La ciberdefensa de Estados Unidos se está desmantelando desde adentro
(theregister.com)- La crisis por la posible interrupción de la base de datos CVE muestra que el sistema federal de ciberseguridad de Estados Unidos puede tambalearse solo por decisiones de presupuesto, personal y organización
- Si CVE, que durante los últimos 25 años fue el punto de referencia común para las vulnerabilidades de seguridad, se debilita, los defensores perderán tiempo verificando si hablan de la misma vulnerabilidad, y los atacantes podrán aprovechar esa confusión
- CISA estaba entre los organismos sujetos a un recorte de más de un tercio de su personal, y el contrato de MITRE para CVE se extendió justo antes de vencer, pero volverá a expirar en marzo de 2026
- La destitución de los jefes de NSA y US Cyber Command, la disolución de facto de CSRB, la interrupción de la investigación sobre Salt Typhoon, el giro hacia una preparación centrada en estados y gobiernos locales, y los recortes a subsidios federales están debilitando la capacidad federal de defensa
- A esto se suma el acceso de DOGE a sistemas federales sensibles, por lo que el debilitamiento de seguridad provocado por el propio Estados Unidos podría afectar también al ecosistema tecnológico fuera de Estados Unidos
La crisis por la interrupción de CVE y el caos en la gestión de vulnerabilidades
- La base de datos Common Vulnerabilities and Exposures, es decir CVE, ha sido durante los últimos 25 años la lista central que, en la práctica, ha organizado todas las vulnerabilidades de seguridad
- La exdirectora de CISA, Jen Easterly, describió CVE como un catálogo global que permite a equipos de seguridad, proveedores de software, investigadores y gobiernos organizar y discutir vulnerabilidades con un mismo sistema de referencia
- Sin CVE, cada organización usaría listas distintas o respondería sin listas, aumentaría el tiempo necesario para confirmar si se está hablando del mismo problema, y los atacantes podrían aprovechar esa confusión
- CISA, que supervisa CVE, estaba entre los organismos sujetos a un recorte de más de un tercio de su personal, y sus empleados recibieron la notificación de elegir antes de la medianoche del lunes si seguirían trabajando o renunciarían
- El contrato de MITRE para CVE fue extendido justo antes de su vencimiento, pero volverá a expirar en marzo de 2026
Reducción de CISA y de las organizaciones federales de ciberseguridad
- Los recortes de personal en CISA y la incertidumbre contractual están directamente vinculados con el problema de la continuidad de CVE
- En el pasado, extender el contrato de CVE habría sido una decisión casi obvia, pero sigue siendo incierto si habrá una próxima extensión
- Si se debilita una base común como CVE, se vuelve más difícil coordinar la respuesta a vulnerabilidades en toda la seguridad tecnológica
Destitución de altos cargos de ciberseguridad y desmantelamiento de órganos asesores
- El general Timothy D. Haugh, jefe de NSA y US Cyber Command, fue destituido a principios de abril
- Se lo consideraba una figura importante en la defensa de la infraestructura cibernética nacional, incluida la respuesta a la interferencia rusa tras las elecciones de 2016
- Entre los motivos mencionados para su destitución figura que Laura Loomer, conspiracionista de extrema derecha y figura cercana a Trump, no simpatizaba con él
- El Cyber Safety Review Board, es decir CSRB, era un organismo creado durante la administración Biden para investigar incidentes cibernéticos importantes
- Todos sus integrantes fueron removidos, lo que en la práctica lo desmanteló
- Se interrumpieron investigaciones sobre ciberataques importantes, como el hackeo chino “Salt Typhoon”
- El ataque Salt Typhoon también tuvo como objetivos a Trump y al vicepresidente JD Vance, pero la administración recibió críticas por no dar importancia al asunto
Preparación centrada en estados y gobiernos locales, y reducción del apoyo federal
- La orden ejecutiva de Trump Achieving Efficiency Through State and Local Preparedness afirma que las capacidades de preparación se poseen y gestionan de forma más efectiva a nivel estatal, local e individual, con apoyo del gobierno federal
