La Casa Blanca publica las pautas de gobernanza de los sistemas de IA utilizados por las administraciones públicas norteamericanas
La Casa Blanca ha publicado su política de gobernanza de inteligencia artificial (IA), en desarrollo de la orden ejecutiva 14110 sobre el desarrollo y uso de una IA segura y confiable, emitida el pasado mes de octubre por el presidente Biden. El Memorandum “Advancing Governance, Innovation, and Risk Management for Agency Use of Artificial Intelligence” (Fomento de la gobernanza, la innovación y la gestión de riesgos en el uso de la inteligencia artificial por parte de las agencias), elaborado por la oficina ejecutiva de gestión y presupuestos de la Casa Blanca, establece nuevos requisitos y orientaciones para la gobernanza, la innovación y la gestión de riesgos de los sistemas de IA utilizados o adquiridos por la Administración de los EEUU. Entre otras medida, se establece la figura del CAIOs (Chief Artificial Intelligence Officer), del que se describen sus funciones, responsabilidades, antigüedad, posición y estructuras de información. Mejora de la gobernanza de la IA El memorándum parte de la premisa de que gestionar el riesgo de la IA y promover su innovación requiere una gobernanza eficaz. Esta eficiencia se plantea en base a las siguientes medidas, que deberán adoptar los responsables de los organismos y agencias que utilicen IA: i. Designación de un Chief Artificial Intelligence Officer (CAIO) o Director de AI Tal y como exige la Orden Ejecutiva 14110, en un plazo de 60 días a partir de la fecha de publicación de este memorando el director de cada organismo a debe designar un Director de Inteligencia Artificial (CAIO). Para garantizar que el CAIO pueda cumplir con las responsabilidades establecidas en este memorando, las agencias que ya han designado un CAIO deben evaluar si necesitan proporcionar a esa persona autoridad adicional o nombrar un nuevo CAIO. Las agencias deben identificar a estos funcionarios ante la OFFICE OF MANAGEMENT AND BUDGET OF THE PRESIDENT OMB a través del proceso de Recopilación Integrada de Datos de la OMB o un proceso sucesor designado por la OMB. Cuando la persona designada cambie o el puesto quede vacante, los organismos deberán notificarlo a la OMB en un plazo de 30 días. Además, dado que la IA está profundamente interconectada con otras áreas técnicas y políticas, como los datos, la tecnología de la información (TI), la seguridad, la privacidad, los derechos civiles y las libertades civiles, la experiencia del cliente y la gestión del personal, los CAIO deben trabajar en estrecha coordinación con los funcionarios y organizaciones responsables existentes dentro de sus agencias. Por ello el Memorandum establece que los CAIO deben tener las habilidades, conocimientos, formación y experiencia necesarios para desempeñar las responsabilidades descritas en esta sección. ii. Convocatoria de los órganos de gobierno de IA de las agencias En un plazo de 60 días a partir de la publicación de este memorándum, cada agencia de la Ley CFO debe convocar a sus altos funcionarios pertinentes para coordinar y gobernar las cuestiones relacionadas con el uso de la IA en el Gobierno Federal, de conformidad con la Sección 10.1(b) de la Orden Ejecutiva 14110 y las orientaciones detalladas de la Sección 3(c) de este memorándum. iii. Planes de cumplimiento De conformidad con la Sección 104(c) y (d) de la Ley de AI in Government Act of 2020 (Ley sobre la IA en el Gobierno de 2020), en un plazo de 180 días a partir de la publicación de este memorando o de cualquier actualización del mismo, y posteriormente cada dos años hasta 2036, cada organismo deberá presentar a la OMB y publicar en el sitio web del organismo un plan para lograr la coherencia con este memorando, o bien una determinación por escrito de que el organismo no utiliza ni prevé utilizar IA cubierta. Los organismos también deben incluir planes para actualizar los principios y directrices internos existentes en materia de IA a fin de garantizar la coherencia con este memorándum. La OMB proporcionará plantillas para estos planes de cumplimiento. iv. Inventarios de casos de uso de IA Cada organismo (excepto el Departamento de Defensa y la Comunidad de Inteligencia) debe inventariar individualmente cada uno de sus casos de uso de IA al menos una vez al año, presentar el inventario a la OMB y publicar una versión pública en el sitio web del organismo. La OMB publicará instrucciones detalladas sobre el inventario y su alcance a través de su proceso de Recogida Integrada de Datos o de un proceso sucesor designado por la OMB. A partir del inventario de casos de uso para 2024, se exigirá a los organismos, según proceda, que identifiquen los casos de uso que afectan a la seguridad