El Departamento del Tesoro está solicitando comentarios del público sobre si debería cambiar un programa de seguro contra riesgos de terrorismo para abordar las pérdidas relacionadas con la cibernética.

en un Aviso del Registro Federal El Tesoro, que se publicará el miércoles, busca comentarios del público para un informe obligatorio que debe entregar al Congreso este verano sobre la eficacia del programa de seguro contra riesgos de terrorismo (TRIP, por sus siglas en inglés) creado por la Ley de Seguro contra Riesgos de Terrorismo de 2002. Esa ley surgió de los ataques terroristas del 11 de septiembre y proporcionó un respaldo federal para hacer que los seguros contra riesgos de terrorismo sean más disponibles y asequibles.

Algunos expertos han sugerido que la industria de los seguros cibernéticos también debería recibir un respaldo federal mientras la industria lucha por desarrollarse plenamente. Dado que la ley expirará a fines de 2027, vincularla a la reautorización de la ley de seguro contra riesgos de terrorismo podría ser una forma de lograr que el Congreso cree dicho respaldo cibernético.

Entre los temas que el Tesoro espera que los comentaristas aborden antes de enviar el informe al Congreso en junio está la interacción entre la ley y el programa de seguro contra riesgos de terrorismo y la ciberseguridad. La agencia aceptará comentarios hasta el 8 de mayo.

Eso incluye: “Cualquier cambio potencial a TRIA o TRIP que fomente la contratación de seguros para pérdidas relacionadas con la cibernética que surjan de actos de terrorismo como se define en TRIA, incluyendo, entre otros, la posible modificación de las líneas de seguro cubiertas por TRIP y revisiones de cualquiera de los mecanismos actuales de reparto para pérdidas relacionadas con la cibernética, como, por ejemplo, el deducible de la aseguradora individual o el porcentaje de participación federal”.

En 2021, el Tesoro emitió una norma que dejaba claro que TRIP podría cubrir pérdidas cibernéticas si se inscribían en una línea de seguro elegible para TRIP. Sin embargo, un Informe de la Oficina de Responsabilidad Gubernamental el año pasado describió algunas de las limitaciones allí.

«Debido a que TRIA fue diseñada específicamente como un respaldo federal para pérdidas por actos de terrorismo, sólo las pérdidas por ciberataques certificados por el Tesoro como actos de terrorismo tendrían cobertura TRIA», afirma. «Como resultado, incluso los grandes ciberataques que provocan pérdidas catastróficas no estarían cubiertos por la TRIA si no estuvieran certificados como actos de terrorismo».

El Tesoro dijo en su aviso del Registro Federal que quiere comentarios sobre las pérdidas relacionadas con el terrorismo cibernético dentro del TRIP y las pérdidas fuera de él.

Para ser certificados, los ataques cibernéticos tendrían que cumplir con las definiciones de la ley de seguros contra riesgos de terrorismo. Deben ser violentos o peligrosos para la vida, la propiedad o la infraestructura, y estar diseñados para influir en la población o el gobierno de Estados Unidos. Es posible que los daños a organizaciones estadounidenses fuera de los Estados Unidos aún no califiquen.

El fabricante de dispositivos médicos Stryker sufrió recientemente un ataque con limpiaparabrisas, con el grupo pro palestino vinculado al gobierno iraní Handala. tomando crédito. Dijo que el ataque fue en represalia por los ataques militares de Estados Unidos e Israel contra Irán, específicamente un Ataque con misiles estadounidenses en una escuela que mató a 175 personas, según el gobierno de Irán.

Una vulnerabilidad de máxima gravedad en pac4j, una biblioteca de código abierto integrada en cientos de paquetes y repositorios de software, representa una importante amenaza a la seguridad, pero hasta ahora ha recibido escasa atención.

El defecto en el motor de seguridad de Java, que maneja la autenticación a través de múltiples marcos, no ha sido explotado desde que la firma de revisión de código CodeAnt AI publicó un exploit de prueba de concepto la semana pasada. La empresa descubrió la vulnerabilidad y la informó de forma privada al responsable de pac4j, que reveló el defecto y lanzó parches para las versiones afectadas de la biblioteca en dos días.

Algunos investigadores le dijeron a CyberScoop que están preocupados por la vulnerabilidad. CVE-2026-29000 – porque afecta a un motor de seguridad Java ampliamente implementado que los atacantes pueden explotar con relativa facilidad.

«Un actor de amenazas sólo necesita acceder a la clave RSA pública de un servidor para intentar la explotación», dijeron investigadores de Arctic Wolf Labs en un correo electrónico.

