La estrategia de ciberseguridad de Trump para 2026: del cumplimiento a las consecuencias

¿Cuál es la estrategia de ciberseguridad de Trump para 2026?

Las medidas cibernéticas de la administración Trump para marzo de 2026 incluyen una orden ejecutiva dirigida a los delitos cibernéticos y una estrategia cibernética nacional basada en seis pilares. En conjunto, señalan un cambio de la doctrina cibernética abstracta hacia el realismo económico y penal. El hilo conductor es sencillo: la política de ciberseguridad debe eliminar las fricciones para los defensores y aumentar el coste para los adversarios.

Regulación basada en el sentido común

El pilar más importante de la estrategia (y quizás el más difícil de implementar) es su compromiso de simplificar la normativa sobre ciberseguridad para que las empresas puedan centrarse en la defensa en lugar de en el papeleo relacionado con el cumplimiento normativo.

La lógica es sencilla:

• El entorno actual de riesgos cibernéticos evoluciona más rápido que los ciclos normativos.
• Las normas superpuestas (y a veces contradictorias) entre las distintas agencias generan fatiga normativa. Es necesario armonizar los plazos y las definiciones lo antes posible.
• Cuando las organizaciones dedican recursos a demostrar el cumplimiento normativo, es probable que inviertan menos en seguridad real.

La estrategia propone reducir los requisitos redundantes y dar a las organizaciones mayor flexibilidad en la forma de proteger sus sistemas. Para la industria y los operadores:

1. El cumplimiento basado en el riesgo puede comenzar a sustituir a la seguridad basada en listas de comprobación.
   Los equipos de seguridad pueden dar prioridad a la mitigación de amenazas en lugar de a la documentación ritualista.
2. Convergencia normativa entre sectores.
   Se espera una armonización entre el Departamento de Seguridad Nacional, el Departamento del Tesoro, el Departamento de Defensa y los reguladores sectoriales.
3. Ventaja innovadora.
   La eliminación de las fricciones normativas tiene por objeto mantener la competitividad de las empresas estadounidenses en materia de inteligencia artificial, criptografía y tecnologías emergentes.

En esencia, la administración apuesta por que la innovación y la responsabilidad superan a la regulación rígida en materia de ciberdefensa.

Atacar la cadena de suministro delictiva

La Orden Ejecutiva del 6 de marzo se centra en los delitos cibernéticos con motivación económica, y califica a las bandas de ransomware, las redes de fraude y las operaciones de estafa como organizaciones criminales transnacionales. Estas redes operan:

• ransomware
• phishing
• sextorsión
• suplantación de identidad y estafas financieras (en particular, abuso de personas mayores según los informes del IC3 del FBI de los últimos años)

La orden instruye a las agencias a coordinar herramientas técnicas, diplomáticas y policiales para desmantelar estas redes a nivel mundial. Las herramientas clave para hacer cumplir la ley incluyen:

• Sanciones contra países que albergan operaciones de ciberdelincuencia.
• restricciones de visado y presión diplomática
• persecución prioritaria del fraude cibernético
• planes operativos interinstitucionales para desmantelar las organizaciones criminales 

Esto supone un giro en la política. En lugar de limitarse a reforzar las redes, el Gobierno pretende acabar con el modelo de negocio delictivo. Cabe esperar más incautaciones financieras por parte del FBI y el Departamento de Justicia, mejores investigaciones transfronterizas y sanciones a las jurisdicciones que dan cobijo a estas actividades. Los delitos cibernéticos dejan de considerarse una molestia inevitable para pasar a tratarse como delitos organizados con consecuencias geopolíticas.

Los seis pilares de la estrategia

La estrategia nacional organiza la política cibernética en torno a seis áreas:

1. Modificar el comportamiento de los adversarios (aumentar el coste para los atacantes)
2. Promover una regulación basada en el sentido común (reducir las fricciones y los gastos generales).
3. Modernizar y proteger las redes federales (es hora de dar un paso adelante).
4. Proteger las infraestructuras críticas (nuestro talón de Aquiles colectivo)
5. Mantener la superioridad en tecnologías emergentes (ir más allá).
6. Desarrollar el talento cibernético y la capacidad de la fuerza laboral (mejorar las habilidades de todos).