y los que afectan a los derechos en materia de IA y que informen con más detalle sobre los riesgos -incluidos los riesgos de resultados no equitativos- que plantean dichos usos y sobre cómo los organismos gestionan esos riesgos. v. Informes sobre casos de uso de IA no sujetos a inventario Algunos casos de uso de la IA no están obligados a ser inventariados individualmente, como los del Departamento de Defensa o aquellos cuya divulgación sería incompatible con la legislación aplicable y la política gubernamental. No obstante, los organismos deberán comunicar y publicar anualmente los datos agregados sobre los casos de uso que entren en el ámbito de aplicación del presente memorando, el número de casos de este tipo que afecten a los derechos y la seguridad, y el cumplimiento de las prácticas del artículo 5(c) del presente memorando. La OMB publicará instrucciones detalladas para la presentación de estos informes a través de su proceso integrado de recopilación de datos o de un proceso sucesor designado por la OMB. Gestión de los riesgos derivados del uso de la Inteligencia Artificial Las agencias y organismos norteamericanos, deben gestionar una serie de riesgos derivados del uso de la IA. Este memorándum establece nuevos requisitos y recomendaciones que, tanto de forma independiente como colectiva, abordan los riesgos específicos de confiar en la IA para informar o llevar a cabo decisiones y acciones de los organismos, en particular cuando dicha confianza afecta a los derechos y la
Los legisladores estadounidenses llegan a un acuerdo sobre privacidad de datos
Las políticas norteamericanas en torno a la privacidad de datos vuelven a la primera plana. Y es que, tal y como avanza Reuters, dos legisladores estadounidenses “clave” han confirmado haber llegado a un acuerdo sobre el proyecto de ley bipartidista en torno a la privacidad de datos. Una normativa que restringiría los datos de los usuarios que las grandes empresas tecnológicas pueden recopilar y daría a los estadounidenses el poder de impedir la venta de información personal u obligar a su eliminación. El acuerdo alcanzado entre la senadora demócrata Maria Cantwell, presidenta del Comité de Comercio, y la representante Cathy McMorris Rodgers, presidenta republicana del Comité de Energía y Comercio de la Cámara de Representantes, daría a los individuos control sobre el uso de su información personal y requeriría de una notificación en caso de que los datos hayan sido transferidos a países extranjeros. De esta manera, una declaración conjunta, las autoridades competentes confirmaron que el plan otorga a la Comisión Federal de Comercio y a los fiscales generales estatales amplia autoridad para supervisar las cuestiones de privacidad del consumidor y establecer «mecanismos de aplicación sólidos para responsabilizar a los infractores, incluido un derecho de acción privado para los individuos». El proyecto de ley da prioridad a la elección de los consumidores y la privacidad de datos, respecto a la publicidad teledirigida El proyecto de ley no prohíbe la publicidad dirigida, pero brinda a los consumidores la posibilidad de optar por no recibirla. La FTC crearía una nueva oficina centrada en la privacidad y podría imponer multas por violaciones de la privacidad que también cubrirían a las empresas de telecomunicaciones. De acuerdo con lo anterior, las legisladoras estadounidenses Cantwell y Rodgers añadieron que «este proyecto de ley bipartidista y bicameral es la mejor oportunidad que hemos tenido en décadas para establecer un estándar nacional de seguridad y privacidad de datos que brinde a las personas el derecho a controlar su información personal». Podría interesarle: El turismo digital y la protección de datos biométricos: un desafío contemporáneo La medida permitiría a las personas optar por no participar en el procesamiento de datos si una empresa cambia su política de privacidad. Requiere «consentimiento expreso y afirmativo antes de que los datos confidenciales puedan transferirse a un tercero». Así mismo, ñlos consumidores podrían demandar a «malos actores que violan sus derechos de privacidad -y recuperar dinero por daños y perjuicios cuando hayan sido perjudicados-» y evitarían que «las empresas utilicen la información personal para discriminarlas», reza el comunicado. El proyecto de ley requeriría «revisiones anuales de los algoritmos para garantizar que no pongan a las personas, incluidos nuestros jóvenes, en riesgo de sufrir daños». FUENTE: Álvarez Iglesias, Irene. »Los legisladores estadounidenses llegan a un acuerdo sobre privacidad de datos» Cso.computerworld.es. 08/04/2024. (https://cso.computerworld.es/legislacion/los-legisladores-estadounidenses-llegan-a-un-acuerdo-sobre-privacidad-de-datos).
