Blog Analizando la Estrategia Nacional de Ciberseguridad de Marzo 2026
NGCC Blog

Analizando la Estrategia Nacional de Ciberseguridad de Marzo 2026

PoliticaCiberseguridadNoticiasOpinion
Jose Francisco Caro · March 12, 2026 · 8 min read
EN ES
← AnteriorPor Qué la Representación Importa y Qué Necesita Cambiar Siguiente →Las Pequenas Organizaciones de Iowa Son Objetivos de Ataque

Creo en usar todas las herramientas disponibles para dar lo mejor de uno mismo. Los pensamientos y experiencias en esta página son míos; uso IA para ayudar a asegurar que la gramática sea correcta.

El presidente Donald J. Trump y su administración publicaron recientemente la Estrategia Nacional de Ciberseguridad de marzo de 2026, así que vamos a revisar su contenido.

Aviso: Entiendo que esto tiene una cantidad enorme de detalles intrincados y estoy simplificando mucho lo que están a punto de leer.

Sección 6: Desarrollando Talento en Ciberseguridad

Quiero abordar lo que considero uno de los pilares más importantes de nuestro desarrollo en ciberseguridad — la solución para finalmente cubrir estas “vacantes de empleo” en la industria.

Esta estrategia apunta a mejorar el flujo de talento en la academia, las escuelas vocacionales, las corporaciones y el ejército. Esto significa eliminar obstáculos entre ellos y permitir transiciones fluidas. Un punto clave es hacer estos enfoques accesibles y desarrollar una forma de compartir talento.

¡Esto es genial! Me encanta la postura, pero no me gusta que no haya detalles sobre cómo se vería esto en la práctica. ¿Exactamente qué vamos a hacer para lograr esto?

Este es un buen momento para hablar del elefante en la habitación: las contradicciones.

La gran ironía es que la administración ha realizado recortes significativos a CISA —la agencia federal principal responsable exactamente del tipo de coordinación que describe este pilar. Las reducciones en la fuerza laboral de CISA, la salida de liderazgo experimentado y las presiones presupuestarias socavan directamente los objetivos declarados aquí para el desarrollo del talento.

No se puede construir un flujo de talento en ciberseguridad mientras simultáneamente se desmantelan las instituciones que ayudan a entrenar, coordinar y emplear a esa fuerza laboral.

El Ataque Es la Mejor Defensa

La mejor ofensiva es una buena defensa, ¿verdad? No, el ataque es la mejor defensa.

Esta sección se inclina por lo que yo consideraría “privatizar la lucha.” Lo más destacado para mí es que EE.UU. finalmente está considerando operaciones ofensivas en el ciberespacio, y eso no es malo.

Durante demasiado tiempo, EE.UU. ha jugado a la “defensa” en su postura cibernética. EE.UU. “no” participa en operaciones ofensivas y querer utilizar organizaciones privadas para llevarlas a cabo es, en teoría, una forma sólida de hacerlo. Varias preguntas surgieron en mi mente: ¿Cuáles son los incentivos para identificar y disrumpir redes e infraestructuras adversarias? ¿Cómo se vería esto en la práctica? ¿Las recompensas por vulnerabilidades (bug bounties) van a aumentar, con pagos más altos? ¿Cuáles son los criterios para que estas empresas privadas califiquen para contratos gubernamentales en estas tareas?

La legalidad de estas operaciones y la creación de “legislación de contraataque” (hack-back), las zonas grises de actores maliciosos que usan la infraestructura de otras personas, y lo que eso significa para el alcance del trabajo y las Reglas de Enfrentamiento son preguntas abiertas. Hemos visto organizaciones privadas (Contratistas Militares Privados) utilizadas por nuestro gobierno para contratos de seguridad tradicionales, y los resultados han sido… mixtos — dejémoslo así. ¿Qué impide que esto dé lugar al mismo tipo de industria de cibermercenarios en la sombra, con supervisión limitada?

La Pregunta del Estado de Vigilancia

Una cita directa de la Estrategia Nacional de Ciberseguridad de marzo de 2026 es la promesa de contrarrestar “tecnologías de Estado de vigilancia y autoritarias que monitorean y reprimen a los ciudadanos.” ¡Genial! La privacidad prevalece… ya no hay que preocuparse por si la IA se usa para el reconocimiento facial o por si mis datos serán vendidos al mejor postor, ¿verdad?

Bueno, debemos preguntarnos: ¿aplica esto solo a adversarios extranjeros o también al exceso de vigilancia doméstica? Este no es un tema fácil de discutir, dados los argumentos sobre la seguridad nacional y sobre qué es o no una violación de nuestros derechos.

Consecuencias para los adversarios

La Estrategia Nacional de Ciberseguridad de marzo de 2026 promete “riesgo real” y “consecuencias impuestas” a nuestros adversarios. ¿Cómo se vería eso? La historia muestra que la disuasión cibernética es mucho más difícil que otras formas de disuasión.

