El presidente Donald Trump firmó un orden ejecutiva El martes eso pretende limitar la votación por correo, aunque los críticos dicen que es casi seguro que la medida será impugnada en los tribunales por motivos constitucionales.

La orden ordena al secretario de Seguridad Nacional, al director de los Servicios de Inmigración y Ciudadanía de Estados Unidos y al comisionado de la Administración de la Seguridad Social compilar listas de votantes estadounidenses para cada estado, incluido su supuesto estatus de ciudadanía.

Para construir las listas, las agencias se basarían en la controvertida base de datos de Verificación Sistémica de Derechos de Extranjeros que el DHS ha estado construyendo bajo la administración Trump, así como en los registros federales de ciudadanía y naturalización del Seguro Social y.

Esas listas luego se transmitirían a los estados, la mayoría de los cuales ya han rechazado esfuerzos anteriores de la administración Trump para recopilar datos de votantes o dictar listas de registro de votantes. La orden de la Casa Blanca instruye al Departamento de Justicia a priorizar la investigación y el enjuiciamiento de funcionarios estatales y locales o cualquier otra persona involucrada en la administración de elecciones federales que emitan boletas federales a personas que no son elegibles para votar en una elección federal.

La orden también ordena al director general de correos que emita nuevas regulaciones propuestas que requieran que las boletas por correo se envíen en sobres especiales que incluyan códigos de barras para su seguimiento. Fundamentalmente, pregunta a los estados con anticipación si tienen la intención de presentar una lista de votantes elegibles para votar por correo e intenta hacer valer la autoridad para negar el envío de boletas a los estados que no participan. También afirma que el fiscal general tiene derecho a retener fondos federales de los estados que no cumplan.

Los esfuerzos anteriores de la administración Trump para hacer valer agresivamente la autoridad del poder ejecutivo sobre las elecciones han sido rechazados por los tribunales, y los jueces señalaron que la Constitución de los Estados Unidos faculta explícitamente a los estados y al Congreso para fijar el momento, la forma y el lugar de las elecciones.

La orden justifica la participación de la Casa Blanca al afirmar que tiene “un deber inevitable” según el Artículo II de la Constitución de mantener la confianza en los resultados electorales evitando violaciones del derecho penal. Pero numerosas auditorías, investigaciones y recuentos postelectorales han confirmado consistentemente durante décadas que el voto criminal de no ciudadanos es infinitamente raro en las elecciones estadounidenses, y para el pequeño número que lo hizo, la mayoría resultan ser accidentes o errores administrativos de décadas de antigüedad.

Las críticas de funcionarios electorales, expertos y demócratas en el Congreso no se hicieron esperar.

El secretario de Estado de Minnesota, Steve Simon, que se ha resistido a las demandas del Departamento de Justicia de entregar datos de los votantes estatales, predijo que la orden “correrá la misma suerte” que órdenes ejecutivas anteriores al ser revocada por los tribunales. Otros secretarios de Estado han emitido declaraciones similares rechazando la constitucionalidad de la orden.

«Nuestra oficina ha ayudado a detener sus acciones antes y ahora estamos explorando nuestras opciones legales para evitar que esta nueva orden entre en vigor», dijo Simon en un comunicado a CyberScoop.

También se mostró desconcertado por el voto por correo, calificándolo de una forma segura, confiable y conveniente para que los ciudadanos ejerzan su derecho al voto. Los funcionarios electorales locales “siguen cada boleta” enviada por correo y cuentan con una variedad de controles y salvaguardas para garantizar que se envíen únicamente a los votantes elegibles y que los votantes solo puedan emitir un voto.

“Los votantes ausentes que opten por votar por correo deben proporcionar un número de identificación coincidente, firmar el sobre con su firma y hacer que un testigo firme el sobre de su boleta antes de devolverla”, dijo Simon. «Toda esa información es rastreada digitalmente por los administradores electorales. Los votantes pueden rastrear el estado de su boleta utilizando nuestra herramienta de seguimiento de boletas en línea. Cualquier intento de registrarse o emitir un voto mientras no son elegibles se remite para investigación y posible procesamiento».

El senador Alex Padilla, demócrata por California, calificó la orden como un “abuso de poder flagrante e inconstitucional” y dijo que esperaba demandas “inmediatas” que cuestionaran su legalidad.

“El Presidente y el Departamento de Seguridad Nacional no tienen autoridad para controlar las elecciones federales ni ordenar al Servicio Postal independiente que socave el voto por correo y en ausencia del que dependieron casi 50 millones de estadounidenses en 2024”, dijo Padilla en un comunicado. «Una década de mentiras sobre el fraude electoral no cambia la Constitución».

David Becker, director ejecutivo del Centro para la Innovación e Investigación Electoral, dijo que los últimos mandatos de la administración están tan lejos de los límites constitucionales del poder ejecutivo que casi con seguridad serán detenidos mediante demandas.

