El memorando de formación en ciberseguridad del Departamento de Guerra de Estados Unidos ha reorientado la formación obligatoria hacia tareas críticas para la misión, lo que ha provocado un debate inmediato en los círculos de defensa. La directiva reduce la frecuencia general de la formación, busca la automatización de la gestión de la información y reduce los cursos de actualización sobre información no clasificada controlada, al tiempo que hace hincapié en que el personal debe dar prioridad a las tareas básicas de combate.
Planteado en medio de un aumento de los ataques digitales contra infraestructuras y redes militares, el cambio de política llega cuando el Departamento de Defensa se enfrenta a presiones contrapuestas: preparación para operaciones cinéticas, exigencias de cumplimiento de los contratistas y adopción acelerada de herramientas defensivas basadas en IA. Las siguientes secciones examinan los detalles operativos, los efectos a nivel de unidad, el riesgo de contratistas y proveedores, las implicaciones de la automatización y la IA, y una valoración práctica de lo que este cambio significa para las partes interesadas en la seguridad nacional.
El Departamento de Guerra de EE.UU. reduce la formación en ciberseguridad: detalles del memorándum y justificación declarada
El memorando sobre formación en ciberseguridad del Departamento de Guerra de Estados Unidos, distribuido desde la Oficina del Secretario, argumenta que los cursos obligatorios no relacionados con la lucha bélica distraen de la preparación primaria para el combate. El memorando ordena al Departamento de Defensa que consolide, reduzca o elimine la formación que no esté directamente relacionada con la lucha bélica, e insta a automatizar los sistemas de gestión de la información para reducir las necesidades de formación. La política también recomienda reducir la frecuencia de los cursos de actualización sobre Información No Clasificada Controlada (CUI) y eliminar la formación sobre la Ley de Privacidad de los requisitos militares comunes.
Los oficiales enmarcaron los cambios como una medida de eficiencia: cuando el personal está ocupado con cursos repetitivos no alineados con la misión, el tiempo para el entrenamiento de combate y el ensayo de la misión disminuye. El memorando utiliza repetidamente la expresión "Departamento de Guerra de los Estados Unidos" para anclar la iniciativa y aclarar la intención de la cadena de mando. Este lenguaje indica una redefinición de prioridades de arriba abajo, que algunos consideran pragmática y otros arriesgada.
- Directrices clave de la nota: consolidar los cursos obligatorios, reducir los cursos de actualización de CUI, automatizar los sistemas de registro.
- Objetivo declarado: permitir que los combatientes se centren en luchar y ganar las guerras de la nación.
- Énfasis operativo: vincular el aprendizaje obligatorio directamente a la capacidad de combate.
| Directiva | Efecto previsto | Riesgo potencial |
|---|---|---|
| Reducir la frecuencia de la formación CUI | Liberar tiempo para la formación táctica | Aumento de los errores de tratamiento de datos sensibles pero no clasificados |
| Automatizar la gestión de la información | Menor carga de formación manual | Dependencia de herramientas automatizadas y seguridad del proveedor |
| Eliminar la Ley de Privacidad del currículo común | Simplificar los requisitos | Responsabilidad por mala gestión de datos personales |
El contexto es importante: el memorando de formación sobre ciberseguridad del Departamento de Guerra de EE.UU. se publica tras un periodo en el que el Departamento aplicó normas de ciberseguridad más estrictas para los contratistas, exigiendo un cumplimiento escalonado en función de la sensibilidad de los datos. El objetivo de esta medida era aumentar la seguridad básica de los proveedores, aunque la formación interna fuera menos frecuente. Por ejemplo, los contratistas que manejan datos sensibles de defensa ahora deben cumplir umbrales de conformidad alineados con las directrices del Departamento de Defensa, lo que mantiene robusta la seguridad de las adquisiciones incluso cuando la instrucción en el servicio cambia.