La razón por la que el Gobierno de Estados Unidos usa Windows XP según un informe de ciberseguridad
Que las administraciones públicas no siempre están actualizadas a los sistemas más modernos es un hecho cotidiano. Las universidades, las bibliotecas, los ordenadores de los funcionarios… Windows XP sigue presente en el día a día de muchos trabajadores, pero ¿también del Gobierno de Estados Unidos? Aunque sea sorprendente, un informe de la Oficina de la Contabilidad del Congreso revela varios puntos que necesitan mejorar, entre los que se encuentra un sistema operativo que se lanzó “hace más de 13 años”… y sí, todo parece indicar que se trata del vetusto Windows XP. El documento señala que el departamento de ciberseguridad ha llegado a la conclusión que el uso de Windows XP “cumple con los requisitos federales”, ya que han desarrollado una estrategia de riesgo. Sin embargo, también advierten de que el programa no se ha implementado completamente y de que es necesario actualizar todos estos sistemas. Lea también: Ciberseguridad en el mundo: Los países más vulnerables y las tendencias de ciberataques El informe recoge dos puntos positivos y varios negativos: destacan como positivo que se hayan identificado los roles de gestión y de responsabilidades, así como el desarrollo de una estrategia para prevenir problemas de ciberseguridad. En la vertiente negativa, aseguran que no se han mitigado los riesgos en el departamento ni se ha realizado una monitorización continua, entre otros problemas. Sistemas desactualizados en el Gobierno de los Estados Unidos Llama la atención que una de las vulnerabilidades sea el uso de hardware y de software anticuado: “Escasa actualización y reemplazo de hardware y software que ya ha alcanzado el final de su ciclo vital”, se lee en el informe. “El Estado no ha asegurado adecuadamente su infraestructura IT para apoyar su programa de respuesta ante incidentes. Esto incluye el reemplazo de 23.689 sistema de hardware”, así como de los “sistemas operativos que ya han alcanzado el final de sus ciclos vitales. Algunos se lanzaron “hace 13 años”. Windows XP dejó de recibir actualizaciones de seguridad en 2014. Desde entonces, Microsoft ha lanzado Windows Vista, Windows 7, Windows 8, Windows 10 y Windows 11. La compañía prepara su próximo sistema operativo, que todavía no tiene fecha de lanzamiento. FUENTE: Ruete, Borja. »La razón por la que el Gobierno de Estados Unidos usa Windows XP según un informe de ciberseguridad» As.com. 16/10/2023. (https://as.com/meristation/betech/la-razon-por-la-que-el-gobierno-de-estados-unidos-usa-windows-xp-segun-un-informe-de-ciberseguridad-n/).
