Los usuarios de habla china son el objetivo de una campaña activa que utiliza dominios con errores tipográficos que se hacen pasar por marcas de software confiables para entregar un troyano de acceso remoto previamente indocumentado llamado AtlasCross RAT.

«La operación cubre clientes VPN, mensajería cifrada, herramientas de videoconferencia, rastreadores de criptomonedas y aplicaciones de comercio electrónico, con once dominios de entrega confirmados que se hacen pasar por marcas como Surfshark VPN, Signal, Telegram, Zoom, Microsoft Teams y otras», dijo la empresa de ciberseguridad con sede en Alemania Hexastrike. dicho en un informe publicado la semana pasada.

La actividad se ha atribuido a un grupo de cibercrimen chino llamado Silver Fox, al que también se le sigue como SwimSnake, The Great Thief of Valley (o Valley Thief), UTG-Q-1000 y Void Arachne.

El descubrimiento de AtlasCross RAT representa una evolución del arsenal del actor de amenazas a partir de derivados de Gh0st RAT como ValleyRAT (también conocido como Winos 4.0), Gh0stCringe y HoldingHands RAT (también conocido como Gh0stBins).

Las cadenas de ataques implican el uso de sitios web falsos como señuelo para engañar a los usuarios para que descarguen archivos ZIP que contienen un instalador que coloca un binario troyanizado de Autodesk junto con la aplicación señuelo legítima.

El instalador troyanizado de AutoDesk, a su vez, inicia un cargador de código shell que descifra una configuración integrada de Gh0st RAT para extraer los detalles de comando y control (C2) y luego descarga una carga útil de código shell de segunda etapa desde «bifa668″.[.]com» a través de TCP en el puerto 9899, ​​lo que finalmente conduce a la ejecución de AtlasCross RAT en la memoria.

La mayoría de los sitios web falsos se registraron en un solo día, el 27 de octubre de 2025, lo que indica un enfoque deliberado detrás de la campaña. La lista de dominios de entrega de malware confirmados se muestra a continuación:

• aplicación-zoom.com (Zoom)
• eyy-eyy.com (desconocido)
• kefubao-pc.com (KeFuBao, un software chino de atención al cliente para comercio electrónico)
• quickq-quickq.com (QuickQ VPN)
• signal-signal.com (Señal)
• telegrtam.com.cn (Telegrama)
• trezor-trezor.com (Trezor)
• ultraviewer-cn.com (UltraViewer)
• wwtalk-app.com (WangWang)
• www-surfshark.com (VPN de Surfshark)
• www-teams.com (equipos de Microsoft)

Se ha descubierto que todos los paquetes de instalación identificados llevan el mismo certificado de firma de código de validación extendida robado emitido a DUC FABULOUS CO.,LTD, una entidad vietnamita registrada en Hanoi. El hecho de que el mismo certificado haya sido usado en otras campañas de malware no relacionadas ha planteado la posibilidad de una reutilización generalizada dentro del ecosistema cibercriminal para dar a las cargas maliciosas un barniz de legitimidad y eludir los controles de seguridad.

«El RAT incorpora el marco PowerChell, un motor de ejecución nativo de C/C++ PowerShell que aloja .NET CLR directamente dentro del proceso de malware y desactiva AMSI, ETW, modo de lenguaje restringido y el registro de ScriptBlock antes de ejecutar cualquier comando», dijo Hexastrike. «El tráfico C2 se cifra con ChaCha20 utilizando claves aleatorias por paquete generadas mediante RNG de hardware».

AtlasCross RAT viene con capacidades para facilitar la inyección de DLL dirigida en WeChat, secuestro de sesiones RDP, terminación activa de conexiones a nivel TCP de productos de seguridad chinos (por ejemplo, 360 Safe, Huorong, Kingsoft y QQ PC Manager) en lugar de utilizar la técnica Bring Your Own Vulnerable Driver (BYOVD), operaciones de archivos y shell, y creación persistente de tareas programadas.

«AtlasAgent/AtlasCross RAT representa la evolución actual de las herramientas del grupo, basándose en las bases del protocolo Gh0st RAT consistentes con el linaje ValleyRAT y Winos 4.0», añadió la compañía. «La incorporación del marco PowerChell y una cadena de derivación de seguridad integral marca una mejora significativa de la capacidad».

En un informe publicado a principios de este mes, el proveedor de seguridad chino Knownsec 404 caracterizó a Silver Fox como una de las «amenazas cibernéticas más activas» de los últimos años, dirigida al personal directivo y financiero de las organizaciones a través de WeChat, QQ, correos electrónicos de phishing y sitios de herramientas falsas para infectarlos con malware que permita el control remoto, el robo de datos y el fraude financiero.