La industria y los organismos de supervisión reaccionaron al instante. Organizaciones como el Mando Cibernético de Estados Unidos y la Agencia de Seguridad Nacional tendrán que conciliar las prioridades defensivas con una cadencia de formación reducida. DARPA y sus socios de investigación podrían acelerar el desarrollo de herramientas de automatización e inteligencia artificial para colmar las lagunas, mientras que los principales proveedores de defensa -como Raytheon Technologies, Lockheed Martin, Northrop Grumman, Booz Allen Hamilton y Palantir Technologies- probablemente recibirán una mayor demanda de soluciones reforzadas y de bajo mantenimiento. La directiva inyecta un enfoque operativo, pero el equilibrio entre riesgo y mitigación depende de la rápida integración de los controles técnicos.
Perspectiva: El memo de formación en ciberseguridad del Departamento de Guerra de EE.UU. cambia los refrescos centrados en el ser humano por la automatización y la formación específica para misiones; el éxito de este cambio depende de la existencia de herramientas seguras y bien diseñadas en los ecosistemas del Departamento de Defensa y de los contratistas.
El Departamento de Guerra de EE.UU. reduce la formación en ciberseguridad: repercusiones operativas para las unidades y la preparación del Ejército de EE.UU.
Cuando el Departamento de Guerra de EE.UU. reduce la formación en ciberseguridad, los efectos se filtran rápidamente a las unidades del Ejército de EE.UU., donde la formación militar común rutinaria a menudo mezcla el cumplimiento administrativo con la práctica de la seguridad operativa. Los líderes operativos deben ahora rediseñar los ciclos de preparación para dar cabida a menos actualizaciones cibernéticas obligatorias, preservando al mismo tiempo la higiene cibernética básica en las unidades de campo. Este cambio altera los calendarios de formación, la carga de trabajo de los instructores y la postura de ciberseguridad de las unidades.
A nivel de pelotón y compañía, los jefes de formación deben decidir qué conservar. Las unidades con sistemas integrados en red, como comunicaciones, ISR (inteligencia, vigilancia, reconocimiento) y automatización logística, son especialmente vulnerables si aumenta el error humano. Los incidentes históricos ilustran el peligro: en la década de 2020 se produjeron intrusiones persistentes en la cadena de suministro y campañas de ingeniería social que aprovechaban los fallos de concienciación del personal. Reducir la formación obligatoria sin medidas operativas compensatorias magnificaría tales amenazas.
- Las prioridades de las unidades deben cambiar: ensayo de misiones, entrenamiento con fuego real y ejercicios cibercinéticos integrados.
- Lista de retenciones mínimas: reconocimiento de la suplantación de identidad, nociones básicas de manejo de CUI y protocolos de notificación inmediata de incidentes.
- Mitigación sugerida: módulos de microaprendizaje, cursos de actualización a la carta y mentores cibernéticos integrados en las brigadas.
| Nivel de unidad | Formación reducida | Mitigación operativa |
|---|---|---|
| Compañía | Actualizaciones rutinarias de la CUI | Implantar el microaprendizaje y las listas de control digitales |
| Batallón | Módulos de la Ley de Protección de la Intimidad | Designar un responsable de privacidad y aplicar controles automatizados |
| Brigada | Formación anual general sobre ciberseguridad | Simulacros cibernéticos integrados sobre el terreno con enlaces del Mando Cibernético de EE.UU. |
A continuación se ofrecen ejemplos de adaptación práctica. Una brigada acorazada que albergue un nodo de mando avanzado puede incluir breves ejercicios cibernéticos basados en escenarios en las comprobaciones diarias previas a la misión. Esto preserva la preparación cognitiva a la vez que respeta el objetivo del memorando de reducir el tiempo de clase. Otro enfoque consiste en rotar los puestos de cibermentor: un suboficial con cualificaciones cibernéticas mejoradas por compañía que lleve a cabo refrescos específicos alineados con los vectores de amenazas actuales documentados por los informes de inteligencia del Mando Cibernético de EEUU.
También hay implicaciones logísticas y de adquisición. El cambio puede acelerar las inversiones en gestión segura de puntos finales y herramientas automatizadas de aplicación de políticas, procedentes de socios industriales como Raytheon Technologies y Lockheed Martin. Estos proveedores ya suministran plataformas reforzadas al ejército estadounidense y podrían ampliar sus ofertas para reducir los puntos de contacto humano. Mientras tanto, las organizaciones cibernéticas de los servicios deben mantener una estrecha coordinación con la Agencia de Seguridad Nacional para las medidas de protección de alto valor y el intercambio de inteligencia.
