Los proveedores de servicios de Internet y los operadores de telefonía celular ya no estarán obligados a cumplir con estándares mínimos de ciberseguridad después de una votación de la Comisión Federal de Comunicaciones el jueves.
La FCC votó 2-1 siguiendo líneas partidistas para revertir el curso de una fallo de enero -adoptado cuatro días antes de la toma de posesión del presidente Donald Trump- que requería que los proveedores emitieran una certificación anual que demostrara que habían «creado, actualizado e implementado un plan de gestión de riesgos de ciberseguridad».
Las normas se aplicaban a una amplia gama de empresas, incluidas las operadoras de telefonía móvil, proveedores de servicios de internetestaciones de radio e incluso emisoras de televisión.
Los nuevos requisitos fueron en gran medida una respuesta a la Ciberataque del tifón de salen septiembre del año pasado, en el que piratas informáticos vinculados al gobierno chino irrumpieron en las redes de proveedores de Internet estadounidenses como AT&T, Verizon y Lumen, propietaria de CenturyLink y Quantum Fiber. Los atacantes obtuvieron acceso a millones de metadatos de llamadas y mensajes de texto de clientes y grabaciones de audio presuntamente capturadas de personas involucradas con las campañas de Harris y Trump.
«Esta es una idea tan terrible. Esto es extender la alfombra roja para otro ataque», dijo a CNET Cooper Quintin, tecnólogo senior de la Electronic Frontier Foundation. «No puedo exagerar el impacto que tuvo Salt Typhoon. Esto les dio acceso a las comunicaciones de todos los estadounidenses. Afectó a todos y no hubo consecuencias para las empresas de telecomunicaciones más que tener que generar un informe periódico».
Entonces, ¿por qué revertir las reglas ahora? El presidente de la FCC, Brendan Carr, dijo que las reglas no son necesarias porque los proveedores más antiguos ya han “demostrado una postura de ciberseguridad fortalecida” en el año transcurrido desde los ataques del Salt Typhoon.
La medida es el último capítulo de La agenda de Carr “Eliminar, Eliminar, Eliminar”que pretende poner fin al “ataque regulatorio de Washington”.
Las objeciones de los demócratas no tardaron en llegar. Mark Warner, vicepresidente del Comité Selecto de Inteligencia del Senado, dijo la eliminación de requisitos «Nos deja sin un plan creíble para abordar las brechas expuestas por Salt Typhoon, incluidas fallas básicas como la reutilización de credenciales y la ausencia de autenticación multifactor para cuentas altamente privilegiadas».
en un carta a carr A principios de esta semana, la senadora Maria Cantwell dijo que el tifón de sal permitió al gobierno chino «geolocalizar a millones de personas» y «grabar llamadas telefónicas a voluntad», y señaló que el incidente afectó a casi todos los estadounidenses.
«Ahora ha propuesto revertir este requisito después de una intensa presión por parte de los mismos operadores de telecomunicaciones cuyas redes fueron violadas por piratas informáticos chinos», dijo Cantwell.
Carr descartó estas objeciones en la reunión de esta mañana y dijo: «Hacer cualquier cosa sólo para poder decir que hicimos algo no es la respuesta».
Blair Levin, exjefe de personal de la FCC y analista de la industria de las telecomunicaciones en New Street Research, me dijo que encontraba la posición de Carr contraintuitiva.
«Si consideramos a la FCC como la protectora del interés público en las comunicaciones modernas, la noción de que no tiene un papel en la ciberseguridad me parece deliberadamente directa», dijo Levin.
El fallo es una gran victoria para las empresas de telecomunicaciones, que han presionado para que se deroguen las reglas. en un carta enviada a la FCC el mes pasadolos grupos industriales argumentaron que la colaboración de décadas en materia de ciberseguridad entre la industria y el gobierno significaba que las reglas no sólo eran innecesarias: «socavaban significativamente este sistema y hacían que nuestras redes fueran menos seguras».
Cuando le leí esta cita a Quintin, él se rió y la descartó con una palabra de siete letras.
«Si tener que informar a alguien cuál es su postura de ciberseguridad los hace menos seguros, entonces tenían una ciberseguridad terrible», dijo.
No se pierda ninguno de nuestro contenido tecnológico imparcial y reseñas de laboratorio. Añadir CNET como fuente preferida de Google.
Cómo protegerse de futuros ciberataques
La FCC está dando un paso atrás en el monitoreo de la seguridad de nuestras redes, lo que significa que nunca ha sido más esencial practicar una buena ciberseguridad tú mismo. Si bien Salt Typhoon atacó a funcionarios gubernamentales, los estadounidenses comunes y corrientes podrían estar en riesgo en futuros ataques.
“La preocupación para usted o para mí tiene que ver más con las estafas y los delitos cibernéticos”, dijo Quintin, señalando que Ataques de intercambio de SIMla interceptación de códigos de autenticación de dos factores y los estafadores que se hacen pasar por su banco o proveedor de atención médica podrían volverse más comunes.
Aquí hay algunos pasos que puede seguir ahora mismo para protegerse y mitigar el daño potencial:
Establezca contraseñas seguras y utilice siempre la autenticación multifactor. Su contraseñas Todos deben ser únicos y largos, con una variedad de caracteres especiales, letras y números. Si eso parece imposible de recordar, debería serlo. un buen administrador de contraseñas hará el trabajo pesado por usted. Si descubre que una de sus contraseñas se ha visto comprometida, cámbiela lo antes posible.
Esté atento a los ataques de phishing. Las violaciones de datos brindan a los delincuentes una gran oportunidad de usar sus datos personales en su contra mediante el envío de correos electrónicos, mensajes de texto o mensajes de redes sociales fraudulentos. No haga clic en enlaces de remitentes que no reconoce y sea extremadamente escéptico a la hora de entregar dinero o información personal a cualquier persona o empresa que no haya examinado.
Controle sus cuentas financieras. Siempre es una buena idea vigilar de cerca sus cuentas bancarias y tarjetas de crédito, pero especialmente cuando le notifican que su información personal ha sido expuesta. También puede configurar alertas de cuenta para informarle cuando se haya realizado una transacción importante.
Utilice una VPN. Si le preocupa otro ataque al estilo Salt Typhoon por parte de un gobierno extranjero o de cualquier otra persona, lo mejor que puede hacer para asegurarse de que su conexión siga siendo privada es use una VPN confiable. Busque funciones avanzadas como ofuscación, Tor sobre VPN y una VPN doble, que utiliza un segundo servidor VPN para una capa adicional de cifrado. tu también puedes instale una VPN en su enrutador directamente para que todo su tráfico se cifre automáticamente.
