Estrategia de ciberseguridad de Trump para 2026: Del cumplimiento a la consecuencia

¿Cuál es la estrategia de ciberseguridad de Trump para 2026?

Las acciones cibernéticas de la administración Trump de marzo de 2026 incluyen una Orden Ejecutiva dirigida a la ciberdelincuencia y una Estrategia Nacional de Ciberseguridad basada en seis pilares. Juntas, señalan un cambio de la doctrina cibernética abstracta hacia un realismo en la aplicación económica y penal. El hilo conductor es simple: la política de ciberseguridad debe eliminar la fricción para los defensores mientras aumenta el coste para los adversarios.

Regulación con sentido común

El pilar más trascendental de la estrategia (y quizás el más difícil de implementar) es su compromiso de simplificar la regulación de ciberseguridad para que las empresas puedan centrarse en la defensa en lugar de en el papeleo de cumplimiento.

La lógica es sencilla:

• El entorno actual de riesgo cibernético se mueve más rápido que los ciclos regulatorios.
• Las normas superpuestas (y a veces contradictorias) entre agencias crean fatiga de cumplimiento. Los plazos y las definiciones deben armonizarse lo antes posible.
• Cuando las organizaciones gastan recursos en demostrar el cumplimiento, presumiblemente gastan menos en seguridad real.

La estrategia propone reducir los requisitos redundantes y dar a las organizaciones mayor flexibilidad en cómo protegen los sistemas. Para la industria y los operadores:

1. El cumplimiento basado en riesgos puede empezar a reemplazar la seguridad basada en listas de verificación.
   Los equipos de seguridad pueden priorizar la mitigación de amenazas en lugar de la documentación ritualista.
2. Convergencia regulatoria entre sectores.
   Se espera una alineación entre el Departamento de Seguridad Nacional, el Departamento del Tesoro, el Departamento de Guerra y los reguladores sectoriales.
3. Ventaja de innovación.
   Eliminar la fricción regulatoria tiene como objetivo mantener a las empresas estadounidenses competitivas en IA, cripto y tecnologías emergentes.

En esencia, la administración apuesta a que la innovación + la rendición de cuentas superan la regulación rígida en ciberdefensa.

Dirigirse a la cadena de suministro criminal

La Orden Ejecutiva del 6 de marzo se centra en la ciberdelincuencia con motivación financiera, enmarcando a las bandas de ransomware, las redes de fraude y las operaciones de estafa como organizaciones criminales transnacionales. Estas redes operan:

• ransomware
• phishing
• sextorsión
• esquemas de suplantación de identidad y fraude financiero (abuso de ancianos en particular, según los informes del IC3 del FBI de los últimos años)

La orden instruye a las agencias a coordinar herramientas técnicas, diplomáticas y de aplicación de la ley para desmantelar estas redes a nivel global. Las herramientas clave de aplicación de la ley incluyen:

• sanciones contra países que albergan operaciones de ciberdelincuencia
• restricciones de visado y presión diplomática
• procesamiento prioritario del fraude cibernético
• planes operativos interinstitucionales para desmantelar sindicatos criminales 

Esto marca un giro en la política. En lugar de simplemente fortalecer las redes, el gobierno busca desmantelar el modelo de negocio criminal. Podemos esperar más incautaciones financieras por parte del FBI y el DOJ, mejores investigaciones transfronterizas, así como sanciones a las jurisdicciones que albergan estas actividades. La ciberdelincuencia se trata menos como una molestia inevitable y más como crimen organizado con consecuencias geopolíticas.

Los seis pilares de la estrategia

La estrategia nacional organiza la política cibernética en torno a seis áreas:

1. Modelar el comportamiento del adversario (aumentar el coste para los atacantes)
2. Promover una regulación de sentido común (reducir la fricción y los costes operativos)
3. Modernizar y proteger las redes federales (mejorar, ya era hora)
4. Proteger la infraestructura crítica (nuestro talón de Aquiles colectivo)
5. Mantener la superioridad en tecnologías emergentes (superar los límites)
6. Desarrollar talento cibernético y capacidad de la fuerza laboral (mejorar las habilidades de todos)

El documento en sí es intencionadamente breve, de unas 7 páginas. Los pilares reflejan tres temas principales: disuasión, desregulación y ejecución público-privada. El último tema es uno que me importa mucho, ya que he trabajado durante años en la construcción de la participación en CTI a través de ISACS, InfraGard, AFCEA y más. Al fin y al cabo, debemos reconocer que al menos el 85% de los activos son propiedad del sector privado. 

