La Comisión Federal de Comunicaciones (FCC, por sus siglas en inglés) decidió rescindir una resolución declaratoria relacionada con el caso de los ataques de Salt Typhoon, que había sido considerada ilegal e ineficaz, la cual malinterpretaba la Ley de Asistencia en Comunicaciones para la Aplicación de la Ley (CALEA).

En la misma acción, la Orden retira un aviso de Propuesta de Reglamentación que acompañaba a dicha Resolución, el cual proponía requisitos de ciberseguridad considerados ineficaces, basándose en parte en el análisis legal defectuoso de la resolución.

La decisión de la agencia se produce después de meses de interacción con los principales proveedores de servicios de comunicaciones, quienes demostraron una postura de ciberseguridad fortalecida en sus redes, especialmente tras el incidente conocido como Salt Typhoon, un grupo de ciberespionaje vinculado a China que logró penetrar las redes de telecomunicaciones estadounidenses para acceder a sistemas de escuchas telefónicas.

La Comisión reconoció que la amenaza de adversarios extranjeros y otros actores maliciosos sigue siendo un riesgo latente para las redes del país.

Como resultado de este diálogo y de la postura reforzada de la industria, los proveedores se han comprometido a realizar esfuerzos extensos, urgentes y coordinados para mitigar riesgos operativos, proteger a los consumidores y preservar los intereses de seguridad nacional contra el amplio espectro de ciberataques dirigidos a sus redes, explicó la FCC.

Sin embargo, la comisionada Anna Gomez se opuso a la resolución porque, de acuerdo con su argumentación, revierte el único esfuerzo significativo de la agencia para abordar las vulnerabilidades expuestas por el ataque de Salt Typhoon.

Gomez argumenta que al anular estas acciones que buscaban establecer obligaciones claras de ciberseguridad y de un marco de cumplimiento, y al no ofrecer nada en concreto a cambio, la FCC deja al país menos seguro.

Además de esta corrección, la Comisión ha tomado una serie de medidas desde enero con el propósito de fortalecer las redes de comunicaciones y mejorar su estrategia de seguridad.

Entre estas iniciativas se incluye el establecimiento de un Consejo de Seguridad Nacional para facilitar la colaboración con socios en la materia.

También se han adoptado reglas específicas para abordar los mayores riesgos de ciberseguridad en infraestructuras críticas, como la exigencia a los titulares de licencias de cables submarinos de crear e implementar planes de gestión de riesgos, así como la prohibición de los “bad labs” en su programa de autorización de equipos.

El Buró Federal de Investigaciones (FBI) está a la caza de ciberdelincuentes, quienes presuntamente lanzaron ataques cibernéticos en contra de empresas de telecomunicaciones estadounidenses.

Dicha institución hizo pública una alerta en la que solicita a las y los ciudadanos reportar información sobre la actividad afiliada a la República Popular China, rastreada públicamente como Salt Typhoon.

El FBI advirtió que la investigación sobre estos actores y su actividad reveló una amplia y significativa campaña cibernética para acceder a estas redes y atacar a víctimas a escala global.

“Esta actividad resultó en el robo de registros de llamadas, un número limitado de comunicaciones privadas con víctimas identificadas y la copia de información seleccionada, sujeta a solicitudes judiciales de las fuerzas del orden estadounidenses”, reveló el FBI.

El FBI señaló que mantiene su compromiso de proteger al sector de las telecomunicaciones de Estados Unidos y a las personas y organizaciones afectadas por Salt Typhoon, identificando, mitigando e interrumpiendo su ciberactividad maliciosa.

Estados Unidos ofrece recompensa por información

El FBI hizo un llamado para que las personas que tengan información sobre gente que participa en Salt Typhoon o en otras actividades relacionadas con Salt Typhoon, se acerquen a ellos para comunicarla.

Señaló que además, el programa Recompensas por la Justicia del Departamento de Estado de Estados Unidos ofrece una recompensa de hasta 10 millones de dólares por información sobre personas vinculadas a gobiernos extranjeros que participen en ciertas actividades cibernéticas maliciosas contra infraestructura crítica de dicho país, pues se trata de violación de la Ley de Abuso y Fraude Informático.