«La estrategia de dominios de Silver Fox depende de una gran imitación de los dominios oficiales combinados con un etiquetado regional para eliminar las sospechas de los usuarios», dijo la empresa. dicho. «Los operadores utilizan un enfoque múltiple (errores tipográficos, secuestro de dominios y manipulación de DNS) para crear una fachada de legitimidad».

También se ha observado que campañas de ataque recientes pasan de ValleyRAT entregado a través de archivos adjuntos PDF maliciosos en correos electrónicos de phishing dirigidos a organizaciones taiwanesas a abusar de una herramienta china legítima pero mal configurada de monitoreo y administración remota (RMM) llamada SyncFuture TSM, y luego a implementar un ladrón basado en Python disfrazado de una aplicación de WhatsApp.

Estos ataques se han dirigido a entidades en Japón, Malasia, Filipinas, Tailandia, Indonesia, Singapur e India desde al menos diciembre de 2025. Algunos aspectos de la campaña fueron destacados previamente por eSentire en enero de 2026, y los ataques utilizaron señuelos con temas fiscales para apuntar a usuarios indios con el malware Blackmoon.

El uso de ValleyRAT por parte de Silver Fox junto con herramientas RMM y un ladrón personalizado destaca un arsenal flexible que permite al adversario adaptar rápidamente sus cadenas de infección y realizar operaciones estratégicas avanzadas en conjunto con campañas con fines de lucro en el sur de Asia, mientras mantiene el acceso a largo plazo a los sistemas comprometidos.

«El grupo mantiene un modelo de doble vía, ejecutando campañas amplias y oportunistas junto con sus operaciones más sofisticadas mediante la evolución continua de sus herramientas», dijo la empresa francesa de ciberseguridad Sekoia. dicho. «La segunda y tercera campañas basadas en la herramienta RMM y el ladrón Python parecen alinearse más estrechamente con el cibercrimen oportunista que con las operaciones APT».

A partir de la semana pasada, el grupo de hackers también ha sido atribuido a una campaña activa de phishing que utiliza señuelos persuasivos de phishing relacionados con violaciones de cumplimiento tributario, ajustes salariales, cambios de puesto de trabajo y planes de propiedad de acciones de los empleados para identificar a los fabricantes japoneses y otras empresas e infectarlos con ValleyRAT.

«Una vez implementado, ValleyRAT permite al actor tomar control remoto de la máquina comprometida, recopilar información confidencial, monitorear la actividad del usuario y mantener la persistencia en el entorno objetivo», ESET dicho. «Esto puede permitir al atacante profundizar en la red, robar datos confidenciales o preparar etapas adicionales de un ataque».

Tres grupos de actividades de amenazas alineados con China han apuntado a una organización gubernamental en el sudeste asiático como parte de lo que se ha descrito como una «operación compleja y con buenos recursos».

Las campañas han llevado a la implementación de varias familias de malware, incluidas HIUPAN (también conocido como USBFect, MISTCLOAK o U2DiskWatch), PUBLOAD, EggStremeFuel (también conocido como RawCookie), EggStremeLoader (también conocido como Gorem RAT), MASOL RAT, PoshRATTrackBak Stealer, RawCookie, Hypnosis Loader y FluffyGh0st.

El actividad se ha atribuido a los siguientes grupos:

• Junio ​​- agosto de 2025: Mustang Panda (también conocido como Stately Taurus).
• Marzo – septiembre de 2025: CL-STA-1048, que se superpone con grupos documentados públicamente bajo los apodos Earth Estries y Crimson Palace.
• Abril y agosto de 2025: CL-STA-1049, que se superpone con un grupo documentado públicamente conocido como Unfading Sea Haze.

Cronograma de actividades

«Estos grupos de actividades se superponen con campañas informadas públicamente destinadas a establecer un acceso persistente», dijeron los investigadores de la Unidad 42 de Palo Alto Networks, Doel Santos y Hiroaki Hara. dicho. «La superposición significativa de tácticas, técnicas y procedimientos (TTP) con campañas conocidas alineadas con China sugiere que los grupos y el grupo de amenaza tienen un objetivo de interés común, coordinando potencialmente sus esfuerzos».

