¡Sorprendente! Donald Trump aprueba una Orden Ejecutiva justo el último día de su mandato: “Medidas adicionales para abordar la emergencia nacional con respecto a actividades maliciosas habilitadas por medios cibernéticos”

Como ya sabrán estamos viviendo unos tiempos en los que nada de lo que pasa es normal y lo que está sucediendo en Estados Unidos tampoco. Hoy, en teoría, va a asumir el poder un tipo como Joe Biden después de haberse celebrado unas elecciones en las que el fraude electoral ha sido más que descarado y en las que, sorprendentemente, Biden se habría convertido en el presidente más votado de la historia de los Estados Unidos. ¿Se lo creen? Nosotros tampoco.

Pero lo que más nos llama la atención es que Donald Trump sigue gobernando como si fuera a seguir en el cargo cuando, en teoría, hoy es su último día. Una prueba más de todo lo que estamos diciendo es la Orden ejecutiva que aprobó ayer mismo: “Orden ejecutiva sobre la adopción de medidas adicionales para abordar la emergencia nacional con respecto a actividades maliciosas habilitadas por medios cibernéticos”. Curiosa orden después de todo lo que ha pasado, ¿verdad? Este es el texto completo de esa orden:

“Por la autoridad que me confieren como presidente la Constitución y las leyes de los Estados Unidos de América, incluida la Ley de poderes económicos de emergencia internacional (50 USC 1701 et seq. ) (IEEPA), la Ley de emergencias nacionales (50 USC 1601 et seq . ) (NEA), y la sección 301 del título 3, Código de los Estados Unidos:

Yo, DONALD J. TRUMP, Presidente de los Estados Unidos de América, considero que se deben tomar medidas adicionales para hacer frente a la emergencia nacional relacionada con actividades cibernéticas maliciosas significativas declaradas en la Orden Ejecutiva 13694 del 1 de abril de 2015 (Bloqueo de la propiedad de determinadas personas que participan en actividades cibernéticas maliciosas significativas), según enmendada, para abordar el uso de productos de infraestructura como servicio (IaaS) de los Estados Unidos por parte de ciberatactores maliciosos extranjeros. Los productos IaaS brindan a las personas la capacidad de ejecutar software y almacenar datos en servidores ofrecidos para alquiler o arrendamiento sin responsabilidad por el mantenimiento y los costos operativos de esos servidores. Los ciber actores extranjeros maliciosos tienen como objetivo dañar la economía de los Estados Unidos mediante el robo de propiedad intelectual y datos confidenciales y amenazar la seguridad nacional al apuntar a la infraestructura crítica de los Estados Unidos para actividades maliciosas habilitadas por cibernéticos. Los actores extranjeros utilizan los productos IaaS de los Estados Unidos para una variedad de tareas en la realización de actividades maliciosas habilitadas para cibernética, lo que hace que sea extremadamente difícil para los funcionarios de los Estados Unidos rastrear y obtener información a través de un proceso legal antes de que estos actores extranjeros hagan la transición a la infraestructura de reemplazo y destruyan la evidencia de sus actividades anteriores; Los revendedores extranjeros de productos IaaS de los Estados Unidos facilitan que los actores extranjeros accedan a estos productos y eviten la detección. Esta orden otorga autoridad para imponer obligaciones de mantenimiento de registros con respecto a transacciones extranjeras. Para abordar estas amenazas, disuadir el uso de productos IaaS de los Estados Unidos por parte de ciberatactores maliciosos extranjeros y ayudar en la investigación de transacciones que involucren a ciberatactores maliciosos extranjeros, los Estados Unidos deben asegurarse de que los proveedores que ofrecen productos de IaaS estadounidenses verifiquen la identidad de las personas. obtener una cuenta IaaS (“Cuenta”) para el suministro de estos productos y mantener registros de esas transacciones. En circunstancias apropiadas, para protegerse aún más contra actividades cibernéticas maliciosas, Estados Unidos también debe limitar el acceso de ciertos actores extranjeros a los productos IaaS estadounidenses. Además, Estados Unidos debe fomentar una cooperación más sólida entre los proveedores de IaaS de los Estados Unidos, incluso aumentando el intercambio voluntario de información, para reforzar los esfuerzos para frustrar las acciones de los ciber actores extranjeros maliciosos.

