El 23 de marzo, el Senado confirmó al senador Markwayne Mullin como el próximo secretario de seguridad nacional, lo que marca un paso importante en el fortalecimiento del liderazgo durante un momento crítico para la seguridad de nuestra nación.

Pero sólo la mitad del trabajo está hecho.

La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), la principal agencia civil de ciberdefensa del gobierno federal, aún carece de un director confirmado por el Senado. A medida que aumentan las amenazas cibernéticas globales, esta prolongada brecha de liderazgo plantea un riesgo creciente para la seguridad nacional.

Como Director Ejecutivo de la Coalición Nacional de Seguridad Tecnológica (NTSC), represento a los Directores de Seguridad de la Información que son responsables de proteger los sistemas que sustentan la economía y la infraestructura crítica de Estados Unidos. En todos los sectores, energía, atención médica, servicios financieros, manufactura y transporte, existe una preocupación común: el panorama de amenazas se está volviendo más agresivo y nuestras defensas deben mantenerse a la vanguardia.

Nuestros enemigos no están esperando.

Desde el inicio del conflicto con Irán, los expertos en ciberseguridad han informado de un aumento de la actividad cibernética maliciosa dirigida a los sistemas estadounidenses y aliados. Los actores vinculados a Irán han demostrado su capacidad para perturbar operaciones y explotar vulnerabilidades. Mientras tanto, China continúa su esfuerzo a largo plazo para infiltrarse en las redes estadounidenses y posicionarse para una posible interrupción de la infraestructura crítica. Rusia y sus grupos afiliados siguen siendo persistentes, investigando las debilidades de los sistemas occidentales y ejerciendo una presión constante.

Ésta es la realidad del conflicto moderno. Las operaciones cibernéticas se han convertido en un ámbito principal de competencia. En algunos casos, pueden rivalizar con los efectos de la acción militar tradicional, perturbando las economías, las comunicaciones y la seguridad pública únicamente a través del código.

El liderazgo es importante en este entorno.

CISA desempeña un papel clave en la coordinación de la ciberdefensa federal, compartiendo inteligencia sobre amenazas con el sector privado y apoyando a los gobiernos estatales y locales. Sirve como vínculo entre el gobierno y la industria para proteger la infraestructura digital del país. Sin un director confirmado por el Senado, la capacidad de la agencia para establecer prioridades, coordinar esfuerzos y responder rápidamente es limitada.

Ese desafío es cada vez más urgente. El plan presupuestario del presidente para el año fiscal 2027 propone recortes significativos a la financiación de CISA. En un momento en que la agencia enfrenta una presión operativa cada vez mayor, la escasez de recursos hace que un liderazgo fuerte y constante sea aún más crucial.

Éste es el momento en que el liderazgo del secretario Mullin es fundamental.

Como ex miembro del Senado, el secretario Mullin comprende la institución, su dinámica y cómo generar consenso. Está en una posición única para conectarse con colegas anteriores y ayudar a avanzar en el nombramiento de Sean Plankey como Director de CISA.

Plankey está altamente calificado y es ampliamente respetado en la comunidad de la ciberseguridad. Su experiencia en la Guardia Costera de EE. UU., en el Departamento de Energía que protege la infraestructura energética del país y en el sector privado le proporciona una comprensión clara tanto del panorama de amenazas como de la importancia de la colaboración público-privada. En un momento en que la coordinación entre el gobierno y la industria es vital, estas cualidades son esenciales.

El Senado ya ha dado señales de que se toma en serio las ciberamenazas. Recientemente confirmó Teniente general Joshua Rudd para liderar el Comando Cibernético de EE. UU. y servir como director de la Agencia de Seguridad Nacional, asegurando un liderazgo sólido del equipo de defensa cibernética militar de Estados Unidos.

Ahora necesita hacer lo mismo en el lado civil.

Confirmar a Plankey es importante porque la principal agencia civil de ciberdefensa del país necesita un liderazgo establecido para combatir a los adversarios que ya están dentro de nuestras redes, investigando nuestros sistemas y preparándose para la siguiente fase del conflicto.

La brecha de liderazgo en CISA ya ha durado bastante.

