La administración Trump revoca la guía SBOM instaurada en la era Biden, ¿qué significa para la seguridad informática?

La administración Trump revoca la guía SBOM implementada en la era Biden

Recientemente, la administración del expresidente Donald Trump ha decidido revocar la guía sobre la Cadena de Suministro de Software y la Declaración de Materiales de Software (SBOM, por sus siglas en inglés) que fue establecida durante la administración Biden. Esta acción marca un cambio significativo en las políticas de ciberseguridad relacionadas con la transparencia y control de los componentes de software que se utilizan en sistemas críticos.

Contexto de la guía SBOM y su importancia

La Directiva de Seguridad Cibernética del Sector Público, lanzada bajo la administración Biden, promovía el uso obligatorio de SBOM para los productos de software adquiridos por el gobierno federal. El objetivo principal era aumentar la visibilidad de los componentes que conforman las aplicaciones, permitiendo identificar y mitigar vulnerabilidades de manera más rápida y efectiva. El SBOM facilita la trazabilidad en la cadena de suministro del software, una medida crucial para combatir ataques sofisticados destinados a terceros o componentes ocultos.

Esta guía no solo pretendía proteger las infraestructuras críticas, sino también promover una cultura de desarrollo de software más segura y responsable, alineada con las prácticas internacionales de seguridad de la información, como ISO 27001 y otras normativas vinculadas a la gestión de riesgos tecnológicos.

Implicaciones técnicas de la revocación

La revocación de la guía SBOM implica que los desarrolladores y proveedores de software ya no tendrán la obligación de proporcionar esta información estructurada al gobierno federal. Técnicamente, esto reduce la transparencia sobre los ingredientes en el software, afectando directamente la capacidad de los equipos de seguridad para:

Evaluar riesgos asociados a componentes de terceros o librerías externas.
Detectar vulnerabilidades conocidas en versiones específicas rápidamente mediante asociaciones con bases de datos CVE.
Implementar controles de mitigación inmediatos en ambientes de producción que dependen de software con posibles fallos.

En consecuencia, el entramado de defensa en profundidad de aplicaciones web y móviles que se basa en esta información pierde eficiencia y respuesta oportuna.

Repercusiones en el panorama de ciberseguridad nacional e internacional

La decisión de abandonar el requisito SBOM puede repercutir en la postura defensiva del gobierno durante ataques dirigidos a cadenas de suministro de software, un vector especialmente explotado por adversarios avanzados como APTs (Amenazas Persistentes Avanzadas). Asimismo, puede generar un efecto cascada en el ecosistema privado, donde proveedores y organizaciones podrían disminuir su compromiso con la transparencia y el aseguramiento del código seguro.

A nivel internacional, esta medida puede contrastar con las iniciativas de otros países que avanzan hacia regulaciones más rigurosas sobre composición y seguridad de software, lo cual puede afectar la confianza global y la colaboración tecnológica.

Conclusión

La revocación de la guía SBOM representa un retroceso en la defensa cibernética basada en la visibilidad y gestión efectiva de la cadena de suministro de software, un componente fundamental para la protección contra amenazas modernas. Los especialistas en seguridad, redteam, digital forensics y pentesting deben estar alertas a este cambio, reforzando otras capas de seguridad y evaluando nuevas estrategias para compensar la menor transparencia en la composición del software utilizado en sistemas críticos.

Para un análisis en profundidad sobre esta situación y sus implicaciones, se puede consultar el artículo original en Dark Reading: Trump Administration Rescinds Biden-Era SBOM Guidance.

← Graves amenazas cibernéticas: Ataques sofisticados de APT chinos apuntan a organizaciones asiáticas con malware avanzado Graves vulnerabilidades en n8n ponen en riesgo la seguridad de los clientes →

¡Conéctate con nosotros en las redes sociales!

Estamos presentes en todas tus plataformas favoritas, compartiendo siempre contenido actualizado y útil para ti.

¿Te interesa aprender sobre ciberseguridad y cómo protegerte en el mundo digital? Escucha nuestro podcast en YouTube, donde te contamos todo sobre seguridad informática de manera práctica y fácil de entender.

Nunca compartiremos tus datos con nadie. Nuestra Política

Nombre	Dominio	Uso	Duración	Tipo
wpl_user_preference	www.antifraude.co	WP GDPR Cookie Consent Preferences.	1 year	HTTP
YSC	youtube.com	YouTube session cookie.	Session	HTTP
_GRECAPTCHA	www.google.com	---	6 months	---
m	m.stripe.com	---	2 years	---

Nombre	Dominio	Uso	Duración	Tipo
NID	google.com	Google unique id for preferences.	6 months	HTTP
__cf_bm	twitter.com	Generic CloudFlare functional cookie.	Session	HTTP

Nombre	Dominio	Uso	Duración	Tipo
VISITOR_PRIVACY_METADATA	youtube.com	---	6 months	---
__Secure-ROLLOUT_TOKEN	youtube.com	---	6 months	---

Servicios de Ethical Hacking, Red Team y SecDevOps

Infraestructura IT y aplicaciones

Servicios Forenses, Evidencias DIgitales y E-Discovery

Procesamiento forense agnóstico

Monitoreo Digital 7x24, SOC Virtual y CISO Virtual

Alianzas con los mejores de la industria

Consultoría en Gobierno, Riesgo y Cumplimiento de Ciberseguridad

Ciberseguridad desde la estrategia

Servicios de Concientización, Ingeniería Social y Simulaciones

El eslabón más debil