{"id":215,"date":"2026-03-11T10:06:11","date_gmt":"2026-03-11T10:06:11","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/11\/si-las-consecuencias-importan-tambien-deberian-aplicarse-a-los-proveedores\/"},"modified":"2026-03-11T10:06:11","modified_gmt":"2026-03-11T10:06:11","slug":"si-las-consecuencias-importan-tambien-deberian-aplicarse-a-los-proveedores","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/11\/si-las-consecuencias-importan-tambien-deberian-aplicarse-a-los-proveedores\/","title":{"rendered":"Si las consecuencias importan, tambi\u00e9n deber\u00edan aplicarse a los proveedores"},"content":{"rendered":"
\n

Washington ha redescubierto las consecuencias. Simplemente no de manera consistente.<\/p>\n

El 6 de marzo orden ejecutiva<\/a> se basa en una idea simple y correcta: el fraude cibern\u00e9tico persiste porque es rentable, escalable y con demasiada frecuencia tolerado. Entonces la respuesta del gobierno es aumentar el costo. M\u00e1s coordinaci\u00f3n. M\u00e1s perturbaciones. M\u00e1s procesamientos. M\u00e1s presi\u00f3n diplom\u00e1tica sobre los estados que acogen estas operaciones.<\/p>\n

Bien.<\/p>\n

Pero hace semanas, un memorando de la OMB anul\u00f3 memorandos federales anteriores sobre la cadena de suministro de software emitidos durante la administraci\u00f3n Biden. En la pr\u00e1ctica, eso se alej\u00f3 del modelo anterior centrado en la certificaci\u00f3n e hizo que herramientas como el Formulario de certificaci\u00f3n de desarrollo de software seguro y las solicitudes SBOM fueran opciones opcionales en lugar de expectativas duraderas.<\/p>\n

Dicho claramente, nos estamos volviendo m\u00e1s duros con las personas que explotan los sistemas digitales y al mismo tiempo nos estamos volviendo m\u00e1s suaves con las condiciones que hacen que esos sistemas sean tan f\u00e1ciles de explotar.<\/p>\n

La orden ejecutiva acierta en algo importante. El fraude cibern\u00e9tico no es una colecci\u00f3n de molestias aleatorias en l\u00ednea. Es una forma industrializada de depredaci\u00f3n: ransomware, phishing, suplantaci\u00f3n de identidad, sextorsi\u00f3n y fraude financiero que se ejecuta como modelos de negocios repetibles, a menudo transnacionales y a veces protegidos por estados permisivos. La orden responde con una postura federal m\u00e1s centralizada basada en la disrupci\u00f3n, la coordinaci\u00f3n, el intercambio de inteligencia, el procesamiento, la resiliencia y la presi\u00f3n internacional.<\/p>\n

Eso es direccionalmente correcto. Los ecosistemas criminales no retroceden porque publiquemos mejores orientaciones. Se retiran cuando aumenta el costo de hacer negocios.<\/p>\n

Pero luego llegamos al software.<\/p>\n

La cr\u00edtica al antiguo r\u00e9gimen federal de garant\u00eda no es del todo err\u00f3nea. El cumplimiento puede convertirse en teatro. Las burocracias son muy buenas para convertir objetivos de seguridad leg\u00edtimos en rituales de recopilaci\u00f3n de formularios y gesti\u00f3n de casillas de verificaci\u00f3n. Se justificaba cierto escepticismo. La OMB lo dice expl\u00edcitamente, argumentando que el modelo anterior se volvi\u00f3 oneroso y priorizaba el cumplimiento sobre la inversi\u00f3n genuina en seguridad.<\/p>\n

A\u00fan as\u00ed, el fracaso del mal cumplimiento no es prueba de que la rendici\u00f3n de cuentas en s\u00ed fuera el problema.<\/p>\n

Ah\u00ed es donde se rompe la l\u00f3gica. La administraci\u00f3n est\u00e1 claramente dispuesta a creer que los actores criminales responden a la disuasi\u00f3n. Est\u00e1 dispuesto a utilizar procesamientos, sanciones, restricciones de visas y presi\u00f3n coordinada en sentido descendente. Pero aguas arriba, donde la tecnolog\u00eda insegura da forma al terreno que explotan esos delincuentes, la teor\u00eda cambia repentinamente. All\u00ed se nos dice que confiemos en la discreci\u00f3n. Juicio local. Decisiones flexibles y basadas en riesgos.<\/p>\n

A veces eso es sabidur\u00eda. A menudo es simplemente una forma m\u00e1s elegante de decir que nadie quiere un requisito estricto.<\/p>\n

Por eso tambi\u00e9n mi posici\u00f3n no ha cambiado. en un publicaci\u00f3n que escrib\u00ed en 2024<\/a>sostuve que la industria no necesitaba expectativas m\u00e1s suaves ni otra ronda de est\u00edmulo cort\u00e9s. Se necesitaban acciones m\u00e1s concretas y consecuencias lo suficientemente fuertes como para cambiar los incentivos. El problema nunca fue que exigi\u00e9ramos demasiada responsabilidad. El problema era que el software inseguro segu\u00eda siendo demasiado barato para distribuirse.<\/p>\n

\u00c9sa es la cuesti\u00f3n m\u00e1s profunda. El cibercrimen a gran escala no prospera s\u00f3lo porque existan delincuentes. Prospera porque el medio ambiente los recompensa. Los sistemas de identidad d\u00e9biles, el software fr\u00e1gil, las cadenas de dependencia en expansi\u00f3n, la mala visibilidad y la rendici\u00f3n de cuentas difusa hacen que la depredaci\u00f3n sea m\u00e1s barata. Las personas que conllevan riesgos evitables rara vez absorben el costo total del mismo. Todos los dem\u00e1s lo hacen.<\/p>\n

As\u00ed que estas dos medidas pol\u00edticas, tomadas en conjunto, revelan algo inc\u00f3modo. El gobierno parece creer en las consecuencias para los ciberdelincuentes, pero no del todo en las consecuencias para una producci\u00f3n insegura. Quiere disuasi\u00f3n para el estafador, pero discreci\u00f3n para el proveedor.<\/p>\n

Una estrategia cibern\u00e9tica coherente lograr\u00eda ambas cosas. Interrumpir\u00eda agresivamente las redes criminales y tambi\u00e9n crear\u00eda una presi\u00f3n significativa para una producci\u00f3n y adquisici\u00f3n seguras desde el dise\u00f1o. Reconocer\u00eda que castigar a los atacantes es importante, pero tambi\u00e9n lo es cambiar el terreno que sigue haciendo que el ataque sea rentable.<\/p>\n

La administraci\u00f3n tiene raz\u00f3n en una cosa: el cibercrimen no disminuir\u00e1 hasta que aumenten los costos de la depredaci\u00f3n.<\/p>\n

La pregunta sin respuesta es por qu\u00e9 esa l\u00f3gica deber\u00eda detenerse en el borde del centro de estafa.<\/p>\n

Brian Fox es el cofundador y director de tecnolog\u00eda de Sonatype. <\/em><\/p>\n