El secretario Mullin debe comprometerse. El Senado necesita actuar. Y Sean Plankey debería ser confirmado sin más demora.

Las ciberdefensas de Estados Unidos dependen de ello.

Chris Sullivan es el director ejecutivo de la Coalición Nacional de Seguridad Tecnológica, una organización no partidista y sin fines de lucro que actúa como voz de defensa de los directores de seguridad de la información en todo el país.

Un comité clave del Senado tomó medidas para promover una legislación que revisaría las prácticas de ciberseguridad en el Departamento de Salud y Servicios Humanos.

La Ley bipartidista de Ciberseguridad y Resiliencia de la Atención Médica fue aprobada por el Comité Senatorial de Salud, Educación y Trabajo el jueves con una votación de 22 a 1, y solo el senador Rand Paul, republicano por Kentucky, se opuso.

El legislaciónpatrocinado por el presidente del comité Bill Cassidy, republicano por La., y los senadores Mark Warner, demócrata por Virginia, John Cornyn, republicano por Texas y Maggie Hassan, demócrata por NH, requeriría que el Secretario de Salud y Servicios Humanos desarrolle un plan de respuesta a incidentes de ciberseguridad para el departamento y lo presente al Congreso para su revisión.

Ordenaría al departamento que se asocie con la Agencia de Seguridad de Infraestructura y Ciberseguridad en la supervisión de la ciberseguridad en los sectores de atención médica y salud pública, crearía una guía específica de ciberseguridad para los proveedores de atención médica rurales y desarrollaría un plan para impulsar la alfabetización en ciberseguridad dentro de la fuerza laboral de atención médica.

Cassidy y otros miembros citaron el ataque de 2024 Change Healthcare como un importante impulsor de la legislación, argumentando que el incidente fue emblemático de un sector que está bajo constante asedio por parte de ciberdelincuentes, actores de ransomware y estados-nación.

“El año pasado hubo más de 730 infracciones cibernéticas que afectaron a más de 270 millones de estadounidenses. [connected to] Change Healthcare, exponiendo los datos de 190 millones de personas y retrasando el acceso a la atención”. Cassidy dijo al inicio de la audiencia.

Otra disposición designaría a la Administración de Preparación y Respuesta Estratégicas del HHS como Agencia de Gestión de Riesgos Sectoriales para los sectores de atención médica y salud pública.

A principios de este mes, un funcionario del HHS de esa oficina hablando en CyberTalks, presentado por CyberScoop, dijo que el ataque a Change Healthcare tomó por sorpresa a muchos defensores de los sectores público y privado, subrayando cómo el compromiso de un proveedor de servicios externo poco conocido concentrado en un solo sector aún puede acabar con amplios sectores de la industria.

«No era un hospital, era una empresa de la que la mayoría de la gente nunca había oído hablar y tuvo grandes impactos en nuestro sector y amenazó la liquidez de todo nuestro sistema de atención médica», dijo Charlee Hess, directora de ciberseguridad del sector de atención médica y salud pública en la división de Administración para la Preparación y Respuesta Estratégica. «Nos recuperamos de eso, pero nos dimos cuenta de que hay riesgos de terceros acechando en nuestro sistema de atención médica, y ni siquiera sabemos que están allí. ¿Dónde están esas entidades o sistemas que tendrán un impacto enorme en nuestro sector?»

El proyecto de ley actualizaría una de las principales leyes de protección de datos del sector, la Ley de Responsabilidad y Portabilidad del Seguro Médico, para garantizar que las entidades reguladas utilicen prácticas modernas de ciberseguridad. También establecería un nuevo programa de subvenciones federales para ayudar a hospitales, centros oncológicos, clínicas de salud rurales, el Servicio de Salud Indígena, centros de salud académicos y organizaciones sin fines de lucro asociadas a adoptar las mejores prácticas de ciberseguridad.

«Los ataques cibernéticos en el sector de la atención médica pueden tener una amplia gama de consecuencias devastadoras, desde exponer información médica privada hasta interrumpir la atención en las salas de emergencia, y puede ser particularmente difícil para los proveedores médicos en comunidades rurales con menos recursos prevenir y responder a estos ataques», dijo Hassan en un comunicado.