CISA le dice a las agencias estadounidenses que corrijan los errores de seguridad en tan solo 3 días por amenazas de IA

Con nuevas generaciones de modelos de IA impulsando tanto el descubrimiento rápido de vulnerabilidades de software como el potencial de explotación más rápida por parte de hackers maliciosos, la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos lanzó una nueva directiva el miércoles que requiere parches de software más rápidos y eficientes por parte de las agencias civiles federales. La "directiva operativa vinculante" (BOD, por sus siglas en inglés) establece un conjunto de criterios sobre qué tan rápido deben corregirse los errores en función de cuatro evaluaciones de urgencia, con un plazo de respuesta en casos críticos de solo tres días.

Chris Butera, director ejecutivo asistente en funciones de CISA para ciberseguridad, informó a reporteros el miércoles que el objetivo de la directiva es ayudar a las agencias a priorizar, para que puedan abordar primero las vulnerabilidades más problemáticas mientras dedican más tiempo a remediar errores que representan un riesgo menos urgente. La directiva llega cuando empresas privadas y gobiernos se han apresurado a evaluar el alcance del ajuste de cuentas de ciberseguridad que las capacidades de desarrollo de vulnerabilidades y exploits de IA podrían desatar.

"Priorizar la atención de las operaciones de TI y seguridad en los activos más en riesgo es particularmente importante ahora dado los avances en inteligencia artificial, que permiten a los actores de amenazas encontrar y explotar vulnerabilidades en activos [federales]", dijo Butera el miércoles. "Los defensores no pueden darse el lujo de tomarse semanas para parchear sistemas que pueden ser explotados autónomamente en masa".

Los criterios de la directiva de CISA para evaluar la urgencia de un parche incluyen verificar si una vulnerabilidad se encuentra en un sistema expuesto públicamente, si el error figura en el Catálogo de Vulnerabilidades Explotadas Conocidas de CISA, si un atacante podría automatizar todos los pasos para explotar la vulnerabilidad, y cuánto acceso obtendría un atacante al objetivo si se explotara el error. Una vulnerabilidad donde aplican los cuatro puntos debe corregirse en tres días, según la nueva directiva, y la agencia también debe ejecutar un proceso de "triaje forense" para determinar si los sistemas ya han sido comprometidos.

La directiva reemplaza dos órdenes anteriores de CISA relacionadas con plazos de parches para vulnerabilidades urgentes: una de 2019 y otra de 2021. Estas establecieron un marco en el cual los errores más críticos tenían que parchearse dentro de 15 días de su detección y otra clase de vulnerabilidad de alta urgencia tenía que remediarse en 30 días. Y ambas fomentaban parches más rápidos para fallas graves cuando fuera posible. Incluso antes de la era de la IA, en 2021, CISA escribió que "los actores de amenazas son extremadamente rápidos para explotar sus vulnerabilidades de elección: del 4% de vulnerabilidades explotadas conocidas, el 42% se está utilizando el día 0 de la divulgación; el 50% dentro de 2 días; y el 75% dentro de 28 días".

La ciberseguridad federal estadounidense ha mejorado significativamente durante la última década, pero aún a menudo se queda rezagada, gracias a la escasez de financiamiento y las prioridades en competencia. Butera de CISA dijo que la agencia desarrolló el nuevo conjunto de criterios de evaluación y la directiva en general teniendo en cuenta estas limitaciones. Señaló, por ejem