Para reducir las lagunas de formación, la siguiente lista esboza intervenciones de baja fricción:
- Implemente notificaciones push semanales de microaprendizaje de 5-10 minutos.
- Automatice el etiquetado CUI y los controles de acceso en todos los sistemas de información.
- Exigir comprobaciones de preparación cibernética previas al despliegue integradas en la preparación de la misión.
- Coordinar con el Mando Cibernético de EE.UU. las sesiones informativas sobre amenazas adaptadas a cada unidad.
- Recurrir a contratistas expertos en la materia para talleres de unidades específicas.
Perspectiva: El Departamento de Guerra de EE.UU. reduce la formación en ciberseguridad desplazará la carga de la ciberhigiene básica de las horas lectivas a las prácticas integradas y centradas en la misión; las unidades que no pongan en práctica estos comportamientos se enfrentarán a un aumento cuantificable de la vulnerabilidad.
El Departamento de Guerra de EE.UU. reduce la formación en ciberseguridad: ecosistema de contratistas, adquisiciones y riesgo de terceros
A medida que el Departamento de Guerra de EE.UU. reduce la formación en ciberseguridad dentro de las filas uniformadas, los ecosistemas de los contratistas heredan un escrutinio amplificado. Recientemente, el Departamento de Defensa ha establecido niveles de cumplimiento en materia de ciberseguridad para los contratistas, en virtud de los cuales las empresas que optan a contratos sensibles deben cumplir unos criterios de seguridad específicos. Al mismo tiempo, las nuevas directrices de formación reducen las actualizaciones internas, dando lugar a una postura híbrida en la que los proveedores asumen una mayor responsabilidad por la seguridad de los productos y servicios.
Los grandes integradores de sistemas y contratistas de defensa como Raytheon Technologies, Lockheed Martin, Northrop Grumman, Booz Allen Hamilton y Palantir Technologies son fundamentales para esta nueva postura. Se espera que estas empresas ofrezcan soluciones reforzadas y fáciles de usar que reduzcan las necesidades de formación de los operadores. También tendrán que demostrar su resistencia frente a los riesgos de la cadena de suministro y la IA de terceros. Los proveedores más pequeños se enfrentarán a mayores barreras de entrada a menos que se alineen con los niveles de cumplimiento del DoD.
- Tendencia de contratación: preferencia por plataformas que minimicen la intervención humana.
- Riesgo para terceros: mayor auditoría de los proveedores con acceso privilegiado.
- Expectativas: que los vendedores ofrezcan funciones de seguridad automatizadas que faciliten la formación.
| Tipo de contratista | Expectativas del Departamento de Defensa | Mitigación de riesgos |
|---|---|---|
| Integradores principales (Raytheon, Lockheed, Northrop) | Plataformas reforzadas con controles integrados | Ciclo de vida de desarrollo seguro, FedRAMP/Autoridad para operar |
| Consultorías (Booz Allen Hamilton) | Ofrezca una respuesta rápida a los incidentes y soluciones que faciliten la formación | Supervisión continua y pruebas de penetración de terceros |
| Datos/Analítica (Palantir Technologies) | Ofrecer análisis resistentes con controles que preserven la privacidad | Gobernanza de datos sólida y gestión de CUI etiquetada |
Los ejemplos ilustran cómo podrían responder los proveedores. Las plataformas del estilo de Palantir podrían incorporar el etiquetado CUI obligatorio en los conductos de ingestión, de modo que los usuarios finales rara vez ejerzan controles manuales. Lockheed Martin o Northrop Grumman podrían suministrar dispositivos que pongan automáticamente en cuarentena la telemetría sospechosa, reduciendo la necesidad de que el operador juzgue las alertas rutinarias. Booz Allen Hamilton podría ampliar los servicios gestionados de detección y respuesta adaptados a las redes militares.
No obstante, la reducción de la formación interna aumenta la dependencia de la calidad de la seguridad de los proveedores. Para solucionarlo, los responsables de adquisiciones deberían incluir cláusulas contractuales explícitas: informes continuos sobre la postura de seguridad, auditorías de terceros e integración con los canales de notificación de incidentes del Departamento de Defensa. El lenguaje jurídico debería exigir la rápida entrega de parches para las vulnerabilidades conocidas identificadas a través de los informes de la comunidad, incluida la divulgación de los riesgos del modelo de IA cuando se utilice la automatización suministrada por el proveedor.