En consecuencia, por la presente ordeno:

Sección 1. Verificación de identidad. Dentro de los 180 días posteriores a la fecha de esta orden, el Secretario de Comercio (Secretario) propondrá para notificación y comentarios las regulaciones que requieren que los proveedores de IaaS de los Estados Unidos verifiquen la identidad de una persona extranjera que obtenga una Cuenta. Estos reglamentos deberán, como mínimo:

(a) establece los estándares mínimos que los proveedores de IaaS de los Estados Unidos deben adoptar para verificar la identidad de una persona extranjera en relación con la apertura de una Cuenta o el mantenimiento de una Cuenta existente, incluyendo:

(i) los tipos de documentación y procedimientos necesarios para verificar la identidad de cualquier persona extranjera que actúe como arrendatario o subarrendatario de estos productos o servicios;

(ii) registros que los proveedores de IaaS de los Estados Unidos deben mantener de forma segura con respecto a una persona extranjera que obtiene una Cuenta, incluida la información que establece:

(A) la identidad de dicha persona extranjera y la información de la persona, incluido el nombre, el número de identificación nacional y la dirección;

(B) medio y fuente de pago (incluida cualquier institución financiera asociada y otros identificadores como número de tarjeta de crédito, número de cuenta, identificador de cliente, identificadores de transacción o billetera de moneda virtual o identificador de dirección de billetera);

(C) dirección de correo electrónico e información de contacto telefónico, utilizada para verificar la identidad de una persona extranjera; y

(D) Direcciones de Protocolo de Internet utilizadas para el acceso o la administración y la fecha y hora de cada acceso o acción administrativa, relacionada con la verificación continua de la propiedad de dicha Cuenta por parte de una persona extranjera; y

(iii) métodos para limitar todo acceso de terceros a la información descrita en esta subsección, excepto en la medida en que dicho acceso sea consistente con esta orden y esté permitido por la ley aplicable;

(b) tomar en consideración el tipo de Cuenta mantenida por los proveedores de IaaS de los Estados Unidos, los métodos para abrir una Cuenta y los tipos de información de identificación disponibles para lograr los objetivos de identificar a los ciber actores extranjeros maliciosos que utilizan dichos productos y evitar la imposición de un carga sobre dichos proveedores; y

(c) permitir al Secretario, de acuerdo con las normas y procedimientos que el Secretario pueda delinear y en consulta con el Secretario de Defensa, el Fiscal General, el Secretario de Seguridad Nacional y el Director de Inteligencia Nacional, eximir a cualquier Proveedor de IaaS, o cualquier tipo específico de Cuenta o arrendatario, de los requisitos de cualquier reglamento emitido de conformidad con esta sección. Dichos estándares y procedimientos pueden incluir un hallazgo por parte del Secretario de que un proveedor, Cuenta o arrendatario cumple con las mejores prácticas de seguridad para disuadir el abuso de los productos IaaS.

Segundo. 2. Medidas especiales para determinadas jurisdicciones extranjeras o personas extranjeras . (a) Dentro de los 180 días siguientes a la fecha de esta orden, el Secretario propondrá para notificación y comentarios reglamentos que requieran que los proveedores de IaaS de los Estados Unidos tomen cualquiera de las medidas especiales descritas en el inciso (d) de esta sección si el Secretario, en consulta con el Secretario de Estado, el Secretario de Hacienda, el Secretario de Defensa, el Fiscal General, el Secretario de Seguridad Nacional, el Director de Inteligencia Nacional y, cuando el Secretario lo considere apropiado, los jefes de otros departamentos y agencias ejecutivas (agencias ), encuentra:

(i) que existen motivos razonables para concluir que una jurisdicción extranjera tiene un número significativo de personas extranjeras que ofrecen productos IaaS de los Estados Unidos que se utilizan para actividades maliciosas habilitadas por el sistema cibernético o un número significativo de personas extranjeras que obtienen directamente productos IaaS de los Estados Unidos para su uso en actividades cibernéticas maliciosas, de acuerdo con la subsección (b) de esta sección; o

(ii) que existen motivos razonables para concluir que una persona extranjera ha establecido un patrón de conducta de ofrecer productos IaaS estadounidenses que se utilizan para actividades cibernéticas maliciosas u obtener directamente productos IaaS estadounidenses para su uso en actividades cibernéticas maliciosas.