Tras el ciberataque Salt Typhoon, las empresas de telecomunicaciones de Estados Unidos deberán intensificar las medidas de seguridad para proteger las redes del acceso ilegal o la interceptación de las comunicaciones.

La Comisión Federal de Comunicaciones (FCC, por sus siglas en inglés) adoptó el jueves 16 de enero una resolución que determina nuevas reglas de ciberseguridad para las redes de telecomunicaciones.

En específico, la normativa establece que los operadores tienen la obligación de adoptar requisitos específicos de gestión de riesgos de la cadena de suministro y ciberseguridad.

Según la FCC, bajo la Ley de Asistencia en las Comunicaciones para el Cumplimiento de la Ley, las empresas tienen que maximizar las medidas de seguridad, dado que las comunicaciones deben estar disponibles en todas las circunstancias, para garantizar la seguridad nacional, gestionar de manera eficaz las emergencias y mejorar la resiliencia.

Además, la resolución de la agencia propone que los operadores presenten una certificación anual a la FCC que acredite que han creado, actualizado e implementado un plan de gestión de riesgos cibernéticos. Esta idea aún será sometida a discusión.

Si bien la normativa  se centra especialmente en las empresas de telecomunicaciones, la Comisión busca aplicar las nuevas reglas a un universo más amplio de proveedores de servicios.

Te recomendamos: Salt Typhoon | Confirman ciberespionaje de China en redes de AT&T y Verizon

En este universo estarían incluidos los proveedores de servicios de Internet de banda ancha fijos y móviles, las estaciones de transmisión AM y FM, estaciones de televisión, proveedores de servicios de televisión analógica y digital, sistemas de cable, sistemas de video alámbrico, comunicaciones alámbricas, entre otros.

De acuerdo con el documento de la normativa, los planes de gestión de riesgos de los proveedores de comunicaciones deben identificar los riesgos cibernéticos a los que se enfrentan, los controles que utilizan o planean usar para mitigar esos riesgos y cómo garantizan que estos controles se apliquen de manera efectiva a sus operaciones.

La Comisión destaca que no sólo basta con crear o actualizar planes en la materia, sino que estos tienen que ser razonables para evitar un incumplimiento. Esto significa que los recursos y procesos para garantizar la ciberseguridad deben ser claros y flexibles.

Aunque la resolución destaca la importancia de la flexibilidad, advierte que demostrar que un plan de gestión de riesgos está siendo exitoso tendría que partir de que los operadores se ciñan a un marco establecido, como el Marco de Ciberseguridad del Instituto Nacional de Estándares y Tecnología.

La FCC adoptó estas nuevas reglas luego del complejo ciberataque conocido como Salt Typhoon, mediante el cual, según autoridades estadounidenses, agentes chinos buscaron tener acceso a las redes de telecomunicaciones en todo el país, comprometiendo dispositivos como enrutadores y conmutadores administrados por empresas de telecomunicaciones.

Destacado: Estados Unidos sanciona a empresa china de ciberseguridad por incidentes de intrusión

Al menos siete operadores sufrieron vulneraciones en sus redes como parte de una campaña masiva de espionaje supuestamente dirigida por China contra altos funcionarios del gobierno. Según la administración, el ataque cibernético habría permitido a China acceder a conversaciones privadas, especialmente de personas en actividades gubernamentales o políticas en Washington.

“En respuesta a Salt Typhoon, ha habido un esfuerzo de todo el gobierno para comprender la naturaleza y el alcance de esta violación, lo que debe suceder para eliminar esta exposición en nuestras redes y los pasos necesarios para garantizar que nunca vuelva a suceder”, afirmó Jessica Rosenworcel, presidenta de la FCC.

Jen Easterly, directora de la Agencia de Seguridad de Infraestructura y Ciberseguridad, destacó que “las acciones de la FCC hoy son un paso importante para proteger la infraestructura de telecomunicaciones del país contra la amenaza muy real que plantean la República Popular de China y otros actores amenazantes”.

La resolución de la FCC ya entró en vigor, pero la agencia está recibiendo comentarios sobre si la Comisión debería armonizar su enfoque de la ciberseguridad y la gestión de riesgos de la cadena de suministro en todos los servicios de comunicaciones y en qué medida.