Entre las lecturas y recursos relevantes para los responsables de las adquisiciones se incluyen orientaciones sobre IA aplicada y riesgo de proveedores procedentes de la industria y la investigación: estudios sobre el riesgo de seguridad de la IA, vulnerabilidades de la cadena de suministro y recursos educativos como programas de formación corporativa. Los lectores pueden explorar recursos sobre enfoques de IA y ciberseguridad a través de los enlaces DualMedia para fundamentar las decisiones de adquisición, por ejemplo orientación sobre el papel de la IA en la ciberseguridad y la evolución de la normativa.
Perspectiva: El Departamento de Guerra de EE.UU. reduce la formación en ciberseguridad y traslada la responsabilidad de la seguridad a los proveedores; un lenguaje de contratación sólido y una supervisión continua son esenciales para evitar la transferencia del riesgo al personal de primera línea.
El Departamento de Guerra de EE.UU. reduce la formación en ciberseguridad: automatización, adopción de IA y estrategias técnicas de mitigación
El impulso del memorando para "automatizar los sistemas de gestión de la información" eleva naturalmente la IA y la automatización como palancas de mitigación. Cuando el Departamento de Guerra de Estados Unidos reduce la formación en ciberseguridad, la detección, respuesta y aplicación de políticas automatizadas se convierten en controles compensatorios fundamentales. El énfasis en la automatización se alinea con una tendencia más amplia: Las herramientas basadas en IA se incorporan cada vez más a las pilas defensivas para reducir la carga de trabajo humano y mejorar la velocidad de detección.
Sin embargo, la automatización introduce sus propias amenazas. La IA agenética, las alucinaciones de los modelos y los riesgos de la IA de terceros requieren gobernanza. DARPA y la Agencia de Seguridad Nacional tienen programas en marcha para reforzar los sistemas de IA, y las unidades de investigación deben centrarse en la interpretabilidad, las pruebas sólidas y la resistencia a los adversarios. Los proveedores comerciales y las empresas de defensa se verán obligados a aplicar prácticas de diseño seguro a los módulos de IA integrados en herramientas operativas.
- Ventajas de la automatización: detección más rápida, aplicación estandarizada de políticas, menos errores humanos.
- Riesgos de automatización: errores de modelo, dependencia excesiva, vulnerabilidades de la IA en la cadena de suministro.
- Mitigación: Marcos alineados con el NIST, validación continua y reglas de escalado humanas.
| Componente de automatización | Role | Medidas de defensa |
|---|---|---|
| Detección de anomalías basada en IA | Alerta automática de comportamientos sospechosos | Pruebas adversariales, ajuste de umbrales, puntos de control de revisión humana |
| Agentes encargados de la aplicación de las políticas | Etiquetado CUI automático y control de acceso | Registros de auditoría inmutables, aplicación basada en funciones, redifusión periódica |
| Parcheado automático | Reducir la ventana de exposición | Despliegues escalonados, planes de desmantelamiento, validación de la cadena de suministro |
Ejemplos concretos fundamentan esta sección. Un nodo de mando desplegado sobre el terreno y equipado con detección de IA puede poner automáticamente en cuarentena un endpoint sospechoso y crear un ticket de incidente priorizado para el equipo cibernético. Esto reduce la dependencia del personal, que de otro modo podría pasar por alto indicadores sutiles durante operaciones de alta intensidad. Por el contrario, si la IA clasifica erróneamente el tráfico debido a la manipulación del adversario, podrían interrumpirse las comunicaciones de la misión. Para solucionar este problema, es necesario realizar pruebas rigurosas contra los adversarios y aplicar procedimientos de emergencia.
La industria está realizando grandes esfuerzos para reforzar la IA y la automatización. La investigación sobre los marcos de seguridad de IA del NIST y los riesgos de la IA de terceros está disponible públicamente y a través de libros blancos de proveedores. Las integraciones entre servicios de detección nativos de la nube y dispositivos defensivos tradicionales -ofrecidos tanto por empresas de defensa como por empresas especializadas en ciberseguridad- permiten al DoD implementar defensas en capas que compensan la menor frecuencia de entrenamiento. Para obtener información práctica sobre la evolución de la IA y la ciberseguridad, consulte los recursos seleccionados sobre seguridad de la IA y evolución de la normativa.