Como dijo el General Michael V. Hayden, exdirector de la NSA y la CIA, en una charla que dio hace varios años durante la gira de su libro de memorias "Playing to the Edge", el sector privado es "el cuerpo principal" en el teatro de operaciones cibernéticas. No es el gobierno. El gobierno está ahí para proteger el motor de la economía: el sector privado. Si el gobierno llegara a confundirse tanto como para pensar que es el cuerpo principal, entonces nos habríamos desviado terriblemente.

Lo que la estrategia de ciberseguridad de Trump significa para los CISO

Desde la perspectiva de un CISO en ejercicio, cuatro resultados accionables son los más importantes.

1. La ciberseguridad se convierte en un asunto de aplicación de la ley y seguridad nacional, no solo de TI.
2. La reforma del cumplimiento normativo reconfigurará la gobernanza cibernética (si se implementa correctamente) a medida que se aplique más talento a la seguridad real en lugar de a la redacción y actualización de documentos de políticas de cumplimiento. Después de todo, los LLM son exquisitamente adecuados para ensamblar «todas las palabras correctas» de todos modos, ¿verdad?
3. La ciberseguridad ofensiva y la disuasión se expandirán y la capacidad para ejecutar seguridad ofensiva ya no es competencia exclusiva del gobierno. Se está animando explícitamente al sector privado a influir en los resultados de los actores de amenazas con técnicas de disuasión y engaño.
4. La IA y las tecnologías emergentes son fundamentales para este próximo período de crecimiento e innovación. Las capacidades en tiempo real que operan a «velocidad de cable» entrarán en juego para más organizaciones. 

‍
La monitorización continua fue el mantra que se predicó mientras ayudaba a redactar la guía para el Foro Económico Mundial en 2021 en las industrias del petróleo y el gas. Insertar la palabra «continua» delante de la palabra «monitorización» fue una tarea enorme en las actualizaciones del lenguaje de gobernanza. Trabajamos durante meses en cómo elevar el listón y adoptar la ciberseguridad como un facilitador estratégico y no solo como un centro de costes. 

Ahora, con la aparición de herramientas agénticas y modelos de inferencia para LLM, tenemos un renovado interés y entusiasmo por la automatización y los sistemas autónomos. La orquestación de agentes que pueden tomar decisiones ya no es solo un tema de informes técnicos que se escriben en las universidades. 

Y finalmente, no olvidemos la próxima «Reese’s Peanut Butter Cup» de los ciclos de exageración: el aprendizaje automático cuántico. El increíble potencial de la criptografía postcuántica y la tecnología cuántica en general promete resolver problemas que la computación clásica no pudo abordar ni someter. También promete traer, al ser una tecnología necesariamente de doble filo, nuevos riesgos y disrupciones al orden mundial si pensamos en ataques cuánticos contra nuestro enfoque actual de los algoritmos de cifrado para proporcionar privacidad y comunicaciones secretas.

Reflexión final

La estrategia cibernética de 2026 y la Orden Ejecutiva (EO) juntas señalan un cambio bienvenido y pragmático. La doctrina es simple: defender menos a través del papeleo, disuadir más a través del poder. Si se implementa correctamente (y este es un gran "si"), la estrategia podría alejar la política de ciberseguridad de EE. UU. de los marcos de cumplimiento reactivos hacia la disrupción económica de los ecosistemas de ciberdelincuencia. Ahí es donde reside la verdadera influencia. Esperemos que la llevemos adelante y creemos una infraestructura adaptativa, robusta y transformadora que se fortalezca cuanto más sea atacada, ya que esa es la verdadera naturaleza de la resiliencia.