(b) Al hacer hallazgos bajo la subsección (a) de esta sección sobre el uso de productos IaaS de los Estados Unidos en actividades maliciosas habilitadas por el sistema cibernético, el Secretario considerará cualquier información que el Secretario considere relevante, así como la información relacionada con lo siguiente factores:

(i) Factores relacionados con una jurisdicción extranjera en particular, que incluyen:

(A) evidencia de que los actores cibernéticos maliciosos extranjeros han obtenido productos IaaS de los Estados Unidos de personas que ofrecen productos IaaS de los Estados Unidos en esa jurisdicción extranjera, incluido si dichos actores obtuvieron dichos productos IaaS a través de Cuentas de revendedor;

(B) la medida en que esa jurisdicción extranjera es una fuente de actividades cibernéticas maliciosas; y

(C) Si los Estados Unidos tienen un tratado de asistencia legal mutua con esa jurisdicción extranjera, y la experiencia de los funcionarios encargados de hacer cumplir la ley y los funcionarios reguladores de los Estados Unidos en la obtención de información sobre las actividades que involucran productos IaaS de los Estados Unidos que se originan o se envían a través de dicha jurisdicción extranjera; y

(ii) Factores relacionados con una persona extranjera en particular, incluidos:

(A) la medida en que una persona extranjera utiliza los productos IaaS de los Estados Unidos para realizar, facilitar o promover actividades maliciosas habilitadas por Internet;

(B) la medida en que los productos IaaS de los Estados Unidos ofrecidos por una persona extranjera se utilizan para facilitar o promover actividades maliciosas habilitadas para cibernética;

(C) la medida en que los productos IaaS de los Estados Unidos ofrecidos por una persona extranjera se utilizan para fines comerciales legítimos en la jurisdicción; y

(D) la medida en que las acciones que no sean la imposición de medidas especiales de conformidad con la subsección (d) de esta sección son suficientes, con respecto a las transacciones que involucran a la persona extranjera que ofrece productos IaaS de los Estados Unidos, para protegerse contra actividades maliciosas habilitadas por el sistema cibernético.

(c) Al seleccionar qué medida o medidas especiales tomar conforme a esta sección, el Secretario considerará:

(i) si la imposición de alguna medida especial crearía una desventaja competitiva significativa, incluido cualquier costo o carga indebidos asociados con el cumplimiento, para los proveedores de IaaS de los Estados Unidos;

(ii) la medida en que la imposición de cualquier medida especial o el momento de la medida especial tendría un efecto adverso significativo sobre las actividades comerciales legítimas que involucren a la jurisdicción extranjera en particular oa la persona extranjera; y

(iii) el efecto de cualquier medida especial sobre la seguridad nacional, las investigaciones policiales o la política exterior de los Estados Unidos.

(d) Las medidas especiales a que se refieren los incisos (a), (b) y

(c) de esta sección son los siguientes:

(i) Prohibiciones o condiciones en cuentas dentro de ciertas jurisdicciones extranjeras: El Secretario puede prohibir o imponer condiciones sobre la apertura o mantenimiento con cualquier proveedor de IaaS de Estados Unidos de una Cuenta, incluida una Cuenta de revendedor, por cualquier persona extranjera ubicada en una jurisdicción extranjera que se encuentre tener un número significativo de personas extranjeras que ofrezcan productos IaaS de los Estados Unidos utilizados para actividades maliciosas habilitadas para cibernética, o por cualquier proveedor de IaaS de los Estados Unidos para o en nombre de una persona extranjera; y

(ii) Prohibiciones o condiciones para ciertas personas extranjeras: el Secretario puede prohibir o imponer condiciones sobre la apertura o mantenimiento en los Estados Unidos de una Cuenta, incluida una Cuenta de revendedor, por cualquier proveedor de IaaS de los Estados Unidos para o en nombre de una persona extranjera. , si dicha Cuenta involucra a cualquier persona extranjera que ofrezca productos IaaS de los Estados Unidos utilizados en actividades cibernéticas maliciosas o que obtenga directamente productos IaaS de los Estados Unidos para su uso en actividades cibernéticas maliciosas.