Cadena de infección de CL-STA-1048 26m

La actividad de Mustang Panda, registrada entre el 1 de junio y el 15 de agosto de 2025, implicó el uso de un malware basado en USB conocido como HIUPAN para entregar la puerta trasera PUBLOAD mediante una DLL maliciosa con nombre en código Claimloader. El primer uso registrado de las fechas de Claimloader por parte del actor de amenazas volver a finales de 2022 en ataques contra organizaciones gubernamentales en Filipinas.

Un análisis adicional de la red de víctimas ha descubierto la implementación de COOLCLIENT, otra puerta trasera conocida atribuida a Mustang Panda durante más de tres años. Admite descarga/carga de archivos, grabación de pulsaciones de teclas, tunelización de paquetes y captura de información de mapas de puertos.

Las herramientas utilizadas por CL-STA-1048 varían ya que son ruidosas.

• EggStremeFuel, una puerta trasera liviana que está equipada para descargar/cargar archivos, enumerar archivos y directorios, iniciar o finalizar un shell inverso, enviar la dirección IP global actual y actualizar la configuración C2.
• EggStremeLoader, otro componente del marco de malware EggStreme lanzado por EggStremeFuel. Admite 59 comandos de puerta trasera para respaldar un robo de datos extenso. Esto incluye una variante que facilita la descarga/carga de archivos a través de Dropbox.
• MASOL RAT (también conocido como Backdr-NQ), un troyano de acceso remoto con funciones de descarga/carga de archivos y ejecución de comandos arbitrarios.
• TrackBak, un ladrón de información que recopila registros, datos del portapapeles, información de red y archivos de las unidades.

La actividad vinculada a CL-STA-1049, por otro lado, implica el uso de un novedoso cargador de DLL llamado Hypnosis Loader, que se inicia mediante carga lateral de DLL, para finalmente instalar FluffyGh0st RAT. El vector de acceso inicial exacto utilizado por CL-STA-1048 y CL-STA-1049 aún no está claro.

«La convergencia de estos grupos de actividades, todos los cuales muestran vínculos con actores conocidos alineados con China, apunta a un esfuerzo coordinado para lograr un objetivo estratégico común», dijo la Unidad 42. «La metodología de los atacantes indica que pretendían obtener acceso persistente y a largo plazo a redes gubernamentales sensibles, no sólo causar interrupciones».

El Departamento del Tesoro está solicitando comentarios del público sobre si debería cambiar un programa de seguro contra riesgos de terrorismo para abordar las pérdidas relacionadas con la cibernética.

en un Aviso del Registro Federal El Tesoro, que se publicará el miércoles, busca comentarios del público para un informe obligatorio que debe entregar al Congreso este verano sobre la eficacia del programa de seguro contra riesgos de terrorismo (TRIP, por sus siglas en inglés) creado por la Ley de Seguro contra Riesgos de Terrorismo de 2002. Esa ley surgió de los ataques terroristas del 11 de septiembre y proporcionó un respaldo federal para hacer que los seguros contra riesgos de terrorismo sean más disponibles y asequibles.

Algunos expertos han sugerido que la industria de los seguros cibernéticos también debería recibir un respaldo federal mientras la industria lucha por desarrollarse plenamente. Dado que la ley expirará a fines de 2027, vincularla a la reautorización de la ley de seguro contra riesgos de terrorismo podría ser una forma de lograr que el Congreso cree dicho respaldo cibernético.

Entre los temas que el Tesoro espera que los comentaristas aborden antes de enviar el informe al Congreso en junio está la interacción entre la ley y el programa de seguro contra riesgos de terrorismo y la ciberseguridad. La agencia aceptará comentarios hasta el 8 de mayo.

Eso incluye: “Cualquier cambio potencial a TRIA o TRIP que fomente la contratación de seguros para pérdidas relacionadas con la cibernética que surjan de actos de terrorismo como se define en TRIA, incluyendo, entre otros, la posible modificación de las líneas de seguro cubiertas por TRIP y revisiones de cualquiera de los mecanismos actuales de reparto para pérdidas relacionadas con la cibernética, como, por ejemplo, el deducible de la aseguradora individual o el porcentaje de participación federal”.

En 2021, el Tesoro emitió una norma que dejaba claro que TRIP podría cubrir pérdidas cibernéticas si se inscribían en una línea de seguro elegible para TRIP. Sin embargo, un Informe de la Oficina de Responsabilidad Gubernamental el año pasado describió algunas de las limitaciones allí.