- La orden incluye ciberataques, incendios forestales, huracanes y clima espacial como temas de decisión e inversión local
- Como los ciberataques no se quedan dentro de un solo estado, se critica que no es realista una estructura en la que los 50 estados respondan por separado a equipos de hackers respaldados por estados nacionales
- Al inicio de su mandato, Trump también recortó fondos de un programa federal de subsidios dedicado a la ciberseguridad
- A los gobiernos estatales podría resultarles difícil contratar suficientes especialistas de seguridad del más alto nivel
Acceso de DOGE a sistemas sensibles y riesgos para los datos
- El Department of Government Efficiency de Elon Musk, es decir DOGE, accedió a sistemas federales sensibles
- Entre los sistemas a los que accedió se incluyen el sistema de pagos del Treasury Department y el Social Security System
- Surgen preocupaciones de que esos datos hayan sido copiados a algún lugar y que puedan acceder a ellos personas que no tienen derecho a verlos ni a usarlos
- Continúan las críticas de que no solo quedó expuesta la defensa frente a ciberamenazas externas, sino también datos que podrían servir de base para ataques de seguridad a gran escala contra ciudadanos particulares
- En este contexto, incluso el robo de información de Social Security de 1.6 millones de personas en una aseguradora se compara como un incidente de menor escala
Impacto que podría extenderse fuera de Estados Unidos
- Como Estados Unidos ha desempeñado durante mucho tiempo un papel líder en la seguridad tecnológica, el debilitamiento de la ciberdefensa federal no es solo un problema interno estadounidense
- El mayor daño lo sufrirá Estados Unidos, pero el resto del mundo también podría sentir sus efectos
1 comentarios
Opiniones de Hacker News
¿De qué manera se supone que esto ayuda al pueblo estadounidense?
Desde el punto de vista de costos, se puede debatir. Por ejemplo, se podría discutir si la base de datos CVE valía 50 millones de dólares al año, sobre todo considerando el trabajo atrasado.
También se puede suponer que surgirán servicios alternativos privados o semiprivados y que, al competir varios entre sí, mejorarán. Como los libertarios, se podría argumentar que todos los servicios que no sean un monopolio de la coerción deberían quedar en manos privadas.
Pero no es un buen argumento. 50 millones de dólares parece mucho y tal vez haya margen para recortar. Aun así, preferiría ver un análisis real de la operación antes que simplemente terminar el programa.
El segundo argumento es peor. NIST y NOAA son ejemplos de agencias con una gran relación costo-beneficio, y un NIST con fines de lucro o una NOAA con fines de lucro no parecen tener mucho sentido. Aun así, vale la pena sopesar en general las ventajas y desventajas de los servicios financiados públicamente frente a las versiones privadas. Incluso un mal argumento es mejor que ninguno, pero la administración actual ni siquiera presenta ese argumento.
Hay muchas teorías conspirativas de que esto se usará para reprimir derechos, y puede que al final sea así. Pero eso probablemente sería más una reacción posterior a las consecuencias de acciones torpes.
La idea dominante ahora en la administración Trump es que estos programas de ciberseguridad son un desperdicio de dinero y que el sector privado aparecerá mágicamente para salvarnos.
Ahora todos vamos a sufrir el alto costo del bajo capital humano.
Por desgracia, es muy probable que Putin siga invadiendo hasta el Fulda Gap en Alemania. Si todavía pertenecemos a la OTAN, no tendremos más opción que declarar la guerra.
La administración Trump ve que se gasta dinero en proyectos que también benefician a personas fuera de Estados Unidos, sin importar su valor interno, y simplemente asume que el dinero estadounidense se está gastando en otros países.
No son lo suficientemente inteligentes ni están lo suficientemente bien informados, y tampoco parecen muy dispuestos a aprender o escuchar a gente más inteligente. Si ven una partida presupuestaria que no entienden, consideran que se puede eliminar.