‍

El documento en sí es intencionadamente breve, con unas 7 páginas. Los pilares reflejan tres temas principales: disuasión, desregulación y ejecución público-privada. El último tema es muy importante para mí, ya que he trabajado durante años en la participación de CTI en ISACS, InfraGard, AFCEA y otras organizaciones. Al fin y al cabo, debemos reconocer que al menos el 85 % de los activos son propiedad del sector privado. 

‍

Como dijo el general Michael V. Hayden, exdirector de la NSA y la CIA, en una charla que dio durante la gira de presentación de su libro de memorias «Playing to the Edge» hace varios años, el sector privado es «el cuerpo principal» en el teatro de operaciones cibernéticas. No es el gobierno. El gobierno está ahí para proteger el motor de la economía: el sector privado. Si el gobierno llegara a confundirse hasta el punto de pensar que es el organismo principal, entonces habríamos tomado un rumbo terriblemente equivocado.

¿Qué significa la estrategia de ciberseguridad de Trump para los CISO?

Desde la perspectiva de un profesional de la seguridad de la información, hay cuatro resultados prácticos que son los más importantes.

1. La ciberseguridad se convierte en una cuestión de seguridad nacional y aplicación de la ley, no solo en una cuestión informática.
2. La reforma del cumplimiento normativo remodelará la gobernanza cibernética (si se aplica correctamente), ya que se dedicará más talento a la seguridad real en lugar de a redactar y actualizar documentos de políticas de cumplimiento. Al fin y al cabo, los LLM son perfectos para reunir «todas las palabras adecuadas», ¿no?
3. Las ciberataques ofensivos y la disuasión se expandirán, y la capacidad para ejecutar medidas de seguridad ofensivas ya no es competencia exclusiva del gobierno. Se está animando explícitamente al sector privado a influir en los resultados de los actores maliciosos mediante técnicas de disuasión y engaño.
4. La inteligencia artificial y las tecnologías emergentes son fundamentales para este próximo periodo de crecimiento e innovación. Las capacidades en tiempo real que operan a «velocidad de cable» entrarán en juego para más organizaciones. 

monitorización continua el mantra que se predicó cuando ayudé a redactar las directrices para el Foro Económico Mundial de 2021 en las industrias del petróleo y el gas. Insertar la palabra «continua» delante de la palabra «monitorización» supuso un enorme esfuerzo en la actualización del lenguaje de la gobernanza. Trabajamos durante meses para determinar exactamente cómo elevar el listón y adoptar la ciberseguridad como un facilitador estratégico y no solo como un centro de costes. 

‍

Ahora, con la aparición de herramientas de agencia y modelos de inferencia para los LLM, hemos renovado nuestro interés y entusiasmo por la automatización y los sistemas autónomos. La coordinación de agentes capaces de tomar decisiones ya no es solo el tema de los informes técnicos que se escriben en las universidades. 

‍

Y, por último, no olvidemos la próxima «Reese's Peanut Butter Cup» de los ciclos de hype: el aprendizaje automático cuántico. El increíble potencial de la criptografía poscuántica y la tecnología cuántica en general promete resolver problemas que la informática clásica no ha podido abordar ni dominar. También promete traer, al ser una tecnología necesariamente de doble filo, nuevos riesgos y perturbaciones al orden mundial si pensamos en los ataques cuánticos contra nuestro enfoque actual de los algoritmos de cifrado para proporcionar privacidad y comunicaciones secretas.

Reflexión final

La estrategia cibernética para 2026 y la orden ejecutiva juntas señalan un cambio bienvenido y pragmático. La doctrina es simple: defender menos con papeleo y disuadir más con poder. Si se implementa correctamente (y esto es un gran «si»), la estrategia podría alejar la política de ciberseguridad de EE. UU. de los marcos de cumplimiento reactivos hacia la disrupción económica de los ecosistemas del cibercrimen. Ahí es donde reside la verdadera influencia. Esperemos que la llevemos adelante y creemos una infraestructura adaptable, robusta y transformadora que se fortalezca cuanto más se ataque, ya que esa es la verdadera naturaleza de la resiliencia.