«Debido a que TRIA fue diseñada específicamente como un respaldo federal para pérdidas por actos de terrorismo, sólo las pérdidas por ciberataques certificados por el Tesoro como actos de terrorismo tendrían cobertura TRIA», afirma. «Como resultado, incluso los grandes ciberataques que provocan pérdidas catastróficas no estarían cubiertos por la TRIA si no estuvieran certificados como actos de terrorismo».

El Tesoro dijo en su aviso del Registro Federal que quiere comentarios sobre las pérdidas relacionadas con el terrorismo cibernético dentro del TRIP y las pérdidas fuera de él.

Para ser certificados, los ataques cibernéticos tendrían que cumplir con las definiciones de la ley de seguros contra riesgos de terrorismo. Deben ser violentos o peligrosos para la vida, la propiedad o la infraestructura, y estar diseñados para influir en la población o el gobierno de Estados Unidos. Es posible que los daños a organizaciones estadounidenses fuera de los Estados Unidos aún no califiquen.

El fabricante de dispositivos médicos Stryker sufrió recientemente un ataque con limpiaparabrisas, con el grupo pro palestino vinculado al gobierno iraní Handala. tomando crédito. Dijo que el ataque fue en represalia por los ataques militares de Estados Unidos e Israel contra Irán, específicamente un Ataque con misiles estadounidenses en una escuela que mató a 175 personas, según el gobierno de Irán.

SAN FRANCISCO – La estrategia cibernética de dos semanas de la administración Trump, que apunta a promover acciones más proactivas y ofensivas al mismo tiempo que refuerza las redes federales y la infraestructura crítica, es un cambio significativo que ya se está materializando de manera significativa, dijo un grupo de expertos el lunes en la Conferencia RSAC 2026.

A pesar de la ausencia del gobierno federal en la reunión anual más grande de la industria, y la La brevedad del documento tan esperado.representantes de un importante proveedor de ciberseguridad, consultoría, capital de riesgo y firma de abogados se apresuraron a defender y evangelizar las acciones estratégicas de la administración en el ciberespacio.

La estrategia recién publicada coloca al gobierno federal en una base firme para ir más allá de la disuasión y pasar a la acción, dijo David Lashway, socio y líder global de ciberseguridad y seguridad nacional de Sidley Austin.

«Vamos a tomar medidas ofensivas y defensivas con la capacidad cibernética más poderosa que el mundo jamás haya visto y, con suerte, alguna vez conozca», dijo.

Esto no significa, como han sugerido algunos observadores de la industria, que la administración Trump esté presionando a las empresas privadas para que respondan.

La escala y la respuesta global del gobierno es la diferencia clave entre la última estrategia cibernética federal y lo que las administraciones han pedido durante la última década, dijo Lashway.

En lugar de depender de abogados privados para obtener una orden judicial a nivel nacional y colaborar con docenas de gobiernos para derribos masivos, o agencias gubernamentales que colaboran con empresas de seguridad privadas de forma limitada, la estrategia apunta a movilizar “la enorme infraestructura y capacidad de Estados Unidos de una manera más coordinada”, añadió.

Este giro estratégico no logrará todos sus objetivos de inmediato, pero ya está mostrando signos de impacto, según Lashway. «Ha sido diferente desde que publicaron la estrategia», dijo. «Ya hemos notado una diferencia».

Wendi Whitmore, directora de inteligencia de seguridad de Palo Alto Networks, dijo que también ha visto una mayor colaboración en el sector privado.

«Si bien no hay duda de que hay desafíos relacionados con la dotación de personal actual y el entorno dinámico que existe en el gobierno, nunca antes había visto tanta acción y cooperación como la que estamos viendo hoy, y eso es de todas las agencias gubernamentales con las que estamos trabajando», dijo Whitmore.

«Ciertamente hay un tremendo cambio en el nivel de discusión que recibimos hoy del gobierno», añadió. «Es una especie de diálogo musculoso, muy proactivo, diferente de lo que he visto anteriormente».

Los expertos dijeron que las preocupaciones anteriores sobre una reacción violenta y un empeoramiento de sistemas ya frágiles habían impedido que el gobierno federal tomara ciertas acciones, pero ahora se está reconsiderando esa cautela.

«El gobierno va a empezar a golpear a la gente en la cara», dijo Jamil Jaffer, socio de riesgo y asesor estratégico de Paladin Capital Group.

Los funcionarios de la administración Trump le han dicho al sector privado que quiere su ayuda y que necesitan estar bien defendidos, añadió. «Si vivimos en casas de cristal, bueno, todo el mundo tendrá que empezar a poner más vidrio».