Estas claves públicas, que se comparten abiertamente, se utilizan para cifrar datos y permitir la autenticación de identidad. Los atacantes pueden desencadenar el defecto y eludir la autenticación falsificando un JSON Web Token (JWT) o implementando reclamos JSON sin procesar a través de JSON Web Encryption (JWE) en pac4j-jwt para ingresar a un sistema con los privilegios más altos.

«Actualmente es demasiado temprano en el ciclo de vida de esta vulnerabilidad para saber si se materializará en una amenaza importante, pero el hecho de que sea una vulnerabilidad en una biblioteca hace que sea más difícil evaluar el riesgo potencial», dijeron investigadores de Arctic Wolf Labs. «Los consumidores intermedios de la biblioteca pueden terminar necesitando emitir sus propios avisos, como hemos visto con otras vulnerabilidades similares en el pasado».

Amartya Jha, cofundador y director ejecutivo de CodeAnt AI, advirtió que cualquiera con conocimientos básicos de JWT puede lograr la explotación. La vulnerabilidad es una «falla lógica que ningún escáner de coincidencia de patrones o herramienta de prueba de seguridad de aplicaciones estáticas basada en reglas podría detectar, porque no hay una sola línea de código incorrecta».

El riesgo de seguridad posterior, como suele ocurrir con el software de código abierto, está muy extendido. El módulo de autenticación para pac4j está integrado en múltiples marcos, incluidos Spring Security, Play Framework, Vert.x, Javalin y otros, dijo Jha.

Es posible que muchas organizaciones no se den cuenta de que dependen de pac4j-jwt porque no siempre se declara en los archivos de compilación, añadió. CodeAnt dijo que se comunicó con cientos de mantenedores la semana pasada para advertirles que sus paquetes y repositorios se ven afectados por la vulnerabilidad, que tiene una calificación CVSS de 10.

Los investigadores no han observado ningún código de exploit PoC adicional, pero observaron que la ruta del exploit es fácil de reproducir.

«Las condiciones para la explotación son favorables», afirmó Jha. «Es una autenticación previa, no requiere secretos, la PoC es pública y la superficie de ataque incluye cualquier aplicación orientada a Internet o puerta de enlace API que utilice la configuración afectada. La ventana entre la PoC pública y la adopción de parches es donde el riesgo es mayor».

Escalar los servicios de ciberseguridad como MSP o MSSP requiere experiencia técnica y un modelo de negocio que ofrece valor medible a escala.

La ciberseguridad basada en riesgos es la base de ese modelo. Cuando se hace correctamente, genera confianza en el cliente, aumenta las oportunidades de ventas adicionales e impulsa los ingresos recurrentes. Pero para lograr esto de manera consistente y eficiente, necesita la tecnología y los procesos adecuados.

Nosotros creamos La guía de crecimiento de MSP: cómo los MSP utilizan la gestión de riesgos basada en IA para escalar su negocio de ciberseguridad para ayudar a los proveedores a realizar la transición hacia una ciberseguridad escalable y que priorice el riesgo. En el interior, encontrará información práctica sobre los principales desafíos que enfrentan los MSP, orientación experta para superarlos y un marco para seleccionar e implementar la gestión de riesgos impulsada por IA para desbloquear ingresos recurrentes y escalables.

Por qué la gestión de riesgos es la clave para escalar los servicios de ciberseguridad

La mayoría de los MSP ofrecen servicios críticos de ciberseguridad, desde soporte de cumplimiento hasta protección de terminales, pero a menudo se trata de compromisos aislados que limitan el valor a largo plazo y los ingresos recurrentes.

Un enfoque basado en el riesgo cambia eso. Al evaluar el panorama completo de amenazas y priorizar los riesgos según el impacto comercial, los MSP pueden pasar de soluciones tácticas a un servicio continuo y proactivo.

Al adoptar un enfoque que prioriza el riesgo, usted puede:

• Anticipar y neutralizar las amenazas antes de que causen daño.
• Adaptar continuamente las medidas de seguridad a un panorama de amenazas en evolución
• Proteja los activos, las operaciones y la reputación incluso cuando el cumplimiento no requiera acciones específicas

La gestión de riesgos también ayuda a los MSP a cumplir con las expectativas de los marcos de ciberseguridad modernos, muchos de los cuales requieren evaluaciones de riesgos formales y continuas. Al incorporar la gestión de riesgos en sus ofertas de servicios, abre la puerta a contratos más lucrativos y ventas adicionales basadas en el cumplimiento.