Perspectiva: La automatización y la IA pueden compensar la reducción de la formación humana cuando se implementan con una validación rigurosa, dispositivos de seguridad humanos y garantías contractuales de los proveedores para mantener líneas de base operativas seguras.
Nuestra opinión
La directiva sobre formación en ciberseguridad del Departamento de Guerra de EE.UU. es un giro estratégico que sopesa el tiempo en misión y el factor humano en la ciberseguridad. En conjunto, el planteamiento tiene méritos defendibles: reconoce la necesidad de dar prioridad a las capacidades listas para el combate y trata de aprovechar la automatización para reducir la carga de formación repetitiva. Sin embargo, la medida eleva ciertos riesgos que requieren contramedidas proactivas y coordinadas en todo el Departamento de Defensa, el Ejército de EE.UU. y las estructuras aliadas.
De esta evaluación se derivan recomendaciones prácticas. En primer lugar, integrar el microaprendizaje y los cursos de refresco a la carta basados en escenarios en los ciclos de las misiones para que el personal conserve la ciberhigiene crítica sin necesidad de dedicar mucho tiempo a las aulas. En segundo lugar, exigir que los contratos de adquisición incluyan acuerdos de nivel de servicio estrictos en materia de seguridad, informes continuos sobre la situación y derechos de auditoría de terceros para garantizar que los sistemas de los proveedores compensen la reducción de la formación centrada en los soldados. En tercer lugar, acelerar los programas dirigidos por DARPA y la NSA que evalúan la solidez de la IA y la resistencia a los adversarios para aplicaciones de defensa.
- Adoptar el microaprendizaje, integrado en las rutinas previas a la misión.
- Reforzar las cláusulas de contratación en materia de seguridad, parches y transparencia.
- Invierta en validación de IA, salvaguardas humanas en el bucle y red-teaming.
- Coordinar con el Mando Cibernético de los Estados Unidos y la Agencia de Seguridad Nacional la información sobre amenazas adaptada a cada unidad.
- Apóyese en grandes contratistas y empresas especializadas en ciberseguridad, al tiempo que impone la rendición de cuentas.
| Prioridad | Acción | Resultado esperado |
|---|---|---|
| Preparación del personal | Microaprendizaje + equipo de cibermentores | Mantener la higiene con el mínimo tiempo de clase |
| Responsabilidad de los proveedores | SLA contractuales y auditorías continuas | Trasladar el riesgo a los proveedores; mejorar la resistencia |
| Salvaguardias técnicas | Validación de IA y aplicación automatizada | Reducir el error humano, acelerar la detección |
Para los responsables de adquisiciones, los ciberdirectores y los comandantes de unidad, existen recursos relevantes y un aprendizaje continuado a través de la industria y los canales académicos. Las lecturas recomendadas abordan la IA en la ciberseguridad, las prácticas de adquisición seguras y las medidas prácticas de ciberhigiene. Los enlaces útiles y las cartillas de políticas incluyen conocimientos sobre el papel de la IA en la ciberdefensa, plataformas de postura de seguridad de proveedores y marcos de formación que ayudan a traducir las políticas en prácticas seguras.
Recursos seleccionados:
- La IA en la ciberseguridad
- Riesgos de la IA de terceros
- Evolución de la normativa sobre ciberseguridad
- Mejores prácticas de formación empresarial e individual
- Plataformas de proveedores para una postura de seguridad automatizada
Visión final: La formación en ciberseguridad del Departamento de Guerra de Estados Unidos puede tener éxito si va acompañada de una sólida automatización, una rigurosa responsabilidad de los proveedores y una formación humana específica e integrada en las operaciones. En ausencia de estas medidas, el cambio corre el riesgo de ampliar las superficies de ataque en un momento en que los adversarios siguen teniendo como objetivo las infraestructuras militares y críticas. Las partes interesadas deben actuar ahora para garantizar que el aumento de la eficiencia no se convierta en un lastre para la seguridad.