Jaffer espera que la administración Trump prevenga y responda a las intrusiones de manera agresiva y pública. «La mitad del problema actual con la disuasión es que en realidad no practicamos una disuasión real cuando se trata del dominio cibernético. No devolvemos los golpes a la gente», dijo.

Para él, la respuesta dinámica y adecuada es similar a la que un niño responde a un matón en la escuela.

“Si te golpean en la cara, devuélveles el puñetazo”, dijo Jaffer. «Hazlo públicamente. Todo el mundo lo ve. Menos gente te persigue».

Un ciberataque que afirmó un grupo de hackers iraní se llevó a cabo contra el fabricante de dispositivos médicos Stryker podría marcar la primera acción cibernética significativa de Teherán desde el inicio del conflicto conjunto entre Estados Unidos e Israel.

Pero incluso eso puede haber sido un feliz accidente para los piratas informáticos iraníes en lo que ha sido un bajo nivel de actividad durante ese período de tiempo, con los atacantes obteniendo ganancias por casualidad y no a propósito.

Las empresas de ciberseguridad, los rastreadores de inteligencia de amenazas y los propietarios de infraestructuras críticas han estado luchando para separar el ruido sobre los ataques proclamados desde Irán y las advertencias y amenazas relacionadas con el conflicto, de lo que realmente está sucediendo y representa un peligro significativo.

“Todo el mundo está luchando en este momento”, dijo Alex Orleans, analista de amenazas de Irán desde hace mucho tiempo y jefe de inteligencia de amenazas de Sublime Security. Otros dijeron que la naturaleza incipiente del conflicto dificulta las evaluaciones.

«Lo que vemos es bastante difícil de cuantificar o caracterizar sobre si ha habido un aumento o una disminución», dijo Saher Naumaan, investigador senior de amenazas en Proofpoint. «Creo que como solo llevamos un par de semanas en el conflicto y la cadencia regular de los actores iraníes no es muy consistente, necesariamente no tenemos suficientes datos ni suficiente tiempo para juzgar realmente».

Signos de actividad

En los primeros días del conflicto, hubo indicios de que ataques fisicos sobre Irán podría haber obstaculizado los esfuerzos de represalia iraníes u otras actividades cibernéticas, ya que aquellos que llevarían a cabo ataques cibernéticos probablemente estaban «escondidos en búnkeres», dijo Orleans, y como Irán sufrió cortes de internet.

Sin embargo, en los últimos días, el ataque Stryker y otros indicadores sugieren que la actividad cibernética iraní podría estar calentándose.

«Durante varios días después del estallido del conflicto, se notó una disminución en la actividad de amenazas cibernéticas provenientes de Irán», dijo un grupo de centros de análisis e intercambio de información de la industria. advirtió el miércoles. «Sin embargo, hay señales de vida en las operaciones cibernéticas ofensivas iraníes».

El ataque de Stryker destaca tanto por el tamaño como por la ubicación del objetivo, un fabricante de dispositivos médicos con sede en Michigan con más de 25 mil millones de dólares en ingresos en 2025.

Pero tanto Orleans como Sergey Shykevich, gerente del grupo de inteligencia de amenazas en Check Point Research, dijeron que el ataque tiene las características de ser oportunista en lugar de uno deliberado y enfocado. El grupo que se atribuye el mérito del ataque, Handala, un equipo vinculado al Ministerio de Inteligencia, es más conocido por aprovechar las debilidades que encuentra en lugar de hacerlo. persiguiendo obstinadamente objetivos particulares.

En particular, Stryker también es la clase de vehículo militar utilizado por las fuerzas estadounidenses. Esa conexión militar, incluso si se confunde con el fabricante de dispositivos médicos, posiblemente podría explicar por qué la empresa era un objetivo.

Aún así, “fue un ataque de mucho mayor perfil de lo que esperábamos de Handala”, dijo Shykevich. «Desafortunadamente, se puede definir como un éxito relativamente grande para ellos».

Ha habido informes de otras actividades cibernéticas que podrían estar relacionadas con el conflicto. Albania dijo el sistema de correo electrónico de su parlamento había sido atacado, y los piratas informáticos iraníes se habían atribuido el mérito. Estaba el orientación de cámaras de infraestructura vinculada a Irán en países a los que Irán luego lanzó misiles. Polonia dijo que era mirando hacia si Irán estuvo detrás de un intento de ciberataque a una instalación de investigación nuclear.

Algunas de las afirmaciones no coinciden con la realidad. «Hay muchos grupos hacktivistas que son muy activos en Telegram, pero en realidad no tienen ningún éxito significativo», dijo Shykevich.