(e) El Secretario no impondrá requisitos para que los proveedores de IaaS de los Estados Unidos tomen cualquiera de las medidas especiales descritas en la subsección (d) de esta sección antes de los 180 días posteriores a la emisión de los reglamentos finales descritos en la sección 1 de esta orden.

Segundo. 3. Recomendaciones para esfuerzos cooperativos para disuadir el abuso de productos IaaS de Estados Unidos . (a) Dentro de los 120 días siguientes a la fecha de esta orden, el Fiscal General y el Secretario de Seguridad Nacional, en coordinación con el Secretario y, según lo consideren apropiado el Fiscal General y el Secretario de Seguridad Nacional, los jefes de otras agencias, deberán Involucrar y solicitar comentarios de la industria sobre cómo aumentar el intercambio de información y la colaboración entre los proveedores de IaaS y entre los proveedores de IaaS y las agencias para informar las recomendaciones bajo la subsección (b) de esta sección.

(b) Dentro de los 240 días siguientes a la fecha de esta orden, el Procurador General y el Secretario de Seguridad Nacional, en coordinación con el Secretario y, según lo consideren apropiado el Procurador General y el Secretario de Seguridad Nacional, los jefes de otras agencias, deberán elaborar y presentar al presidente un informe que contenga recomendaciones para fomentar:

(i) intercambio voluntario de información y colaboración entre proveedores de IaaS de Estados Unidos; y

(ii) el intercambio de información entre los proveedores de IaaS de los Estados Unidos y las agencias apropiadas, incluida la notificación de incidentes, delitos y otras amenazas a la seguridad nacional, con el fin de prevenir un daño mayor a los Estados Unidos.

(c) El informe y las recomendaciones provistas bajo la subsección (b) de esta sección considerarán los mecanismos existentes para tal intercambio y colaboración, incluyendo la Ley de Intercambio de Información sobre Ciberseguridad (6 USC 1503 et seq. ), e identificará cualquier brecha en la ley actual, política o procedimientos. El informe también incluirá:

(i) información relacionada con las operaciones de actores cibernéticos maliciosos extranjeros, los medios por los cuales dichos actores usan productos IaaS dentro de los Estados Unidos, capacidades maliciosas y técnicas comerciales, y la medida en que las personas en los Estados Unidos están comprometidas o involuntariamente involucradas en tal actividad;

(ii) recomendaciones para protecciones de responsabilidad más allá de las de la ley existente que puedan ser necesarias para alentar a los proveedores de IaaS de Estados Unidos a compartir información entre ellos y con el gobierno de Estados Unidos; y

(iii) recomendaciones para facilitar la detección e identificación de Cuentas y actividades que involucren ciberatactores maliciosos extranjeros.

Segundo. 4. Asegurar recursos suficientes para la implementación . El Secretario, en consulta con los jefes de las agencias que el Secretario considere apropiado, identificará los requisitos de financiamiento para apoyar los esfuerzos descritos en esta orden e incorporará dichos requisitos en sus presentaciones presupuestarias anuales a la Oficina de Gerencia y Presupuesto.

Segundo. 5. Definiciones . A los efectos de esta orden, se aplican las siguientes definiciones:

(a) El término “entidad” significa una sociedad, asociación, fideicomiso, empresa conjunta, corporación, grupo, subgrupo u otra organización;

(b) El término “jurisdicción extranjera” significa cualquier país, territorio subnacional o región, distintos de los sujetos a la jurisdicción civil o militar de los Estados Unidos, en el que cualquier persona o grupo de personas ejerce autoridad soberana de facto o de jure. , incluyendo cualquier país, territorio subnacional o región en el que una persona o grupo de personas asuma ejercer autoridad gubernamental, ya sea que dicha persona o grupo de personas haya sido o no reconocido por los Estados Unidos;

(c) El término “persona extranjera” significa una persona que no es una persona de los Estados Unidos;

(d) El término “Infraestructura como cuenta de servicio” o “Cuenta” significa una relación comercial formal establecida para proporcionar productos IaaS a una persona en la que se registran los detalles de dichas transacciones.

