El presidente Biden emite una segunda orden ejecutiva sobre ciberseguridad

A la luz de los recientes ciberataques dirigidos contra el Gobierno federal y las cadenas de suministro de Estados Unidos, la administración del presidente Biden ha publicado una orden ejecutiva (la «Orden») con el fin de modernizar y mejorar la postura del Gobierno federal en materia de ciberseguridad, así como introducir y ampliar los requisitos nuevos o existentes impuestos a los proveedores externos de las agencias federales.

En la medida en que los mandatos establecidos en esta Orden sigan vigentes después de que el presidente electo Donald Trump asuma el cargo, los proveedores y distribuidores externos que tengan contratos con el gobierno federal deberán garantizar el cumplimiento de las normas de ciberseguridad nuevas o actualizadas para seguir siendo elegibles para contratar con agencias federales. Dicho esto, incluso si esta Orden Ejecutiva no se traslada a la próxima administración, sigue proporcionando una orientación general sobre las mejores prácticas en materia de ciberseguridad. Aunque algunas de estas prácticas pueden no ser novedosas para el sector de la ciberseguridad, servirían como otro documento de orientación para las empresas sobre lo que constituye una «seguridad razonable».

A continuación se presenta un resumen general y no exhaustivo de algunos de los aspectos más destacados de la Orden Ejecutiva. Tenga en cuenta que las disposiciones entrarán en vigor en diferentes fechas, de acuerdo con los plazos establecidos en la Orden.

Último intento del Gobierno federal por modernizar su postura en materia de ciberseguridad

La Orden Ejecutiva subraya la importancia de modernizar la infraestructura de ciberseguridad del gobierno federal para defenderse de las campañas cibernéticas de adversarios extranjeros dirigidas contra el gobierno.

Una de las formas en que la nueva Orden intenta lograrlo es ordenando a las agencias federales que implementen «una autenticación de identidad y un cifrado sólidos» en todas las comunicaciones transmitidas a través de Internet, incluyendo el correo electrónico, las conferencias de voz y vídeo y la mensajería instantánea.

Además, a medida que las agencias federales han mejorado sus defensas cibernéticas, los adversarios se han centrado en los eslabones débiles de las cadenas de suministro de las agencias y en los productos y servicios de los que depende el gobierno. A la luz de esta amenaza generalizada, la Orden Ejecutiva hace hincapié en la necesidad de que las agencias federales integren los programas de gestión de riesgos de la cadena de suministro de ciberseguridad en la gestión de riesgos de toda la empresa, exigiendo a dichas agencias, a través de la Oficina de Gestión y Presupuesto (OMB), que (i) cumplan con las directrices de la Publicación Especial (SP) 800-161 del Instituto Nacional de Estándares y Tecnología (NIST) (Prácticas de gestión de riesgos de la cadena de suministro de ciberseguridad para sistemas y organizaciones), y (ii) proporcionen actualizaciones anuales a la OMB sobre sus esfuerzos de cumplimiento con respecto a la misma. Los requisitos de la OMB abordarán la integración de la ciberseguridad en el ciclo de vida de las adquisiciones a través de la planificación de las adquisiciones, la selección de fuentes, la determinación de responsabilidades, la evaluación del cumplimiento de la seguridad, la administración de contratos y la evaluación del rendimiento.

La Orden Ejecutiva también aborda la posibilidad de utilizar la inteligencia artificial (IA) para defenderse de los ciberataques, aumentando la capacidad del Gobierno para identificar rápidamente nuevas vulnerabilidades y automatizar las ciberdefensas. En concreto, la Orden instruye a determinados organismos a dar prioridad a la investigación sobre temas relacionados con la IA y la ciberdefensa, entre los que se incluyen: (i) métodos de interacción entre humanos e IA para ayudar en el análisis cibernético defensivo; (ii) seguridad de la asistencia en la codificación de la IA y seguridad del código generado por la IA; (iii) métodos para diseñar sistemas de IA seguros; y (iv) métodos para la prevención, respuesta, reparación y recuperación de incidentes cibernéticos que afecten a los sistemas de IA.

Más allá del uso de tecnología moderna para defenderse de las crecientes amenazas cibernéticas, la Orden Ejecutiva tiene como objetivo centralizar la gobernanza de la ciberseguridad del gobierno mediante la ampliación del papel de la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) como organismo principal encargado de supervisar los programas de ciberseguridad de las agencias civiles federales.

Mejora y ampliación de los requisitos impuestos a los proveedores externos de las agencias federales

Además de exigir a las agencias federales que ajusten su postura en materia de ciberseguridad, la Orden Ejecutiva también tiene por objeto garantizar que los proveedores externos de las agencias federales adopten diversas medidas destinadas a garantizar la seguridad y la protección de nuestro gobierno federal y de los sistemas de infraestructura crítica, y a reforzar las cadenas de suministro de los Estados Unidos frente a los ciberataques maliciosos.