También hay otros acontecimientos relacionados con la cibernética en el conflicto, como el espionajela proliferación de desinformación impulsada por la inteligencia artificial y la posibilidad de que Rusia o China ayudando en el ciberespacio en nombre de Irán, incluso si algunos expertos dudan de la probabilidad de que esto último ocurra.

Aún no está claro qué tan efectivo ha sido todo esto. Stryker, por ejemplo, dijo el ataque afectó principalmente a sus redes internas, aunque había señales También podría estar afectando las comunicaciones en los hospitales.

Pero el daño podría no venir al caso. Orleans dijo que los ataques podrían ser de naturaleza psicológica, destinados a producir miedo en el extranjero y afirmar la posición de los piratas informáticos ante los líderes nacionales en Irán durante el conflicto.

Incluso la desfiguración de bajo nivel o los ataques distribuidos de denegación de servicio pueden influir.

“Llegar al trabajo y encontrar una bandera iraní en su estación de trabajo sería un poco desconcertante, porque le hacen saber que 'puedo extender la mano y tocarlo'”, dijo Sarah Cleveland, directora senior de estrategia federal en ExtraHop y ex oficial cibernética de la Fuerza Aérea de EE. UU.

Posibles impactos posteriores

Si bien se la conoce principalmente como una empresa de suministros médicos, Stryker ha recibido contratos importantes con el ejército para equipos hospitalarios y suministros quirúrgicos, por ejemplo. No está claro si los piratas informáticos pretendían utilizar la conexión militar de Stryker para explotar los sistemas gubernamentales.

El Pentágono tiene advertido durante mucho tiempo de ciberataques cada vez mayores y complejos contra la base industrial de defensa, una vasta red de empresas -con niveles dispares de ciberseguridad- de las que depende el ejército para obtener desde armamento avanzado hasta camillas básicas. El DIB es a menudo visto por los adversarios como puerta trasera a los sistemas militares.

Si bien no abordó directamente el hackeo de Stryker, el principal asesor cibernético del Ejército, Brandon Pugh, describió algunos de los desafíos que enfrenta el DIB y la parte del servicio al tratar de protegerlo durante un seminario web el jueves en respuesta a una pregunta sobre el tema.

Dijo que los adversarios, «con razón o sin ella», ven a las empresas «como una extensión del ejército» y creen que un ataque a la industria privada tendría un impacto secundario en las fuerzas armadas.

«Algunas son empresas multinacionales muy grandes y sofisticadas», dijo, señalando que las necesidades de seguridad en todo el DIB no son universales. «Otras son empresas muy pequeñas que tienen suerte de tener un director de TI, y mucho menos un equipo cibernético sofisticado, y creo que ahí es donde es realmente importante apoyarse».

Pugh dijo que agencias de todo el gobierno federal han estado trabajando con el DIB para aumentar su resistencia a los ataques, y que el esfuerzo cibernético del Ejército enfatiza afianzar la ciberseguridad desde el comienzo del proceso de adquisición.

«Lo cibernético no puede ser una ocurrencia tardía, no digo que lo sea», añadió Pugh. “Yo diría que el Ejército hace un gran trabajo aquí, pero asegurándose de que nunca se olvide y siempre se lo considere de esa manera”.

Matt Tait, director ejecutivo y presidente de MANTECH, dijo en respuesta a una pregunta sobre el ataque Stryker y las protecciones DIB que defenderse contra tales incidentes incluye aprovechar los acuerdos y el acceso gubernamentales, como con la NSA, y compartir información rápidamente después de un ataque.

«Para mí, se trata de compartir información en tiempo real», dijo. “Cuando te atacan, necesitas compartir información en tiempo real para poder compartir esa información con el resto de la industria, así como con el gobierno, porque ellos pueden compartir esa información entre” entidades federales de ciberseguridad.

«Si quieres realizar un trabajo tecnológico centrado en una misión, este es el mundo en el que tienes que vivir y deberías compartir esta información en tiempo real», añadió. «24 horas después, 48 ​​horas después, llamo a esa ambulancia que me persigue. Eso es demasiado posterior al hecho desde una perspectiva cibernética».

La administración Trump está planeando un organismo interinstitucional para enfrentar a los piratas informáticos malignos, programas piloto para proteger la infraestructura crítica en todos los estados y otras medidas vinculadas a su recién lanzada estrategia cibernética, dijo el lunes el Director Nacional Cibernético, Sean Cairncross.

