Trump publica su Estrategia Nacional de Ciberseguridad 2026 con seis pilares y foco en IA ofensiva

La administración Trump publicó este marzo su Estrategia Nacional de Ciberseguridad para América, un documento de seis páginas que define los pilares de acción del gobierno federal en el ciberespacio durante el resto del mandato. El texto, firmado por el presidente y avalado por la Casa Blanca marca un giro hacia una postura abiertamente ofensiva: el gobierno no esperará a ser atacado para responder y el sector privado tendrá un rol activo e incentivado en la identificación y desarticulación de redes adversarias.

La estrategia abandona el tono defensivo que caracterizó documentos equivalentes de administraciones anteriores. En su carta de presentación, Trump afirma que Estados Unidos empleará "la suite completa de operaciones cibernéticas defensivas y ofensivas" y que las respuestas no estarán confinadas al dominio cyber. Es decir, un ciberataque contra infraestructura crítica americana puede derivar en consecuencias en otros dominios. El documento menciona explícitamente operaciones recientes —entre ellas la incautación de 15.000 millones de dólares a redes de estafadores online y acciones contra la infraestructura nuclear iraní— como ejemplos de esta doctrina ya en práctica.

Seis pilares que definen la agenda

El documento estructura su visión en seis ejes de acción.

1. Moldear el comportamiento adversario, establece que el gobierno desplegará capacidades ofensivas para erosionar la infraestructura de atacantes antes de que estos alcancen redes americanas.
2. El segundo pilar, Regulación de sentido común, promete desmantelar la capa de cumplimiento normativo que según la administración ralentiza la capacidad de respuesta del sector privado sin mejorar su seguridad real. La postura es explícita: las regulaciones de ciberseguridad deben reducir cargas, no multiplicarlas.
3. El tercer pilar apunta a la modernización de redes federales, con mandatos concretos: arquitectura Zero Trust, transición a la nube y adopción de criptografía post-cuántica como estándar para sistemas de seguridad nacional.
4. El cuarto eje cubre la protección de infraestructura crítica redes eléctricas, sistemas financieros, hospitales, utilities de agua con énfasis en expulsar productos y proveedores adversarios de las cadenas de suministro.
5. El quinto pilar, quizás el más denso técnicamente, establece la superioridad en tecnologías emergentes: asegurar el stack de IA, promover la adopción de herramientas de IA agéntica para defensa de redes a escala, y bloquear la expansión de plataformas de IA extranjeras que "censuran, vigilan y desinforman a sus usuarios" —referencia directa a tecnología de origen chino.
6. El sexto y último pilar aborda la formación de talento cyber, reconociendo la fuerza laboral en ciberseguridad como activo estratégico nacional. El documento propone eliminar barreras entre academia, sector privado, gobierno y fuerzas armadas para construir un pipeline de talento que diseñe y opere las próximas generaciones de capacidades ofensivas y defensivas.

El eje China y la IA como arma de doble filo

La estrategia no nombra a China en todos los párrafos, pero su sombra recorre el documento de principio a fin. La referencia a "tecnologías AI de bajo coste con censura, vigilancia y sesgo ideológico incorporados" es una descripción reconocible del ecosistema tecnológico chino que compite globalmente. El mandato de promover criptografía post-cuántica responde directamente a la amenaza documentada de que actores vinculados a Pekín están almacenando datos cifrados hoy para descifrarlos cuando la computación cuántica lo permita la estrategia conocida como harvest now, decrypt later.

En el frente de la IA, la estrategia adopta una postura dual: acelerar el uso de IA agéntica para operaciones de ciberdefensa a escala, y al mismo tiempo asegurar los modelos, datos e infraestructura que sostienen el liderazgo americano en este campo. La mención explícita de "IA agentica" como herramienta de disrupción de redes adversarias es una de las declaraciones más concretas que una estrategia nacional ha hecho hasta la fecha sobre el uso ofensivo de estos sistemas.

Desregulación: ¿oportunidad o riesgo calculado?

El pillar de regulación merece atención especial desde una perspectiva de política pública. La administración argumenta que la proliferación de marcos normativos de ciberseguridad, algunos contradictorios entre sí genera fricciones que penalizan a las empresas que quieren cumplir sin necesariamente elevar su nivel de seguridad real. La propuesta de "agilizar" estas regulaciones puede leerse como una oportunidad para construir marcos más coherentes y orientados a resultados. También puede leerse como una apertura para reducir obligaciones de reporte de incidentes, requisitos de auditoría o estándares mínimos para operadores de infraestructura crítica. El documento no especifica cuáles regulaciones serán simplificadas ni bajo qué criterios, lo que deja un margen de incertidumbre significativo para el sector.

Lo que sí queda claro es que la Casa Blanca espera que el sector privado asuma un rol activo en la defensa del ciberespacio americano, incluyendo la identificación y disrupción de redes adversarias y que para eso está dispuesto a crear incentivos, no solo mandatos. Cómo se traduce eso en legislación concreta y en asignaciones presupuestarias será el verdadero test de la estrategia en los próximos meses.