Seis desafíos que la gestión de riesgos impulsada por la IA resuelve para los MSP

Ofrecer servicios de gestión de riesgos ofrece un valor claro, pero incluso los MSP experimentados encuentran obstáculos que obstaculizan la prestación de servicios, reducen la escalabilidad y hacen más difícil mostrar su impacto a los clientes.

Estas son las seis barreras más comunes al crecimiento que enfrentan las MSP:

• Evaluaciones manuales: Consume mucho tiempo, es propenso a errores y difícil de escalar
• Sin hoja de ruta de remediación: Los hallazgos sin planes de acción claros frustran a los clientes
• Complejidad del cumplimiento: La alineación manual con múltiples marcos requiere mucho tiempo y es inconsistente
• Falta de contexto empresarial.: Los informes son demasiado técnicos para los responsables de la toma de decisiones
• Escasez de talento: Los expertos en riesgos cualificados son difíciles de encontrar y retener
• Riesgo de terceros no gestionado: La mayoría de las plataformas ignoran el riesgo del proveedor

Para convertir una estrategia de ciberseguridad basada en riesgos en un modelo de servicio rentable y escalable, los MSP necesitan la tecnología adecuada.

Ahí es donde entran en juego las plataformas de gestión de riesgos impulsadas por IA. Estas plataformas agilizan cada paso, desde la evaluación hasta la remediación y la generación de informes, al tiempo que incorporan experiencia de nivel CISO en la prestación de sus servicios.

Seleccionar la plataforma adecuada de gestión de riesgos basada en IA: qué exigir y por qué

Qué esperar de una plataforma moderna de gestión de riesgos

La plataforma de gestión de riesgos adecuada basada en IA evalúa las amenazas y al mismo tiempo acelera la entrega de resultados que impulsan el crecimiento empresarial. Los proveedores de servicios deben esperar:

• Incorporación y prestación de servicios más rápidas con evaluaciones de riesgos automatizadas y fáciles de usar
• Gestión de cumplimiento mejorada a través de la alineación del marco integrado, mapeo automático y monitoreo continuo
• Mayor satisfacción y confianza del cliente con informes de riesgos claros y centrados en el negocio.
• Retorno de la inversión medible al reducir las cargas de trabajo manuales, aumentar la eficiencia y permitir una prestación de servicios más rentable a escala
• Mayores oportunidades de ventas adicionales al identificar los servicios adicionales que los clientes necesitan en función de su perfil de riesgo único.

Cómo elegir la plataforma de gestión de riesgos adecuada basada en IA

Elegir la solución de gestión de riesgos adecuada es clave para ampliar los servicios de ciberseguridad. La plataforma adecuada debería mejorar la eficiencia operativa, ayudar a priorizar las acciones y comunicar los riesgos de manera que resuenen con las partes interesadas del negocio.

Las capacidades clave que se deben buscar en una plataforma moderna de gestión de riesgos incluyen:

• Evaluaciones de riesgos automatizadas: Ofrezca resultados en días en lugar de meses, reduzca el error humano y garantice resultados consistentes y repetibles
• Registro de riesgos dinámico con mapas de calor: Visualice y priorice instantáneamente los riesgos según la gravedad y la probabilidad para centrar los esfuerzos donde más importan.
• Planes de remediación viables: Convierta los hallazgos en tareas claras y priorizadas alineadas con los objetivos comerciales y los requisitos de cumplimiento.
• Tolerancias de riesgo personalizables: Adaptar la puntuación de riesgo y las recomendaciones a los objetivos específicos y al apetito de riesgo de cada cliente.

Para obtener la lista completa de capacidades que debe buscar, descargue La guía de crecimiento de MSP: cómo los MSP utilizan la gestión de riesgos impulsada por IA para escalar su negocio de ciberseguridad.

Cuando estas capacidades se integran en su modelo de servicio, desbloquea la capacidad de escalar operaciones, aumentar los márgenes y aumentar los ingresos sin ampliar la plantilla.

Convertir la gestión de riesgos impulsada por la IA en una ventaja estratégica

La gestión de riesgos basada en IA ayuda a los MSP y MSSP a escalar servicios, mejorar la eficiencia y ofrecer valor continuo a los clientes. Agiliza las evaluaciones, prioriza los riesgos en función del impacto empresarial y respalda la prestación de servicios consistente y de alta calidad.

La guía de crecimiento de MSP: cómo los MSP utilizan la gestión de riesgos basada en IA para escalar su negocio de ciberseguridad muestra cómo integrar la gestión de riesgos impulsada por la IA en su oferta para impulsar el crecimiento a largo plazo.

Descarga la guía para aprender cómo escalar de manera más inteligente, fortalecer las relaciones con los clientes y utilizar la gestión de riesgos como una ventaja competitiva.