La “célula interinstitucional” reunirá a agencias como el Departamento de Justicia, el Departamento de Estado, el FBI y el Pentágono, lo que dejará en claro que emprender un ciberataque no se trata sólo de atacar a enemigos en el ciberespacio, dijo Cairncross.

«Claro, eso es parte del asunto, pero no es todo», dijo en un evento organizado por USTelecom. Incluirá esfuerzos diplomáticos, arrestos y más, dijo. «Como ha dejado claro el presidente Trump, espera resultados y ha facultado al equipo bajo su mando para ir a conseguirlos».

Se atenderá una serie de programas piloto para industrias de infraestructura críticas específicas en estados específicos, como el agua en Texas y la carne vacuna en Dakota del Sur, dijo Cairncross. Los diferentes sectores operan en niveles más o menos maduros, afirmó.

“Una de las cosas por las que estamos trabajando es alinear esos sectores y priorizarlos de una manera que tenga sentido”, dijo.

Cairncross dijo que la administración quiere compartir mejor la información con la industria y que también buscará revisar las regulaciones en algunos casos. Uno de esos casos es la regla de divulgación de incidentes de 2023 de la Comisión de Bolsa y Valores, que generó una de las oposición más vehemente de la industria bajo la búsqueda de regulaciones cibernéticas por parte de la administración Biden. La idea es asegurarse de que “tengan sentido para la industria”, dijo Cairncross.

Pero la administración también tendrá cosas que busca del sector privado. Eso incluirá reunir a los directores ejecutivos y enviarles el mensaje de que “es necesario dedicar algunos recursos reales”, dijo.

Cairncross ha hablado antes sobre el deseo de establecer una academia para abordar la educación y la capacitación en una nación con persistentes ofertas de empleo en ciberseguridad, pero hay más cosas relacionadas con esto, dijo.

El esfuerzo, sobre el cual Cairncross dijo que la administración publicaría detalles pronto, también incluirá una fundición (que “podrá escalar con capital privado la nueva innovación y desplegarla más rápidamente”) y un acelerador (“de modo que cuando haya financiamiento previo para proyectos, realmente se pueda acelerar y poder escalar también y superar algunos de los obstáculos de adquisición que a menudo se encuentran en este espacio”).

El presidente Donald Trump dio a conocer el viernes la estrategia cibernética de su administración, promoviendo operaciones ofensivas en el ciberespacio, asegurando las redes federales y la infraestructura crítica, simplificando las regulaciones, aprovechando las tecnologías emergentes y fortaleciendo la fuerza laboral de ciberseguridad.

Trump también firmó un orden ejecutiva Viernes ordenando a las agencias que tomen medidas para combatir el cibercrimen y el fraude.

Un poco más de la mitad de las cinco páginas de texto de estrategia del documento tan esperado es el preámbulo, y dos de sus siete páginas son título y final. Los funcionarios de la administración han dicho que la estrategia es deliberadamente de alto nivel y la Casa Blanca prometió una orientación más detallada en el futuro.

La estrategia «requiere una coordinación sin precedentes entre el gobierno y el sector privado para invertir en las mejores tecnologías y continuar con la innovación de clase mundial, y aprovechar al máximo las capacidades cibernéticas de Estados Unidos para misiones tanto ofensivas como defensivas», dijo la Casa Blanca en una declaración acompañando su lanzamiento.

Cada uno de los seis “pilares” de la estrategia ofrece algunas recetas.

“Dar forma al comportamiento del adversario” exige utilizar las capacidades ofensivas y defensivas del gobierno estadounidense en el ciberespacio, así como incentivar al sector privado para que interrumpa las redes del adversario.

También dice que Trump “contrarrestará la propagación del estado de vigilancia y las tecnologías autoritarias que monitorean y reprimen a los ciudadanos”, aun cuando los críticos de la administración argumentan que su administración ha fomentado la vigilancia y la represión contra los ciudadanos estadounidenses.

El pilar más corto, “promover una regulación con sentido común”, denuncia reglas que son sólo “listas de verificación costosas”. La administración Biden amplió las regulaciones cibernéticas, lo que provocó cierta resistencia en la industria. Pero el pilar de Trump sí habla de abordar la responsabilidad, un punto de énfasis también para la administración anterior.

“Modernizar y proteger las redes federales” habla de utilizar conceptos y tecnologías como la criptografía poscuántica, la inteligencia artificial, la confianza cero y la reducción de las barreras para que los proveedores vendan tecnología al gobierno para cumplir esos objetivos.