(e) El término “Infraestructura como producto de servicio” significa cualquier producto o servicio ofrecido a un consumidor, incluidas las ofertas de cortesía o de “prueba”, que proporcionan procesamiento, almacenamiento, redes u otros recursos informáticos fundamentales, y con los que el consumidor está capaz de implementar y ejecutar software que no está predefinido, incluidos los sistemas operativos y las aplicaciones. El consumidor generalmente no administra ni controla la mayor parte del hardware subyacente, pero tiene control sobre los sistemas operativos, el almacenamiento y cualquier aplicación implementada. El término incluye productos o servicios “administrados”, en los que el proveedor es responsable de algunos aspectos de la configuración o el mantenimiento del sistema, y ​​productos o servicios “no administrados”, en los que el proveedor solo es responsable de garantizar que el producto esté disponible para el consumidor.

(f) El término “actividades cibernéticas maliciosas” se refiere a actividades, distintas de las autorizadas por o de conformidad con la ley de los Estados Unidos, que buscan comprometer o menoscabar la confidencialidad, integridad o disponibilidad de sistemas informáticos, de información o de comunicaciones. redes, infraestructura física o virtual controlada por computadoras o sistemas de información, o información residente en ellos;

(g) El término “persona” significa un individuo o entidad;

(h) El término “Cuenta de revendedor” significa una Cuenta de infraestructura como servicio establecida para proporcionar productos IaaS a una persona que luego ofrecerá esos productos posteriormente, en su totalidad o en parte, a un tercero.

(i) El término “Infraestructura como Producto de Servicio de los Estados Unidos” significa cualquier Producto de Infraestructura como Servicio que sea propiedad de cualquier persona de los Estados Unidos u operado dentro del territorio de los Estados Unidos de América;

(j) El término “Infraestructura de los Estados Unidos como proveedor de servicios” significa cualquier Persona de los Estados Unidos que ofrece cualquier Producto de infraestructura como servicio;

(k) El término “persona de los Estados Unidos” significa cualquier ciudadano de los Estados Unidos, residente permanente legal de los Estados Unidos según lo define la Ley de Inmigración y Nacionalidad, entidad organizada bajo las leyes de los Estados Unidos o cualquier jurisdicción dentro de los Estados Unidos (incluyendo sucursales extranjeras), o cualquier persona ubicada en los Estados Unidos;

Segundo. 6. Modificación de las autorizaciones de informes . La sección (9) de la Orden Ejecutiva 13694, según enmendada, se enmienda adicionalmente para que lea como sigue:

“ Sec. 9 . Se autoriza al Secretario de Hacienda, en consulta con el Secretario de Estado, el Procurador General y el Secretario de Comercio a presentar al Congreso los informes recurrentes y finales sobre la emergencia nacional declarada en esta orden, de conformidad con el artículo 401. (c) de la NEA (50 USC 1641 (c)) y la sección 204 (c) de IEEPA (50 USC 1703 (c)) “.

Segundo. 7. Disposiciones generales . (a) El Secretario, en consulta con los jefes de otras agencias que el Secretario considere apropiado, está autorizado a tomar tales acciones, incluyendo la promulgación de reglas y regulaciones, y emplear todos los poderes otorgados al Presidente por IEEPA según sea necesario. necesario para llevar a cabo los propósitos de este pedido. El Secretario puede volver a delegar cualquiera de estas funciones a otros funcionarios dentro del Departamento de Comercio, de conformidad con la ley aplicable. Se ordena a todos los departamentos y agencias del Gobierno de los Estados Unidos que tomen todas las medidas apropiadas dentro de su autoridad para llevar a cabo las disposiciones de esta orden.

(b) Nada en esta orden se interpretará en el sentido de menoscabar o afectar:

(i) la autoridad otorgada por ley a un departamento o agencia ejecutiva, o al jefe de la misma; o

(ii) las funciones del Director de la Oficina de Gerencia y Presupuesto relacionadas con propuestas presupuestarias, administrativas o legislativas.

(c) Esta orden se implementará de acuerdo con la ley aplicable y sujeta a la disponibilidad de asignaciones.

(d) Nada en esta orden prohíbe o restringe de otro modo la inteligencia autorizada, el ejército, la aplicación de la ley u otras actividades que promuevan la seguridad nacional o las actividades de seguridad pública.

(e) Esta orden no tiene la intención de crear, ni crea, ningún derecho o beneficio, sustantivo o procesal, exigible por ley o en equidad por cualquier parte contra los Estados Unidos, sus departamentos, agencias o entidades, sus funcionarios, empleados. , agentes o cualquier otra persona.

Tomado De ELDIESTRO

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.