Hackeo masivo en el Departamento de Estado de EE.UU.: por qué creen que China está detrás del ataque
En un ciberataque de presunto origen chino que salió a la luz en julio y que tenía como uno de sus objetivos al Departamento de Estado de los Estados Unidos, se vieron comprometidos aproximadamente 60.000 correos electrónicos relacionados con asuntos diplomáticos, según informó el jueves el portavoz del Ministerio, Matthew Miller. Estos correos electrónicos no estaban clasificados y formaban parte de la comunicación cotidiana en el ámbito diplomático. Es importante destacar que, a pesar de la preocupante infiltración en la comunicación, ninguna de las intrusiones logró comprometer los sistemas seguros que almacenan información de carácter clasificado. Esto significa que los datos más sensibles y confidenciales se mantuvieron a salvo de la amenaza cibernética, lo que representa un alivio en términos de seguridad nacional y protección de la información diplomática. Podría interesarle: China acusa a EE.UU. de más de una década de ciberespionaje contra servidores de Huawei Este incidente subraya la importancia continua de la ciberseguridad en las esferas gubernamentales y destaca la necesidad de mantener una vigilancia constante y protocolos de seguridad robustos para proteger la integridad de la información y salvar los intereses nacionales. Estados Unidos señala a China por ciberataques y desinformación Hasta la fecha, el gobierno de Washington ha evitado atribuir responsabilidad específica por el reciente ciberataque, pero ha indicado que no tiene «ninguna razón para dudar de la atribución pública realizada por Microsoft». La empresa tecnológica Microsoft previamente había señalado a un actor cibernético con sede en China al que llamó «Storm-0558«. Este episodio se suma a incidentes anteriores, ya que a finales de mayo Estados Unidos, junto con sus aliados occidentales, y Microsoft, habían denunciado a un «ciberactor» respaldado por China que logró infiltrarse en las redes de infraestructuras críticas de Estados Unidos. En un informe publicado recientemente por el Departamento de Estado de Estados Unidos, se denuncia también una campaña masiva de desinformación atribuida a China. Según el informe, esta campaña representa una amenaza para la libertad de expresión a nivel mundial, lo que intensifica las preocupaciones sobre las actividades cibernéticas y de desinformación promovidas por actores estatales. Este panorama refuerza la necesidad de un enfoque coordinado y una mayor seguridad cibernética en la esfera internacional. Hackers del grupo Storm-0558 comprometen cuentas de correo electrónico gubernamental En julio, funcionarios estadounidenses revelaron un ciberataque respaldado por el gobierno chino que comprometió sistemas de correo electrónico no clasificados del gobierno de Estados Unidos, incluyendo el Departamento de Estado. Aunque el alcance del ataque inicialmente no se aclaró por completo, las agencias militares y de inteligencia de EE.UU. no se vieron afectados, según fuentes cercanas a la investigación. El Pentágono fue la primera agencia en detectar la intrusión. Lea también: Ciberseguridad en la atención médica como propósito crucial en Estados Unidos La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos y el FBI confirmaron que Microsoft identificó el acceso no autorizado de hackers que robaron datos de un número limitado de cuentas, haciéndose pasar por usuarios autorizados. El ataque se focalizó en funcionarios estadounidenses que mantienen relaciones con China y se descubrió poco antes del viaje del secretario de Estado, Antony Blinken, a Beijing el mes pasado. Microsoft, en su blog, atribuyó el ataque a un grupo de hackers chinos conocido como Storm-0558, respaldado por el Estado, y especializado en operaciones de espionaje y robo de datos. Este incidente resalta las preocupaciones en torno a la seguridad cibernética y el ciberespionaje respaldado por el estado chino, mientras expertos advierten sobre la importancia de proteger la información sensible en los sistemas gubernamentales. FUENTE: iProUP. »Hackeo masivo en el Departamento de Estado de EE.UU.: por qué creen que China está detrás del ataque» Iproup.com. 01/10/2023. (https://www.iproup.com/innovacion/43219-hackean-el-departamento-de-estado-de-ee-uu-).