Para “asegurar la infraestructura crítica”, la estrategia exige fortalecer no sólo a los propietarios y operadores sino también a la cadena de suministro, en parte centrándose en productos fabricados en Estados Unidos en lugar de productos fabricados por el adversario.

«Negaremos a nuestros adversarios el acceso inicial y, en caso de un incidente, debemos poder recuperarnos rápidamente», dice la estrategia. «Iluminaremos el papel de las autoridades estatales, locales, tribales y territoriales como complemento, no como sustituto, de nuestros esfuerzos nacionales de ciberseguridad». Algunos críticos de las acciones de ciberseguridad de la administración han sostenido que ha trasladado demasiado la carga a los gobiernos estatales y locales.

El uso de la IA constituye la mayor parte del pilar titulado “mantener la superioridad en tecnologías críticas y emergentes”, además de reflejar partes anteriores de la estrategia sobre los temas de criptografía cuántica y protección de la privacidad. Eso incluye la protección de los centros de datos, objeto de luchas localizadas en todo el país sobre su ubicación y costos de recursos.

El último pilar dice que Estados Unidos debe “desarrollar talento y capacidad”, después de un año en el que la administración recortó un número significativo de puestos cibernéticos en el gobierno federal. «Eliminaremos los obstáculos que impiden que la industria, la academia, el gobierno y el ejército alineen los incentivos y creen una fuerza laboral cibernética altamente calificada», afirma.

Llegaron algunas críticas positivas sobre la estrategia a pesar de la publicación del viernes por la tarde, tradicionalmente el momento de la semana en el que una administración busca publicar noticias que espera atraigan poca atención.

«A medida que surgen amenazas nuevas y más sofisticadas, Estados Unidos necesitaba una nueva estrategia cibernética nacional que capte la urgencia de este momento», dijo el presidente y director ejecutivo de USTelecom, Jonathan Spalter, en un comunicado de prensa. «La estrategia del Presidente reconoce correctamente que aprovechar la combinación única de innovación del sector privado con capacidad del sector público de Estados Unidos es la mejor disuasión».

Frank Cilluffo, Director del Instituto McCrary para la Seguridad Cibernética y de Infraestructura Crítica de la Universidad de Auburn, quedó impresionado por el enfoque en la disuasión: «Esta estrategia unificada que determina una dirección para las operaciones cibernéticas ofensivas y defensivas y la colaboración no podría ser más oportuna».

La Business Software Alliance aplaudió en particular el llamado a simplificar las regulaciones cibernéticas.

Varios proveedores cibernéticos tomaron nota de los pasajes sobre la IA. «Redireccionar recursos del papeleo a capacidades de seguridad impulsadas por IA es la única manera de seguir el ritmo de las amenazas modernas y de los adversarios que operan a gran velocidad», afirmó Bill Wright, jefe global de asuntos gubernamentales de Elastic. «Esta estrategia parece reconocer esa verdad fundamental».

Sin embargo, no todas las críticas fueron halagadoras, incluida la del principal demócrata del Comité de Seguridad Nacional de la Cámara de Representantes, Bennie Thompson, quien dijo que el «bajo rendimiento» de la estrategia era lo único impresionante.

“La poca 'sustancia' que existe en este folleto es una mezcolanza de vagos tópicos, un largo catálogo de declaraciones de 'lo haremos' que pueden coincidir o no con el comportamiento actual de la Administración y, afortunadamente, una aparente extensión de algunas políticas de la era Biden», dijo. “Falta por completo incluso el plan más básico sobre cómo la Administración logrará cualquiera de sus objetivos de ciberseguridad, un objetivo posiblemente obstaculizado por la hemorragia de talento cibernético en todas las agencias federales desde que Trump asumió el cargo”.

La orden ejecutiva que Trump firmó el viernes, que la Casa Blanca no publicó, coincide con la publicación de la estrategia, pero hay poca superposición entre el tema; la estrategia hace una mención al ciberdelito.

La orden ordena al fiscal general que dé prioridad al enjuiciamiento de los delitos cibernéticos y el fraude, ordena a las agencias que revisen las herramientas que podrían utilizar para contrarrestar las organizaciones criminales internacionales y da al Departamento de Seguridad Nacional órdenes de marcha para mejorar la capacitación, además de otras medidas, según una hoja informativa.

«El presidente Trump está utilizando todas las herramientas disponibles para detener las redes criminales respaldadas por el extranjero que explotan a los estadounidenses vulnerables a través del fraude y la extorsión cibernéticos», afirma la hoja informativa.