La Comisión Federal de Comunicaciones votará en noviembre para revocar un defecto que exige a los proveedores de telecomunicaciones proteger sus redes, a petición de los mayores grupos de presión que representan a los proveedores de Internet.

Brendan Carr, presidente de la FCC dicho el defecto, recogido en enero acoplado antaño de que los republicanos obtuvieran el control mayoritario de la comisión, “excedió la autoridad de la agencia y no presentó una respuesta eficaz o ágil a las amenazas de ciberseguridad relevantes”. Carr dijo que la votación programada para el 20 de noviembre se produce luego de un “amplio compromiso de la FCC con los operadores” que han tomado “medidas sustanciales… para proteger sus defensas de ciberseguridad”.

Enero de 2025 de la FCC defecto declarativo se produjo en respuesta a los ataques de China, incluida la infiltración del tifón de sal en los principales proveedores de telecomunicaciones como Verizon y AT&T. La FCC de la era Biden concluyó que la Ley de Concurso en Comunicaciones para el Cumplimiento de la Ley (CALEA), una ley de 1994, “requiere afirmativamente que los operadores de telecomunicaciones aseguren sus redes contra el camino ilegal o la interceptación de las comunicaciones”.

“La Comisión ha determinado anteriormente que la sección 105 de CALEA crea una obligación afirmativa para que un cámara de telecomunicaciones evite el peligro de que los proveedores de equipos que no son de confianza ‘activen ilegalmente interceptaciones u otras formas de vigilancia en el interior de las instalaciones de conmutación del cámara sin su conocimiento'”, decía la orden de enero. “Con esta Resolución Declaratoria, aclaramos que los deberes de los operadores de telecomunicaciones según la sección 105 de CALEA se extienden no sólo al equipo que eligen utilizar en sus redes, sino asimismo a cómo administran sus redes”.

Los ISP obtienen lo que quieren

El defecto declarativo iba acompañado de un aviso de reglamentación propuesta que habría transmitido zona a reglas más estrictas que requerían pasos específicos para proteger las redes contra la interceptación no autorizada. Carr votó en contra de la audacia en ese momento.

Aunque el defecto declarativo aún no tenía reglas específicas que lo acompañaran, la FCC en ese momento dijo que tenía algunos dientes. “Incluso en abandono de reglas adoptadas por la Comisión, como las propuestas a continuación, creemos que sería poco probable que los operadores de telecomunicaciones cumplan con sus obligaciones legales bajo la sección 105 sin adoptar ciertas prácticas básicas de ciberseguridad para sus sistemas y servicios de comunicaciones”, decía la orden de enero. “Por ejemplo, las prácticas básicas de higiene de la ciberseguridad, como la implementación de controles de camino basados ​​en roles, el cambio de contraseñas predeterminadas, la exigencia de una seguridad mínima de la contraseña y la prohijamiento de autenticación multifactor son necesarias para cualquier sistema informático sensible. Por otra parte, no parchear las vulnerabilidades conocidas o gastar las mejores prácticas que se sabe que son necesarias en respuesta a los exploits identificados parecería no cumplir con esta obligación admitido”.