninguna actividad relacionada con elecciones y solo a actores extranjeros maliciosos para evitar el uso indebido contra oponentes políticos nacionales.

Finalmente, la orden ejecutiva también eliminó el lenguaje de una orden ejecutiva anterior que instruía a la Oficina de Administración y Presupuesto (OMB) a asesorar a las agencias sobre cómo abordar los riesgos relacionados con la concentración de proveedores de TI.

Independientemente de la dirección política que pueda seguir cualquier profesional de la ciberseguridad, lo único en lo que todos pueden estar de acuerdo es que el gobierno federal de EE. UU. establece un ejemplo a seguir para los demás. Como tal, los cambios que dependen más de sugerencias que de requisitos van a hacer que lograr y mantener la ciberseguridad sea mucho más desafiante.