Críticas de Jen Easterly a la política de lealtad en ciberseguridad durante el segundo mandato de Trump
En el marco de la conferencia RSA 2025, Jen Easterly, exdirectora de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), analizó los primeros 100 días del segundo gobierno de Donald Trump, centrándose en las implicaciones técnicas y operativas de la denominada “exigencia de lealtad” dentro de las agencias federales. Sus comentarios destacan preocupaciones clave sobre la independencia técnica en la gestión de la ciberseguridad nacional.
El impacto de la lealtad política en la toma de decisiones técnicas
Easterly argumentó que la priorización de la lealtad política sobre la experiencia técnica en puestos clave de ciberseguridad podría debilitar la capacidad de respuesta ante amenazas. Señaló que CISA, bajo su dirección (2021-2024), operó bajo principios basados en evidencia técnica, no en alineamiento ideológico. Ejemplos concretos incluyen:
- La coordinación de parches críticos para vulnerabilidades como Log4Shell, donde la velocidad técnica fue esencial.
- La implementación del Marco de Resiliencia Cibernética (CSF 2.0) del NIST, que requiere expertise independiente.
- La respuesta a incidentes en infraestructura crítica, donde decisiones tardías por filtros políticos aumentan riesgos.
Riesgos para la arquitectura de seguridad nacional
Desde una perspectiva técnica, Easterly advirtió sobre tres áreas críticas afectadas:
- Interoperabilidad: Sistemas como EINSTEIN 3.0 y CDM dependen de colaboración interagencial sin sesgos políticos.
- Adopción de estándares: La politización podría retrasar implementaciones de frameworks como Zero Trust (Memorándum M-22-09).
- Inteligencia de amenazas: El análisis de grupos APT (como APT29 o Lazarus Group) requiere objetividad técnica.
Contraste con modelos de gobernanza técnica
Easterly comparó el enfoque actual con modelos internacionales como:
- La UK National Cyber Security Centre (NCSC), donde los directores técnicos mantienen autonomía operativa.
- La ENISA europea, que sigue protocolos estandarizados ISO/IEC 27001 sin interferencia política.
Destacó que en 2023, CISA logró reducir un 28% el tiempo de mitigación de vulnerabilidades críticas gracias a procesos técnicos ágiles, según datos del BOD 23-02.
Recomendaciones para preservar la integridad técnica
Como medidas correctivas, propuso:
- Protecciones legales para roles técnicos similares a las del Director de Ciencia y Tecnología en DHS.
- Mecanismos de revisión independiente para decisiones de ciberseguridad basados en NIST SP 800-160.
- Mayor transparencia en los informes de threat intelligence usando formatos estandarizados como STIX/TAXII.
Sus observaciones coinciden con alertas previas de organismos como DarkReading sobre riesgos de polarización en seguridad nacional.
Conclusión: Priorizar la resiliencia sobre la ideología
El análisis de Easterly subraya que la ciberseguridad efectiva depende de arquitecturas técnicas validadas, no de alineamientos políticos. Casos como la respuesta a SolarWinds demostraron que equipos apolíticos con expertise en MITRE ATT&CK logran mejores resultados. Su llamado refuerza la necesidad de blindar procesos técnicos críticos contra influencias partidistas, especialmente en áreas como:
- Gestión de identidades (PIV/CAC)
- Protección de redes SCADA/OT
- Coordinación de CSIRT federales
Este debate técnico-polético continuará siendo relevante conforme evolucionan amenazas como el ransomware a infraestructura o los ataques a modelos de IA gubernamentales.