Trump nomina a Olivia Trusty como comisionada de FCC

Previo a su llegada a la Casa Blanca, el presidente electo de EE. UU., Donald Trump, nominó a Olivia Trusty como comisionada de la FCC.

Trusty actualmente es miembro del personal profesional del Comité de Servicios Armados del Senado.

Congratulations to Olivia Trusty! 🇺🇸🇺🇸 pic.twitter.com/uVQITEi2GR

— Brendan Carr (@BrendanCarrFCC) January 16, 2025

Anteriormente, trabajó en el Comité de Energía y Comercio de la Cámara de Representantes, centrándose en la fabricación y el comercio, el comercio digital y la protección del consumidor.

“Olivia trabajará con nuestro increíble nuevo presidente de la FCC, Brendan Carr, para reducir las regulaciones a un ritmo récord, proteger la libertad de expresión y garantizar que todos los estadounidenses tengan acceso a Internet asequible y rápido”, dijo Trump en una publicación en su red social Truth Social.

La nominación de Trusty aún debe ser confirmada por el Senado, pero su pronta llegada dará a los republicanos la mayoría en la FCC para avanzar en una nueva agenda de trabajo. Mientras tanto, las principales asociaciones industriales del sector celebraron su nominación.

AT&T y Verizon acusaron que sus redes sufrieron intentos de ciberespionaje por parte de China, aunque las propias empresas afirmaron que su información y la de sus usuarios está segura.

“No hemos detectado actividad alguna por parte de actores de estados nacionales en nuestras redes en este momento. Según nuestra investigación actual sobre este ataque, la República Popular China tuvo como objetivo a un pequeño número de individuos de interés para la inteligencia extranjera”, dijo un vocero de AT&T.

El gobierno de Estados Unidos también se pronunció respecto a la operación de ciberespionaje denominada Salt Typhoon.

“Al analizar la intromisión de China en nueve empresas de telecomunicaciones, el primer paso es crear una infraestructura defendible. No dejaríamos nuestras casas ni nuestras oficinas sin llave, y sin embargo, las empresas privadas que poseen y operan nuestra infraestructura crítica a menudo no tienen implementadas las prácticas básicas de ciberseguridad que harían que nuestra infraestructura fuera más riesgosa, más costosa y más difícil de atacar para los países y los delincuentes”, dijo Anne Neuberger, asesora adjunta de Seguridad Nacional para Cuestiones Cibernéticas en la Casa Blanca.

Nuremberg añadió que el primer paso es crear esa infraestructura defendible, pues lo que han aprendido de la investigación es que hay cuatro categorías de cosas que se necesitan en este espacio: mejor gestión de la configuración; mejor gestión de la vulnerabilidad de las redes; mejor trabajo en todo el sector de las telecomunicaciones para compartir información cuando ocurren incidentes, y el uso de las mismas técnicas para la defensa de las telecomunicaciones.

Si bien sólo se identificaron unos pocos casos de información comprometida, AT&T estaba monitoreando y remediando sus redes para proteger los datos de los clientes, y continúa trabajando con las autoridades para evaluar y mitigar la amenaza, dijo un vocero de la propia compañía.

Por su parte, Verizon publicó un comunicado en el que aseguró que no han detectado actividad de actores de amenazas en su red.

“Después de un trabajo considerable para abordar este incidente, podemos informar que Verizon ha contenido las actividades asociadas con este incidente en particular”, informó el director jurídico de Verizon.

En respuesta a ese ciberataque, la Agencia de Seguridad Cibernética y de Infraestructura de Estados Unidos instó el 18 de diciembre a importantes figuras gubernamentales y políticas a trasladar las comunicaciones móviles a aplicaciones cifradas de extremo a extremo.

El senador Ben Ray Lujan, demócrata de Nuevo México, calificó al Salt Typhoon como “el mayor ataque informático a las telecomunicaciones en la historia de nuestra nación”, durante una audiencia el 11 de diciembre, mientras que el senador republicano de Texas, Ted Cruz, dijo que Estados Unidos “debe tapar cualquier vulnerabilidad en las redes de comunicaciones”.

Existe una creciente preocupación sobre el tamaño y el alcance de los ataques informáticos chinos a las redes de telecomunicaciones de Estados Unidos, así como preguntas sobre cuándo las empresas y el gobierno podrán tranquilizar a los estadounidenses sobre el tema.