Parece que parten de la idea de que, si algo es realmente importante, alguien lo convertirá en un negocio.
Los chats de Signal son apenas un tema secundario comparado con abrir el gobierno a filtraciones de datos e influencia extranjera.
https://www.newsweek.com/doge-whistleblower-stalked-threaten...
No ven este tipo de cosas. No hay una cobertura adecuada. Mi madre no sabía el alcance de los aranceles ni sabía de la estafa cripto de DJT. También le expliqué varias veces lo de Signal, pero de verdad no entiende las cosas complejas.
Mi madre dice que “sabe que Trump es una persona grosera”, pero, cito, quiere “Estados Unidos para los estadounidenses”, que ponga a China en su lugar y que proteja la frontera.
Le dije a mi padre: “¿Por qué crees que Estados Unidos es tan poderoso e influyente? Es porque invierte en el mundo y acepta estudiantes en Estados Unidos. No somos el centro del mundo sin motivo”. Y él simplemente respondió: “Somos el centro del mundo”.
Nuestro país está lleno de gente incapaz de pensar en abstracto y adicta a las mentiras.
El presupuesto no es el punto central; es una distracción. Desmantelar el sistema de ciberseguridad civil es una forma de exponer al público a operaciones de influencia y otros daños, para que después hagan falta más soluciones del tipo “líder fuerte” [0,1].
Solo después de destruir la “ciberdefensa” pueden alegar una crisis y declarar: “la ciberseguridad ha muerto, viva la nueva ciberseguridad”.
Y esa seguridad definitivamente no será para ti.
[0] https://cybershow.uk/blog/posts/computer-security-is-a-polit...
[1] https://cybershow.uk/blog/posts/usw/
El artículo está algo flojo. Que casi se recortara por completo el presupuesto de CVE sin duda es trágico, pero no aborda el hecho de que extrajeron datos de la NLRB y bloquearon a todos el acceso a sus cuentas, y apenas menciona los recortes a las subvenciones federales de ciberseguridad y al presupuesto de CISA.
Hay muchísima más munición para mostrar lo incompetentes que realmente son la administración Trump y el equipo DOGE de Musk.
Cubre con bastante detalle indicios de que empleados de DOGE se esforzaron deliberadamente por ocultar su actividad en la cuenta de Azure de la NLRB. Sin duda, algo muy bueno para la transparencia gubernamental.
Según la denuncia de Berulis, pocos minutos después de que DOGE accediera al sistema de la NLRB, alguien con una dirección IP rusa empezó a intentar iniciar sesión. Los intentos fueron “casi en tiempo real”.
Los intentos de inicio de sesión fueron bloqueados, pero eran especialmente preocupantes. Según se dijo, la persona que intentaba iniciar sesión usó una de las cuentas de DOGE recién creadas y conocía el nombre de usuario y la contraseña correctos.
Quizá haga falta una base de datos como CVE que no dependa del gobierno de Estados Unidos. Es una debilidad propia del mundo de TI.
Conociendo la historia de CVE de la última década, ¿a quién se podría proponer seriamente? ¿Lo subcontratarían a Cisco u Oracle?
https://www.thecvefoundation.org/
Es una idea ingeniosa: ¿qué tal si se distribuye CVE entre varios países para que una sola organización no tenga el poder de eliminarlo?
Aunque Estados Unidos no coopere, ¿no es una base de datos pública? ¿Hay algo que impida que la ONU, la UE, Reino Unido, Australia, etc. la copien y creen un CVE conjunto?
Trump se va a sorprender por segunda vez al descubrir que “todo es computadoras”.
Esto es sabotaje; ¿quién lo hizo?
“El síndrome del Monumento a Washington también se conoce como síndrome del Monte Rushmore o principio de los bomberos primero, y es un término que se refiere al fenómeno en el que una agencia del gobierno estadounidense, al enfrentar recortes presupuestarios, reduce los servicios más visibles o más valorados de los que ofrece el gobierno.”
https://en.wikipedia.org/wiki/Washington_Monument_syndrome