«Algunos pueden asustarse por esto, pero, sinceramente, es muy gracioso», escribió Becker en Bluesky. «Es claramente inconstitucional, será bloqueado de inmediato y lo único que logrará es enriquecer a los abogados liberales. También podría firmar una orden ejecutiva que prohíba la gravedad».

Sin embargo, si bien los tribunales inferiores han anulado sistemáticamente órdenes y demandas anteriores de la Casa Blanca, los expertos electorales han expresado su preocupación de que la mayoría conservadora de la Corte Suprema, que ha chocado con los tribunales inferiores por la autoridad constitucional de la administración Trump, pareciera receptiva a la posición de la administración en un argumento oral reciente.

Alexandra Chandler, directora del programa Elecciones Libres y Justas de la organización sin fines de lucro Protect Democracy, dijo en un comunicado que la orden de la Casa Blanca “se parece más a un intento de anulación ejecutiva” de la autoridad estatal sobre las elecciones.

“Con la intención de resolver un problema que existe sólo en la falsa retórica de la administración Trump y su suerte política, el [order] «Es un ejemplo clásico de su manual para engañar al pueblo estadounidense e interrumpir el proceso electoral para negar cualquier resultado futuro que no les convenga», dijo Chandler.

«Lo sabías y podrías haber actuado. ¿Por qué no lo hiciste?»

Esta es la pregunta que no quieres que te hagan. Y cada vez más, es la pregunta que los líderes se ven obligados a responder después de un incidente.

Durante años, muchos equipos ejecutivos y juntas directivas han tratado una gran acumulación de vulnerabilidades como una realidad incómoda pero tolerable: «hemos aceptado el riesgo». Si alguna vez ha visto un informe que muestra miles (o decenas de miles) de CVE máximos y críticos abiertos, probablemente también haya escuchado las racionalizaciones habituales de personas que preferirían mirar para otro lado: tenemos otras prioridades, Esto llevará años de tiempo de ingeniería para solucionarlo., ¿Cómo sabes que estos son realmente críticos? Todavía estamos priorizando, llegaremos a eso.

En el viejo mundo, esa historia, si bien no era buena, a menudo era posible sobrevivir. La explotación era más lenta, más manual y requería más habilidad del operador. Incluso los atacantes más sofisticados tenían limitaciones. Las organizaciones se apoyaron en esas limitaciones como una parte tácita del modelo de riesgo: «Si fuera realmente tan malo como usted dice, estaríamos comprometidos ahora mismo».

Ese mundo se ha ido.

La IA ha colapsado el coste de explotación

Ahora estamos observando a los actores de amenazas utilizar sistemas de IA agentes para acelerar todo el flujo de trabajo ofensivo: reconocimiento, descubrimiento de vulnerabilidades, desarrollo de exploits y ritmo operativo. antrópico detallado públicamente interrumpiendo una campaña de ciberespionaje en la que los atacantes utilizaron a Claude de maneras que aumentaron materialmente su velocidad y escala, y advirtieron explícitamente que este tipo de capacidad puede permitir que grupos menos experimentados realicen trabajos que antes requerían mucha más habilidad y personal.

Como líderes en seguridad, sabemos que la IA permite a los atacantes moverse más rápido. Pero ahora, la automatización convierte el trabajo atrasado en un arma. En el modelo antiguo, tener 13.000 Highs en producción podría racionalizarse como un problema de clasificación. En el nuevo modelo, los atacantes pueden pasar del descubrimiento de la cadena a la validación y explotación en mucho menos tiempo. “Estamos trabajando en el trabajo pendiente” deja de sonar como una estrategia y empieza a sonar como una excusa.

La frase más peligrosa en la sala de juntas

«No te preocupes, el CISO se encarga de todo».

He vivido la realidad detrás de esa frase. Los CISO pueden crear programas, establecer prioridades, informar métricas e impulsar soluciones multifuncionales, pero en muchas empresas, el problema de la vulnerabilidad es estructuralmente mayor que la responsabilidad de cualquier ejecutivo. Es un problema del sistema: dependencias heredadas, limitaciones de velocidad de lanzamiento, entornos de producción frágiles y recursos de ingeniería limitados. Las juntas no pueden delegar la gobernanza.

Línea de casos Caremark de Delaware se cita con frecuencia en las discusiones sobre supervisión de directores: las juntas deben tener sistemas de informes diseñados para sacar a la luz los riesgos consiguientes y deben realmente involucrarse con lo que esos sistemas informan. El objetivo no es asustar a los directores con teoría jurídica, sino dejar claro que si sus informes dicen “tenemos miles de vulnerabilidades graves abiertas”, el trabajo de la junta es ejercer la supervisión.