China acusa a EE.UU. de más de una década de ciberespionaje contra servidores de Huawei
En medio de las crecientes tensiones geopolíticas entre China y EE.UU., el Ministerio de Seguridad del Estado (MSS) de China ha asegurado que las agencias de inteligencia estadounidenses han estado llevando a cabo una campaña de ciberespionaje contra servidores de Huawei desde el año 2009. Las acusaciones incluyen el robo de datos críticos y la implantación de puertas traseras en el gigante tecnológico chino, según informa The Hacker News. Las afirmaciones del MSS se hicieron públicas a través de un mensaje en WeChat, una popular plataforma de redes sociales en China. El MSS alega que las agencias de inteligencia estadounidenses han empleado un «poderoso arsenal de ciberataques» para llevar a cabo actividades de vigilancia y robo de datos en múltiples países, incluida China. Lea también: TikTok, multada con la histórica cantidad de 345 millones € en la UE por violar la protección de datos de los menores de edad Aunque el comunicado no proporcionó detalles específicos sobre los supuestos incidentes, se centró en la Agencia de Seguridad Nacional de EE.UU. (NSA) y sus operaciones de Red de Computadoras, acusándola de llevar a cabo ataques sistemáticos y basados en plataformas contra China. Según China, ¿Qué acciones ha tomado la NSA contra Huawei? Uno de los aspectos más destacados de la acusación es la afirmación de que la NSA hackeó los servidores de Huawei en 2009 y que ha realizado «decenas de miles de ataques de redes maliciosas» en entidades chinas, incluyendo a la Universidad Politécnica del Noroeste. Estas acusaciones no son nuevas, ya que Pekín había planteado anteriormente preocupaciones similares en septiembre de 2022. La tensión entre China y EE.UU. en el ámbito de la ciberseguridad se ha mantenido en constante aumento en los últimos años. El Centro de Respuesta de Emergencia de Virus Informáticos Nacional de China (NCVERC) aisló un software espía llamado Second Date en un incidente que involucraba a una universidad de investigación pública. Según las autoridades chinas, este software diseñado para el espionaje fue desarrollado por la NSA y se ejecutó de manera sigilosa en «miles de dispositivos de red en muchos países de todo el mundo». Second Date es descrito como un malware multiplataforma capaz de monitorizar y secuestrar el tráfico de red, así como de inyectar código malicioso. Países como Alemania, Japón, Corea del Sur, India y Taiwán se encuentran entre los supuestos objetivos del spyware. El MSS no se ha limitado a acusar a la NSA de espionaje cibernético, sino que también ha perjurado que EE.UU. ha obligado a empresas tecnológicas a instalar puertas traseras en su software y equipos para llevar a cabo actividades de ciberespionaje y robo de datos. El comunicado menciona ejemplos como X-Mode Social y Anomaly Six, empresas que, según las autoridades chinas, tienen la capacidad de rastrear los teléfonos móviles de los usuarios. Acusaciones cruzadas Desde EE.UU. por su parte también han vertido acusaciones anteriormente contra su ‘rival’ en varias ocasiones. En julio Microsoft reveló una campaña de espionaje vinculada a China, llevada a cabo por un actor codificado como Storm-0558. Esta campaña tenía como objetivo a dos docenas de organizaciones en EE.UU. y Europa. La respuesta de la administración mandarina no se hizo esperar, calificando al país nortamericano como «el imperio de hackeo más grande del mundo y un ladrón cibernético global». Las acusaciones mutuas de ciberespionaje entre China y EE.UU. no favorecen precisamente sus relaciones bilaterales ni la cooperación en el ámbito tecnológico. A medida que las dos naciones continúan disputándose la supremacía en el escenario global, la ciberseguridad puede marcar más las divisiones entre ambas. FUENTE: Payo, Alberto. »China acusa a EE.UU. de más de una década de ciberespionaje contra servidores de Huawei» Escudodigital.com. 23/09/2023. (https://www.escudodigital.com/ciberseguridad/china-acusa-eeuu-mas-decada-ciberespionaje-contra-servidores-huawei_56639_102.html).