Volviendo al lado ofensivo de esta estrategia, ¿significa esto que las Reglas de Enfrentamiento serán como las que nuestro ejército ha tenido en los últimos años — algo así como “no dispares hasta que te disparen y con identificación positiva”? ¿Esto constituye la aprobación de operaciones de contraataque y en qué punto decimos “Ya basta, dejen de hacerles DDoS”? ¿Cuál sería el estándar para las consecuencias? Puede que esté malinterpretando toda esta sección y simplificándola demasiado, pero los detalles simplemente no están.

Leyes, Regulaciones y Directrices

Empezamos a adentrarnos en lo que algunos consideran la parte “aburrida” de la seguridad: regulaciones, directrices y estándares. La estrategia dice que esta administración quiere reducir las cargas de cumplimiento y la burocracia, y darle a la industria más espacio para respirar. Ahora, esto no es una idea terrible a alto nivel, ya que la mayoría de las grandes organizaciones dicen que hay tanta regulación y supervisión que resulta difícil hacer las cosas.

Mi mayor preocupación con esta sección es que, normalmente, la desregulación tecnológica implica que alguien se enriquece —probablemente más aún. Más allá de eso, ¿qué significa esto para los marcos de cumplimiento si se les afloja la correa? ¿Las empresas se sentirán más obligadas a mantener una postura más alta o veríamos que las mejoras incrementales disminuyen poco a poco?

Modernización en los Sistemas Gubernamentales

La arquitectura de confianza cero (zero-trust), la criptografía poscuántica, la migración a la nube y la defensa impulsada por IA se mencionan en la estrategia y por buenas razones. Son preocupaciones legítimas, y algunas están muy atrasadas debido a la infraestructura arcaica de las redes gubernamentales y de la infraestructura crítica.

Forzar la modernización finalmente proporcionará una base estable para las empresas que se enfocan en proteger la infraestructura crítica —como Dragos, que trabaja en sistemas OT (tecnología operativa). Si sabes algo sobre OT e IoT, generalmente están basados en sistemas operativos desactualizados o en propietarios que no se llevan bien con la mayoría de las herramientas modernas disponibles.

No podemos hablar de modernización sin mencionar la nube, por supuesto. Hay dos grandes actores en este espacio: AWS y Microsoft Azure. Bueno, Google Cloud se convierte en uno de los 3 grandes. ¿Se convertirá esto en un pequeño oligopolio? Probablemente ya lo es.

Me falta una gran palabra de moda cuando se trata de innovación: la IA. Por supuesto, mencionan herramientas de IA para la defensa, la caza de amenazas y todo lo demás. Sigo firme en que estas herramientas no reemplazarán a los analistas de SOC tradicionales, pero sí pueden y van a introducir nuevas superficies de amenaza en nuestras redes. Hay muchas cosas que pueden salir mal con la IA, desde falsos positivos hasta falsos negativos y alucinaciones.

Hecho en América

Bueno, con esta sección, en realidad, estoy de acuerdo. Soy un firme creyente en ser autosuficientes en nuestra infraestructura crítica. Queremos proteger a la población de incidentes como el ocurrido en la planta de tratamiento de agua de Littleton, Massachusetts, donde adversarios extranjeros apuntan a nuestra agua potable y a otros pilares clave de la vida moderna. ¿Qué mejor manera de hacerlo que tomar el asunto en nuestras propias manos y crear sistemas seguros por diseño aquí en EE.UU.?

Sin embargo, hay una pregunta que me preocupa: ¿cómo vamos a pagar por esto? Reemplazar equipos OT profundamente integrados resulta extraordinariamente costoso y operativamente riesgoso. Los servicios públicos y los municipios no cuentan con presupuesto para la renovación completa de la infraestructura y solo pueden esperar a que llegue el financiamiento federal.

La Conclusión

La estrategia contiene prioridades importantes. El problema es la brecha entre la ambición y los detalles operativos. Varios pilares se contradicen a sí mismos mediante acciones de política pública simultáneas — recortes a CISA, política de proveedores, desregulación sin salvaguardias. La verdadera prueba no será este documento; serán la implementación posterior, las asignaciones presupuestarias y si el modelo de asociación con el sector privado puede tomar forma real.

¿Es esto una estrategia cibernética o una declaración de visión cibernética? ¿Visión audaz o teatro político?

- Jose F. Caro

Creo en usar todas las herramientas disponibles para dar lo mejor de uno mismo. Los pensamientos y experiencias en esta página son míos; uso IA para ayudar a asegurar que la gramática sea correcta.

Jose Francisco Caro
Escrito por
Jose Francisco Caro

Profesional de ciberseguridad y fundador de Nueva Guardia Cyber Consulting. Escribe sobre ciberseguridad, desarrollo de carrera y la misión de proteger las comunidades de Iowa.

Conectar en LinkedIn →
← AnteriorPor Qué la Representación Importa y Qué Necesita Cambiar Siguiente →Las Pequenas Organizaciones de Iowa Son Objetivos de Ataque
Artículos Relacionados
Carrera
Por Qué la Representación Importa y Qué Necesita Cambiar
Mar 10, 2026 · 5 min read
Carrera
Título, Certificaciones o Experiencia - ¿Qué Realmente Te Abre las Puertas en Ciberseguridad?
Mar 10, 2026 · 7 min read
Carrera
5 Recursos Gratis para Comenzar a Aprender Ciberseguridad
Mar 9, 2026 · 6 min read