La Comisión Federal de Comunicaciones (FCC) votará en noviembre para revocar una regla que exige a los proveedores de telecomunicaciones asegurar sus redes. Esta acción responde a una solicitud de los principales grupos de presión que representan a los proveedores de Internet.
El presidente de la FCC, Brendan Carr, declaró que la regla, adoptada en enero justo antes de que los republicanos obtuvieran el control mayoritario de la comisión, “excedió la autoridad de la agencia y no presentó una respuesta efectiva o ágil a las amenazas de ciberseguridad relevantes”. Carr añadió que la votación, programada para el 20 de noviembre, se produce tras una “amplia colaboración de la FCC con los operadores” que han tomado “medidas sustanciales… para fortalecer sus defensas de ciberseguridad”.
La resolución declaratoria de la FCC de enero de 2025 se produjo en respuesta a ataques atribuidos a China, incluida la infiltración de Salt Typhoon en importantes proveedores de telecomunicaciones como Verizon y AT&T. La FCC, bajo la administración Biden, determinó que la Ley de Asistencia para las Comunicaciones para la Aplicación de la Ley (CALEA), una ley de 1994, “requiere afirmativamente que los operadores de telecomunicaciones aseguren sus redes contra el acceso ilegal o la interceptación de comunicaciones”.
“La Comisión ha determinado previamente que la sección 105 de CALEA crea una obligación afirmativa para que un operador de telecomunicaciones evite el riesgo de que los proveedores de equipos no confiables ‘activen ilegalmente interceptaciones u otras formas de vigilancia dentro de las instalaciones de conmutación del operador sin su conocimiento’”, decía la orden de enero. “Con esta Resolución Declaratoria, aclaramos que los deberes de los operadores de telecomunicaciones según la sección 105 de CALEA se extienden no solo al equipo que eligen usar en sus redes, sino también a cómo administran sus redes”.
Petición de los Proveedores de Internet
La resolución declaratoria se combinó con un Aviso de Propuesta de Reglamentación que habría conducido a reglas más estrictas que requerirían medidas específicas para asegurar las redes contra la interceptación no autorizada. Carr votó en contra de la decisión en ese momento.
Aunque la resolución declaratoria aún no tenía reglas específicas que la acompañaran, la FCC en ese momento dijo que tenía cierta fuerza. “Incluso en ausencia de reglas adoptadas por la Comisión, como las propuestas a continuación, creemos que es poco probable que los operadores de telecomunicaciones cumplan con sus obligaciones legales según la sección 105 sin adoptar ciertas prácticas básicas de ciberseguridad para sus sistemas y servicios de comunicaciones”, decía la orden de enero. “Por ejemplo, las prácticas básicas de higiene de ciberseguridad, como la implementación de controles de acceso basados en roles, el cambio de contraseñas predeterminadas, el requisito de una fortaleza mínima de las contraseñas y la adopción de la autenticación multifactor, son necesarias para cualquier sistema informático sensible. Además, no parchear las vulnerabilidades conocidas o emplear las mejores prácticas que se sabe que son necesarias en respuesta a las vulnerabilidades identificadas parecería no cumplir con esta obligación legal”.
Los operadores de cable, fibra y móviles protestaron por la decisión. Una petición solicitando a la FCC que la revocara fue presentada en febrero por CTIA-The Wireless Association, NCTA-The Internet & Television Association y USTelecom-The Broadband Association. Los grupos de presión de las telecomunicaciones argumentaron que CALEA “obliga a los proveedores solo a facilitar las interceptaciones legales de las fuerzas del orden” y que “la FCC carece de autoridad para promulgar normas técnicas bajo la Sección 105”.
En un borrador de la orden que se votará en noviembre, la FCC dijo que “rescindirá la resolución declaratoria por ser ilegal e innecesaria, al encontrar que la interpretación de CALEA por parte de la comisión fue legalmente errónea e ineficaz para promover la ciberseguridad”. La orden también retirará el Aviso de Propuesta de Reglamentación, diciendo que la FCC intentará implementar “un enfoque específico para promover producciones de ciberseguridad efectivas en lugar de un enfoque único de una sola reglamentación para regir a todos los licenciatarios de la Comisión”.
Compromisos Voluntarios
El liderazgo de la FCC parece estar satisfecho de que las promesas de los operadores hagan innecesarias nuevas reglas. El borrador de la orden dijo que “los proveedores han acordado implementar controles de ciberseguridad adicionales para fortalecer sus redes. Estos controles han incluido el parcheo acelerado de equipos obsoletos o vulnerables, la actualización y revisión de los controles de acceso, la desactivación de conexiones salientes innecesarias y la mejora de sus esfuerzos de búsqueda de amenazas. Los proveedores también se han comprometido a aumentar el intercambio de información sobre ciberseguridad, tanto con el gobierno federal como dentro del sector de las comunicaciones. Esto representa un cambio significativo en las prácticas de ciberseguridad en comparación con las medidas vigentes en enero”.
La orden argumenta que la lectura de CALEA por parte del anterior liderazgo de la FCC “era ilegal porque la FCC pretendía leer un estatuto que requería que los operadores de telecomunicaciones permitieran escuchas telefónicas legales dentro de una cierta porción de su red como una disposición que requería que los operadores adoptaran prácticas específicas de administración de la red en cada porción de su red”.
La ley dice que cada “operador de telecomunicaciones se asegurará de que cualquier interceptación de comunicaciones o acceso a información de identificación de llamadas efectuada dentro de sus instalaciones de conmutación pueda activarse solo de acuerdo con una orden judicial u otra autorización legal y con la intervención afirmativa de un funcionario o empleado individual del operador que actúe de acuerdo con las regulaciones prescritas por la Comisión”.
Defensa de la Regla Anterior
Antes de que Trump asumiera el cargo, la FCC argumentó que el texto claro de la ley respaldaba la resolución declaratoria.
“Al ordenar
Fuente original: ver aquí