El Pentágono pone a prueba a hackers para que lancen ciberataques contra satélite estadounidense
El Pentágono organizó un concurso en el que convocaron a piratas informativos para competir para saber quiénes son los primeros en acceder a un satélite del gobierno estadounidense. El concurso fue organizado por funcionarios de la Fuerza Aérea y la Fuerza Espacial en Las Vegas para piratear un satélite en funcionamiento que orbita el mundo, y se otorgará un premio de $50,000 dólares. La competencia fue denominada como “Hack-a-Sat”, que proporcionará a las agencias de defensa nacional información sobre los puntos débiles de la ciberseguridad y tácticas de infiltración avanzadas, y participan cinco equipos, informó Fox News. Lea también: El gobierno de Biden lanza el AI Cyber Challenge para «proteger a los estadounidenses» de vulnerabilidades en la ciberseguridad “No queremos ser solo una gran organización monolítica”, dijo el capitán de la Fuerza Espacial, Kevin Bernert, de acuerdo con el medio Politico. “Queremos que la mayor cantidad de personas se involucren de manera inteligente. Y, por lo tanto, el impacto a largo plazo en eso es comprender que tiene que hornear la seguridad cibernética, no solo después”. La iniciativa del pentágono y de todo el gobierno estadounidense, en un esfuerzo por reforzar su ciberseguridad nacional Este ha sido solo el último de los intentos del Departamento de Defensa de traer expertos en ciberseguridad externos al desarrollo en los sistemas militares. El Pentágono ha extendido oportunidades similares de colaboración a expertos de otros campos tecnológicos. Sillicon Valley comenzó a obtener contratos similares a medida que el Pentágono recurre a empresas privadas con el fin de impulsar el desarrollo y la adopción de inteligencia artificial, de acuerdo con informes. “Este tipo de cambio no siempre avanza tan rápido o sin problemas como me gustaría”, precisó el secretario de Defensa, Lloyd Austin, en un discurso en diciembre ante un grupo que incluía empresas tecnológicas emergentes. Podría interesarle: Bitdefender Lab revela las amenazas digitales más desafiantes de la ciberseguridad global La competición entre las nuevas empresas tecnológicas y el Departamento de Defensa inició antes del compromiso público con los modelos de lenguaje extenso como ChatGPG. Saildrone, una empresa fundada en 2013, comenzó a desarrollar una serie de sistemas de IA para una vigilancia de aguas internacionales en 2021. FUENTE: Jiménez, Jerald. »El Pentágono pone a prueba a hackers para que lancen ciberataques contra satélite estadounidense» Eldiariony.com. 12/08/2023. (https://eldiariony.com/2023/08/12/el-pentagono-pone-a-prueba-a-hackers-para-que-lancen-ciberataques-contra-satelite-estadounidense/).