Qué deberían exigir las juntas directivas (y cómo deberían responder los CISO)

Si es miembro de la junta, debe buscar la verdad operativa. Concéntrese en la resiliencia de la tecnología de su empresa, no solo en el cumplimiento. Y si usted es un líder en seguridad, debería crear los sistemas operativos que la proporcionen. Estas son las preguntas que los equipos pueden utilizar para superar la ciberseguridad performativa:

1. ¿Cómo es nuestro programa de gestión de vulnerabilidades de un extremo a otro?
2. ¿Cuántas vulnerabilidades (especialmente críticas y máximas) existen en nuestros productos en este momento?
3. ¿Cuánto tiempo llevó corregir completamente los nuevos críticos y máximos en el último trimestre? ¿El año pasado?
4. Si se descubriera un nuevo día 0 en nuestro producto más vendido hoy, ¿cuánto tiempo pasaría antes de que pudiéramos decirles a los clientes que es seguro?
5. ¿Cuál es el costo en dólares de nuestro actual atraso en vulnerabilidades? (Multiplique las horas-persona para reparar por el costo de ingeniería total y obtendrá un número que la junta puede controlar).

Así es como se hace que el trabajo pendiente sea lo suficientemente tangible como para que el liderazgo deje de esconderse detrás de abstracciones.

«Parchear más rápido» no es una respuesta completa

Muchas organizaciones responden a la presión de la junta prometiendo implementar parches más rápido. Eso ayuda, hasta que interrumpe la producción.

Si los parches de emergencia causan de manera confiable un impacto en el cliente (y en algunos entornos lo hacen), se verá obligado a aceptar una compensación terrible: aceptar la exposición o aceptar el tiempo de inactividad. La empresa moderna necesita un modelo que reduzca la frecuencia y el radio de explosión de la remediación de emergencia, no uno que simplemente acelere el mismo frágil proceso.

La realidad de la cadena de suministro: los pasivos están cambiando

Estamos viendo cambios en las responsabilidades a medida que los reguladores y los tribunales se centran en la higiene de la cadena de suministro de software y la resiliencia operativa.

En la UE, la Ley de Resiliencia Cibernética (CRA) ya está en vigor, y sus principales obligaciones entrarán en vigor en diciembre de 2027. Muchas organizaciones enfrentarán expectativas más fuertes en cuanto al manejo de vulnerabilidades, prácticas de seguridad desde el diseño y responsabilidad a lo largo del ciclo de vida del software.

En los servicios financieros, ha entrado en vigor la DORA (Ley de Resiliencia Operativa Digital), que armoniza la gestión de riesgos de las TIC y los requisitos de resiliencia operativa en toda la UE.

También estamos viendo esta dinámica en los EE. UU., donde se presentan demandas por negligencia en demandas colectivas contra empresas, y los demandantes alegan una falta de debida diligencia que condujo a violaciones de datos.

Puede reducir el trabajo atrasado mediante el diseño

En la era de la explotación acelerada por la IA, el “riesgo gestionado” con demasiada frecuencia significa asumir que los atacantes seguirán moviéndose al ritmo de ayer.

Las juntas deberían dejar de aceptar esa suposición. Los CISO deberían dejar de pretender que “parchar más rápido” o que obtener la aceptación del riesgo es suficiente. Y las organizaciones deberían invertir en reducir la exposición a la vulnerabilidad en la fuente para que el próximo informe de auditoría no sea una hoja de cálculo de los riesgos aceptados, sino evidencia de una superficie de ataque cada vez menor.

Enchufe descarado, aquí es donde el enfoque de Chainguard está diseñado para cambiar las matemáticas: comenzar con componentes de software seguros por defecto que minimicen las vulnerabilidades desde el principio y reduzcan la acumulación de vulnerabilidades con el tiempo. Esto significa que llegarán menos hallazgos críticos a su entorno, menos ciclos de parches de emergencia y menos interrupciones operativas cuando llegue el próximo CVE de alto perfil.

Al reducir estructuralmente la acumulación de vulnerabilidades y el trabajo de remediación, los equipos pueden redirigir el tiempo de ingeniería de la extinción de incendios sin retorno de la inversión a innovación con un alto retorno de la inversión que realmente impulse la ventaja competitiva y los ingresos.

Porque cuando comienzan las acusaciones después de la infracción y alguien pregunta por qué la empresa decidió vivir con 13.000 Highs en producción, la única respuesta defendible es: no lo hicimos. Cambiamos el sistema.

Para obtener más opiniones interesantes y consejos prácticos de (y para) líderes en ingeniería y seguridad, suscríbase a Desencadenado o alcanzar para aprender más sobre Chainguard.

Nota: Este artículo fue escrito por expertos y contribuido porQuincy Castro, CISO, Chainguard.