WASHINGTON — La administración de Biden planea lanzar el jueves una estrategia de seguridad cibernética que pide a los fabricantes de software y a la industria de EE. UU. que asuman mucha más responsabilidad para garantizar que sus sistemas no puedan ser pirateados, al tiempo que acelera los esfuerzos del FBI y el Departamento de Defensa para interrumpir a los piratas informáticos y el ransomware. grupos de todo el mundo.

Durante años, el gobierno ha presionado a las empresas para que informen voluntariamente las intrusiones en sus sistemas y “reparen” regularmente sus programas para descartar vulnerabilidades recién descubiertas, al igual que el iPhone con actualizaciones automáticas cada pocas semanas. Pero la nueva Estrategia Nacional de Ciberseguridad concluye que tales esfuerzos voluntarios son insuficientes en un mundo de intentos constantes por parte de piratas informáticos sofisticados, a menudo respaldados por Rusia, China, Irán o Corea del Norte, para penetrar redes gubernamentales y privadas críticas.

Cada administración desde la de George W. Bush, hace 20 años, ha emitido algún tipo de estrategia de seguridad cibernética, generalmente una vez en una presidencia. Pero la versión del presidente Biden difiere de las versiones anteriores en varios aspectos, principalmente al impulsar mandatos mucho más amplios sobre la industria privada, que controla la mayor parte de la infraestructura digital del país, y al ampliar el papel del gobierno para tomar medidas ofensivas para prevenir ataques cibernéticos, especialmente desde el exterior. .

La estrategia de la administración Biden prevé lo que llama “cambios fundamentales en la dinámica fundamental del ecosistema digital”. Si se promulga en nuevas regulaciones y leyes, obligaría a las empresas a implementar medidas mínimas de ciberseguridad para la infraestructura crítica, y tal vez responsabilizaría a las empresas que no aseguran su código, como los fabricantes de automóviles y sus proveedores, que son responsables de las bolsas de aire defectuosas o defectuosos. frenos.

“Simplemente se trata de reinventar el contrato social cibernético de Estados Unidos”, dijo Kemba Walden, directora cibernética nacional interina, un puesto de la Casa Blanca creado por el Congreso hace dos años para supervisar tanto la estrategia cibernética como la defensa cibernética. “Esperamos más de estos propietarios y operadores en nuestra infraestructura crítica”, agregó la Sra. Walden, quien asumió el cargo el mes pasado después de la renuncia del primer director cibernético nacional del país, Chris Inglis, ex subdirector de la Agencia de Seguridad Nacional.

El gobierno también tiene una mayor responsabilidad, agregó, para fortalecer las defensas y desbaratar los principales grupos de piratería que han bloqueado los registros hospitalarios o las operaciones de envasado de carne congelada en todo el país.

“Tenemos la obligación de hacer esto”, dijo la Sra. Walden, “porque Internet ahora es un bien común mundial. Por lo tanto, esperamos más de nuestro sector privado y socios industriales y sin fines de lucro, pero también esperamos más de nosotros mismos”.

Leído junto con las estrategias cibernéticas anteriores emitidas por los tres presidentes anteriores, el nuevo documento refleja cómo el delito cibernético y la defensa se están volviendo cada vez más centrales en la política de seguridad nacional.

La administración Bush nunca ha reconocido públicamente las capacidades cibernéticas ofensivas de Estados Unidos, incluso cuando orquestó el ataque cibernético más sofisticado jamás lanzado por un país contra otro: un esfuerzo encubierto para usar código para sabotear las instalaciones de combustible nuclear de Irán. La administración Obama se ha mostrado renuente a nombrar a Rusia y China como las fuerzas detrás de los principales ataques del gobierno de EE. UU.

La administración Trump ha intensificado las iniciativas ofensivas estadounidenses contra los piratas informáticos y los actores patrocinados por el estado en el extranjero. También expresó su preocupación de que Huawei, el gigante chino de las telecomunicaciones al que acusó de ser parte del gobierno chino, haya construido redes 5G de alta velocidad en los Estados Unidos y entre aliados, por temor a que el control de dichas redes por parte de la empresa ayudaría a la vigilancia china o permitir que Beijing apague los sistemas durante un conflicto.

Pero la administración Trump ha sido menos activa en exigir a las empresas estadounidenses que creen protecciones mínimas para la infraestructura crítica o en tratar de responsabilizar a esas empresas por daños si se explotan las vulnerabilidades que han pasado por alto.

Imponer nuevas formas de rendición de cuentas requeriría cambios legislativos importantes, y algunos funcionarios de la Casa Blanca reconocieron que ahora que los republicanos controlan la Cámara, Biden podría enfrentar una oposición abrumadora si busca aprobar algo que equivalga a una nueva regulación corporativa.