El gobierno de Biden lanza el AI Cyber Challenge para «proteger a los estadounidenses» de vulnerabilidades en la ciberseguridad
Con una asignación de casi USD 20 millones en recompensas, el AI Cyber Challenge reúne a destacadas empresas de IA como Anthropic, Google, Microsoft y OpenAI En un comunicado de prensa del 9 de agosto, la administración del presidente Biden reveló una oportunidad para que hackers compitan por sustanciosas recompensas monetarias aplicando inteligencia artificial (IA) para salvaguardar infraestructuras vitales de Estados Unidos de vulnerabilidades en la ciberseguridad. En la primavera de 2024, una fase preliminar seleccionará hasta 20 equipos de alto rendimiento que pasarán a las semifinales de DEF CON 2024, una importante conferencia sobre ciberseguridad. De ellos, un máximo de cinco equipos ganarán 2 millones de dólares cada uno y pasarán a la fase final de DEF CON 2025. Los tres mejores equipos competirán por premios adicionales, incluido un premio de 4 millones de dólares a la mejor protección de software vital, según el comunicado de prensa oficial de la Casa Blanca. Lea también: Bitdefender Lab revela las amenazas digitales más desafiantes de la ciberseguridad global Con una dotación de casi 20 millones de dólares en recompensas, el AI Cyber Challenge reúne a destacadas empresas como Anthropic, Google, Microsoft y OpenAI. Estos líderes del sector aportarán su tecnología a la competición, que se dio a conocer durante la conferencia de hacking Black Hat USA celebrada en Las Vegas, Nevada. Los beneficios para los aspirantes al concurso Se pedirá a los participantes que compartan públicamente el funcionamiento interno de sus sistemas, lo que permitirá una utilización más amplia de sus soluciones. Además, la Open Source Security Foundation, una división de la Linux Foundation, ofrece orientación para el concurso. El organismo organizador del concurso, la Agencia de Proyectos de Investigación Avanzada de Defensa (DARPA, por sus siglas en inglés), se ha comprometido a aportar hasta un millón de dólares de ayuda financiera a siete pequeñas empresas que aspiran a participar en el concurso, en un esfuerzo por garantizar la diversidad de los participantes. El uso de concursos de hacking para fomentar la innovación no es un enfoque nuevo para el gobierno de Estados Unidos. Ya en 2014, DARPA puso en marcha el Cyber Grand Challenge, cuyo objetivo era crear un sistema de defensa automatizado de código abierto capaz de salvaguardar los ordenadores frente a las ciberamenazas. El actual desafío, de dos años de duración, sigue un marco comparable al de esta iniciativa. El concurso demuestra que existen esfuerzos oficiales para hacer frente a una nueva amenaza que los expertos se esfuerzan por comprender plenamente. En el último año, varias empresas estadounidenses han creado distintas herramientas de IA, como ChatGPT, que permiten a los usuarios crear vídeos, imágenes, textos y códigos realistas. FUENTE: NWAOKOCHA, AMAKA. »El gobierno de Biden lanza el AI Cyber Challenge para «proteger a los estadounidenses» de vulnerabilidades en la ciberseguridad» Es.cointelegraph.com 10/08/2023. (https://es.cointelegraph.com/news/us-launches-ai-challenge-to-strengthen-critical-infrastructure).
EEUU pedirá a compañías públicas que divulguen fallas de ciberseguridad
La Comisión de Bolsa y Valores de Estados Unidos adoptó el miércoles unas normas que requieren que las compañías públicas divulguen en un plazo de cuatro días todas las fallas de ciberseguridad que han padecido y que podrían afectar sus resultados finales. Se permitirán demoras si la divulgación inmediata plantea graves riesgos para la seguridad nacional o la seguridad pública. Las nuevas normas, aprobadas en una votación de 3 a favor y dos en contra, también exigen a las empresas que cotizan en bolsa que divulguen anualmente información sobre su gestión de los riesgos de ciberseguridad y la experiencia de sus ejecutivos en este campo. La idea es proteger a los inversores. Podría interesarle: EEUU lanza un certificado de ciberseguridad para ayudar a comprar dispositivos fiables La divulgación de las violaciones puede retrasarse si el secretario de Justicia de Estados Unidos determina que “supondría un riesgo sustancial para la seguridad nacional o la seguridad pública” y la empresa lo notifica por escrito a la Comisión de Bolsa y Valores (SEC por sus siglas en inglés). Sólo en circunstancias extraordinarias podría prolongarse ese retraso más allá de 60 días. “Que una empresa pierda una fábrica en un incendio -o millones de archivos en un incidente