Proveedores de software externos y prácticas seguras de desarrollo de software

Parte de la última orden ejecutiva se centra en la transparencia y el despliegue de software seguro que cumpla con los estándares establecidos en la primera ciberseguridad de la administración Biden, que se emitió en mayo de 2021. En virtud de dicha orden, los proveedores deben certificar que se adhieren a prácticas de desarrollo de software seguro, en un lenguaje impulsado por los piratas informáticos rusos que infectaron una actualización del software SolarWinds Orion, ampliamente utilizado, para penetrar en las redes de las agencias federales. Dado que el software inseguro sigue siendo un reto tanto para los proveedores como para los usuarios, ha seguido haciendo que el gobierno federal y los sistemas de infraestructura crítica sean vulnerables a nuevos incidentes cibernéticos maliciosos. Esto ha quedado recientemente ilustrado por varios ataques, entre ellos el aprovechamiento en 2024 de una vulnerabilidad en una popular aplicación de transferencia de archivos utilizada por múltiples agencias federales.

En este contexto, la nueva Orden Ejecutiva establece requisitos de certificación más estrictos para los proveedores de software que prestan servicios gubernamentales críticos y promueve una mayor transparencia al publicar cuándo estos proveedores han presentado sus certificaciones, de modo que otros puedan saber qué software cumple con los estándares de seguridad. En la misma línea, la nueva Orden también tiene por objeto proporcionar a los organismos federales un conjunto coordinado de prácticas de seguridad prácticas y eficaces que deben exigir cuando adquieren software, solicitando (i) la actualización de determinados marcos establecidos por el NIST que deben cumplir los organismos federales, como el NIST SP 800-218 (Marco de desarrollo de software seguro) (SSDF) — para el desarrollo y la entrega seguros de software, (ii) la emisión de nuevos requisitos por parte de la OMB derivados del SSDF actualizado del NIST para aplicar al uso de software de terceros por parte de las agencias federales, y (iii) posibles revisiones de la Certificación de desarrollo de software seguro de la CISA para ajustarse a los requisitos de la OMB.

Proveedores de productos de Internet de las cosas (IoT) para consumidores y etiqueta de confianza cibernética de EE. UU.

Para proteger aún más la cadena de suministro, la Orden Ejecutiva reconoce los riesgos a los que se enfrentan las agencias federales al adquirir productos IoT. Para hacer frente a estos riesgos, la Orden exige el desarrollo de requisitos adicionales para los contratos con los proveedores de IoT para consumidores. Los proveedores de IoT para consumidores que contraten con agencias federales tendrán que (i) cumplir con las prácticas mínimas de ciberseguridad establecidas por el NIST y (ii) incluir la etiqueta Cyber Trust Mark de Estados Unidos en sus productos. La iniciativa relacionada con la etiqueta Cyber Trust Mark fue presentada por la Casa Blanca el 7 de enero de 2025 y exigirá que los productos de IoT para consumidores superen una auditoría de ciberseguridad de EE. UU. y muestren legalmente la etiqueta en la publicidad y el embalaje.

Proveedores de servicios en la nube

La Orden Ejecutiva también exige el desarrollo de nuevas directrices para los proveedores de servicios en la nube, lo que no es de extrañar a la luz del reciente ciberataque al Departamento del Tesoro de los Estados Unidos, en el que un sofisticado grupo de hackers chino conocido como Silk Typhoon robó una clave digital de BeyondTrust Inc. —un proveedor de servicios externo del Departamento del Tesoro— y la utilizó para acceder a información no clasificada almacenada en las estaciones de trabajo de los usuarios del Departamento del Tesoro. La violación utilizó una técnica conocida como robo de tokens. Los tokens de autenticación están diseñados para mejorar la seguridad al permitir a los usuarios permanecer conectados sin tener que introducir repetidamente la contraseña. Sin embargo, si se ven comprometidos, estos tokens permiten a los atacantes suplantar a usuarios legítimos, lo que les concede acceso no autorizado a sistemas sensibles. 

Aunque es probable que este incidente no haya sido el motivo que impulsó la actualización de las directrices para los proveedores de servicios en la nube, sí que subraya la importancia de auditar las prácticas de seguridad de los proveedores externos y de tomar medidas para reducir la vida útil de los tokens, con el fin de limitar su utilidad en caso de robo. Estas nuevas directrices, recogidas en la Orden Ejecutiva, exigirían la autenticación multifactorial, contraseñas complejas y el almacenamiento de claves criptográficas mediante claves de seguridad de hardware para los proveedores de servicios en la nube de las agencias federales.

Principales conclusiones

Aunque el destino de la Orden Ejecutiva es incierto con la llegada de la nueva administración, las organizaciones que tienen contratos con el gobierno federal deben seguir de cerca cualquier novedad, ya que tendrán que cumplir los requisitos de ciberseguridad nuevos o mejorados establecidos en la Orden.

Además, incluso si esta orden ejecutiva fuera revocada por la próxima administración, las organizaciones no deberían perder la oportunidad de evaluar si sus programas de ciberseguridad cumplen con las directrices estándar del sector, como las del NIST, así como con las mejores prácticas generales.

Para obtener más información sobre esta Orden Ejecutiva o sobre cómo desarrollar un programa de ciberseguridad que cumpla con la normativa, póngase en contacto con los autores o con cualquier socio o asesor sénior del grupo de Ciberseguridad y Privacidad de Datos de Foley.