Muchos elementos de la nueva estrategia ya están en marcha. De alguna manera, se está poniendo al día con los pasos dados por la administración de Biden después de luchar durante su primer año, que comenzó con importantes ataques a los sistemas utilizados tanto por la industria privada como por el ejército.

Después de que un grupo de ransomware ruso cerrara las operaciones en el Oleoducto Colonial, que maneja gran parte de la gasolina y el combustible para aviones a lo largo de la costa este, la administración Biden usó poderes legales poco conocidos de la Administración de Seguridad del Transporte para regular la vasta red de energía de la nación. oleoductos. . Los propietarios y operadores de tuberías ya están obligados a obedecer una amplia gama de normas establecidas en gran medida por el gobierno federal, y más adelante esta semana se espera que la Agencia de Protección Ambiental haga lo mismo con las líneas de agua.

No existen autoridades federales paralelas que exijan estándares mínimos de ciberseguridad en los hospitales, que en gran medida están regulados por el estado. Han sido otro objetivo de los ataques desde Vermont hasta Florida.

“Deberíamos haber estado haciendo muchas de estas cosas hace años después de que los ataques cibernéticos se usaron por primera vez para dejar sin electricidad a miles de personas en Ucrania”, dijo el miércoles Ann Neuberger, asesora adjunta de seguridad nacional de Biden para cibernética y tecnologías emergentes. Se refería a una serie de ataques a la red eléctrica de Ucrania que comenzaron hace siete años.

Ahora, dijo, “estamos literalmente armando un enfoque sector por sector que cubre la infraestructura crítica”.

La Sra. Neuberger citó a Ucrania como un ejemplo de construcción proactiva de defensas cibernéticas y resiliencia: en las semanas posteriores a la invasión rusa, Ucrania cambió sus leyes para permitir que los ministerios trasladen sus bases de datos y muchas operaciones gubernamentales a la nube, respaldando servidores informáticos y centros de datos. alrededor de Kiev y otras ciudades que luego fueron objetivos de la artillería rusa. En cuestión de semanas, muchas de estas granjas de servidores fueron destruidas, pero el gobierno continuó operando, comunicándose con servidores en el extranjero utilizando sistemas satelitales como Starlink, también introducido después del estallido de la guerra.

La estrategia también se pone al día con un programa ofensivo que se ha vuelto cada vez más agresivo. Hace dos años, el FBI comenzó a utilizar órdenes de registro para encontrar y destruir fragmentos de código malicioso encontrados en redes corporativas. Más recientemente, penetró en las redes de un grupo de ransomware, eliminó las “claves de descifrado” que habrían desbloqueado los documentos y sistemas pertenecientes a las víctimas del grupo y frustró los esfuerzos para cobrar grandes rescates.

El FBI puede trabajar en redes internas; Se supone que el Comando Cibernético de EE. UU. perseguirá a los grupos de piratería rusos como Killnet, un grupo pro-Moscú responsable de una serie de ataques de denegación de servicio que comenzaron en los primeros días de la guerra de Ucrania. Cyber ​​​​Command también ralentizó las operaciones de las agencias de inteligencia rusas en torno a las elecciones estadounidenses de 2018 y 2020.

Pero tampoco es una solución permanente; algunos grupos a los que apunta Estados Unidos se han reformulado, a menudo con nombres diferentes.

La única reunión cara a cara de Biden como presidente con el líder ruso Vladimir V. Putin en 2021 en Ginebra fue dictada en gran medida por los temores de que los crecientes ataques de ransomware afectaran la vida de los consumidores, pacientes de hospitales y trabajadores de fábricas. Biden advirtió al líder ruso que su gobierno sería responsable de los ataques provenientes del territorio ruso.

Hubo una pausa durante varios meses y las autoridades rusas allanaron un destacado grupo de piratas informáticos en Moscú. Pero esta cooperación terminó con la apertura de la guerra en Ucrania.

En un discurso esta semana en la Universidad Carnegie Mellon, Jen Easterly, directora de la Agencia de Seguridad de Infraestructura y Ciberseguridad, describió los esfuerzos de la administración como “echar la culpa a aquellas entidades que no cumplen con el deber de cuidado que deben a sus clientes”.

“Los consumidores y las empresas esperan que los productos comprados a un proveedor de confianza funcionen según lo previsto y no presenten un riesgo indebido”, agregó Easterly, argumentando que la administración debería “desarrollar una legislación para evitar que los fabricantes de tecnología renuncien a la responsabilidad contractual”, una práctica común que pocos aviso en la letra pequeña de las compras de software.