de ciberseguridad- puede ser material para los inversores”, dijo en un comunicado el presidente de la SEC, Gary Gensler, señalando la actual incoherencia en la divulgación de información. Las normas aportarán “más transparencia a un riesgo que, de otro modo, sería opaco pero cada vez mayor” y podrían estimular la mejora de las ciberdefensas, aunque podrían suponer un reto mayor para las empresas más pequeñas con recursos limitados, señaló en un comunicado Lesley Ritter, vicepresidenta senior de Moody’s Investors Service. Mayor digitalización: Mayor riesgo en ciberseguridad para las compañías públicas de Estados Unidos Las normas se propusieron por primera vez en marzo de 2022, cuando la SEC determinó que las violaciones de las redes corporativas planteaban un riesgo cada vez mayor a medida que aumentaba la digitalización de las operaciones y el trabajo a distancia, así como el costo para los inversores de los incidentes de ciberseguridad. Aunque algunos operadores de infraestructuras críticas y todos los proveedores de atención sanitaria deben informar por ley de las violaciones, no existe ninguna ley federal de divulgación de violaciones. En un nuevo informe publicado por IBM, los investigadores descubrieron que las organizaciones pagan ahora una media de 4,5 millones de dólares para hacer frente a las brechas, lo que supone un aumento del 15% en los últimos tres años. Los investigadores del Ponemon Institute también descubrieron que las empresas afectadas suelen repercutir los costes en los consumidores, que también pueden ser víctimas del robo de información personal. FUENTE: Asociated Press. »EEUU pedirá a compañías públicas que divulguen fallas de ciberseguridad» Sandiegotribune.com. 26/07/2023. (https://www.sandiegouniontribune.com/en-espanol/noticias/story/2023-07-26/eeuu-pedira-a-companias-publicas-que-divulguen-fallas-de-ciberseguridad).
EEUU lanza un certificado de ciberseguridad para ayudar a comprar dispositivos fiables
El gobierno de Estados Unidos pondrá en marcha el año que viene un programa de emisión de certificado de ciberseguridad para empresas que manufacturan o venden productos tecnológicos con el objetivo de que ayudar a los consumidores a elegir dispositivos menos vulnerables a los ataques. La iniciativa busca fomentar que los estadounidenses tomen decisiones “informadas” sobre los aparatos tecnológicos que usan en su día a día, ofreciéndoles un listado de productos que cumplen con ciertos requisitos de ciberseguridad, explicaron dos funcionarias de alto rango en una llamada con periodistas. Podría interesarle: La ciberseguridad llega al podio de las prioridades de los CEO de América latina “Hay muchos dispositivos en nuestros hogares, desde televisores hasta sistemas de seguridad, (…) que están conectados a internet” y que potencialmente son vulnerables a ciberataques, subrayó una de las funcionarias. Las empresas que ya se han sumado a la iniciativa del certificado de ciberseguridad del gobierno norteamericano La inscripción a este programa es voluntaria y más de una docena de empresas, entre ellas Amazon, Google, Samsung y Logitech, ya han confirmado su participación. Los “gadgets” que hayan recibido la certificación gubernamental estarán también marcados con un logo que indica que cumplen con los estándares de ciberseguridad establecidos por el Ejecutivo. Las empresas interesadas en que sus productos lleven esta marca deberán ajustar sus productos para cumplir con los requisitos. Esas exigencias serán definidas por el Instituto Nacional de Estándares y Tecnología, una agencia dentro del Departamento de Comercio. Lea también: Inteligencia artificial, ciberseguridad, robótica y transformación digital entre los empleos del futuro Entre los requisitos está exigir contraseñas “únicas y fuertes” a sus usuarios, tener políticas de protección de datos, actualización de softwares y capacidad para detectar ataques. “Hemos escuchado que los consumidores quieren comprar productos tecnológicos seguros y queremos construir un puente para cumplir ese deseo”, subrayó la funcionaria. En 2022, el FBI recibió más de 800.000 denuncias de ciberataques y delitos en línea, que supusieron pérdidas de 10.300 millones de dólares, según un informe publicado por esa agencia el pasado marzo. FUENTE: EFE. »EEUU lanza un certificado de ciberseguridad para ayudar a comprar dispositivos fiables» Sandiegouniontribune.com. 18/07/2023. (https://www.sandiegouniontribune.com/en-espanol/vida-latina/innovacion/articulo/2023-07-18/eeuu-lanza-un-certificado-de-ciberseguridad-para-ayudar-a-comprar-dispositivos-fiables).