Trump prepara a EU para un ciberataque ‘catastrófico’

“La dependencia de la tecnología conectada creció más rápido que nuestra capacidad de asegurar la infraestructura crítica”, dice analista.
Tom Bossert, asesor de Seguridad Nacional.
Tom Bossert, asesor de Seguridad Nacional. (Kevin Lamarque/Reuters)

San Francisco

Este mes, el presidente de Estados Unidos, Donald Trump, firmó una orden ejecutiva que tiene el objetivo de elevar la protección de los servicios esenciales en caso de que un ataque cibernético tenga “efectos catastróficos regionales o nacionales en la salud pública, la seguridad económica o la seguridad nacional”.

La orden se dirige en especial a los operadores de infraestructura crítica, como los fabricantes de químicos, las firmas de comunicaciones, los servicios de emergencia y los proveedores de energía. Exige una investigación sobre el efecto de un prolongado corte eléctrico a causa de un ataque cibernético y los riesgos que enfrenta “la base industrial de defensa, que incluye su cadena de suministros, y los programas, sistemas, redes y capacidades militares”.

“La orden ejecutiva tiene varias cosas bien”, dice Beau Woods, subdirector de Cyber Statecraft Initiative en el Atlantic Council, un centro de expertos de EU. Agrega que evalúa correctamente que la infraestructura crítica es “anticuada y difícil de defender (...) Nuestra dependencia en la tecnología conectada creció más rápido que nuestra capacidad para asegurarla”, dice Woods. “Vimos que una sencilla campaña de phishing llevó a una brecha en la Convención Nacional Demócrata; los dispositivos de bajo costo y poca higiene amenazan la infraestructura de internet a través de los botnets Mirai, y la vulnerabilidad de nuestros servicios de salud pública y de la infraestructura crítica las expone al ransomware WannaCry”.

El pronunciamiento de Trump se basa en una orden de la administración Obama en 2013 que llevó a la creación del Marco de Seguridad Cibernética del Instituto Nacional de Ciencia y Tecnología. Esto proporcionó las directrices para las industrias esenciales, que van desde el sector bancario hasta los servicios públicos.

Trump asumió el cargo con la promesa de mejorar la seguridad cibernética del país después de una campaña electoral plagada de hackeos y filtraciones de datos en línea. Pero sus planes antes de firmar la orden no estaban claros, lo que dejó a los expertos de seguridad con dudas sobre las intenciones de la redacción de un borrador inicial y los nombramientos de personal clave. El conocimiento que tiene Trump sobre el tema está en duda, ya que alguna vez minimizó el hackeo ruso que hubo para su rival político, el Comité Nacional Demócrata, como probablemente la obra de un solo “hacker de 400 libras”.

La Comunidad de Inteligencia de EU, una federación de agencias del gobierno, desde entonces publicó un documento que declara con “mucha confianza que el presidente ruso, Vladímir Putin, ordenó una campaña para influir en 2016, con la mira en las elecciones presidenciales de EU”, y con una “clara preferencia” por Trump. Los funcionarios desde entonces dijeron que Trump ha reconocido el papel que tuvo Rusia en los hackeos en las elecciones.

A pesar de esto, los expertos de los grupos de reflexión y empresas elogiaron la contratación que hizo Trump de especialistas de seguridad cibernética en puestos de alto nivel. Entre ellos se encuentra, Tom Bossert, un ex asesor de Seguridad Nacional del presidente George W. Bush y miembro del Atlantic Council, que ahora es asesor de Seguridad Nacional, y Rob Joyce, un especialista técnico que solía dirigir las operaciones de ofensiva en la Agencia de Seguridad Nacional y ahora dirige la seguridad cibernética en la Casa Blanca.

Edward Stroz, ex agente del FBI, presidente de Stroz Friedberg y asesor de empresas sobre temas de seguridad cibernética, dice que la orden es particularmente buena para reconocer que la infraestructura crítica es “la joya de la corona” que se debe proteger. “Para un documento de esta naturaleza, es bastante concreto”.

La orden considera a los sistemas de software y a los proveedores que dan soporte a servicios como “presas y generadores”, alienta a los proveedores de infraestructura crítica a examinar los ecosistemas de los que dependen para asegurarse que pueden seguir funcionando en emergencias, dice Stroz. Agrega que la orden deja claro a los directores de las empresas que no pueden simplemente argumentar que la amenaza es demasiado grande como para poder lidiar con ella y que deben estar preparados para defender sus decisiones de gestión de riesgos de seguridad cibernética.

La orden también exige una modernización de la tecnología de información del gobierno, incluyendo grandes cambios en la adquisición y le da mayor responsabilidad a los jefes de las agencias y departamentos del gobierno.

Se basa en las lecciones que se aprendieron de varios ataques cibernéticos de gran escala durante el mandato del presidente Obama. Estos van desde el hackeo a sistemas de la Oficina de Administración de Personal, la división de recursos humanos del gobierno federal, que fijó la mira en datos de 18 millones de personas, hasta el asalto contra los sistemas de correo electrónico del Departamento de Estado, que según los informes llevaron a cabo los hackers rusos.

En un plazo de 90 días desde la emisión de la orden, que se firmó el 11 de mayo, se requiere que el jefe de cada agencia de gobierno proporcione un informe de gestión de riesgos al departamento de Seguridad Nacional

James Lewis, vicepresidente senior del Centro de Estudios Estratégicos e Internacionales, un grupo de investigación de políticas sin fines de lucro, dice que la orden es un “comienzo útil” pero solo si el gobierno puede moverse rápidamente.