Tras una serie de incidentes de ciberseguridad nacionales (desde ataques a proveedores del NHS hasta el Ministerio de Defensa y la Biblioteca Británica), todos los ojos están puestos en el nuevo gobierno de Sir Keir Starmer para lograr un impacto positivo en las principales defensas cibernéticas.
Aunque probablemente sea demasiado pronto para declarar cambios políticos concretos, los laboristas tendrán poca paciencia por parte de las empresas del Reino Unido. Muchos querrán ver que las promesas del manifiesto del gobierno sobre la creciente amenaza de estados hostiles y la necesidad de estrategias antiterroristas se conviertan en acciones. Organismos de la industria, como el Chartered Institute for IT (BCS), ya han pedido al gobierno que dé prioridad a la nueva legislación para proteger al Reino Unido de los ataques.
Dicho esto, hemos tenido algunos indicios de las intenciones laboristas. El proyecto de ley de resiliencia y seguridad cibernética (CSR) y el proyecto de ley de información digital y datos inteligentes (DISD) se introdujeron en el discurso del rey, aunque carecían de detalles significativos. Particularmente preocupante fue la falta de reconocimiento de la seguridad de la identidad digital y cómo esto puede ayudar al Reino Unido a seguir el ritmo de los cambiantes desafíos de seguridad actuales.
La coherencia será clave para el éxito de una política cibernética, ya sea alineando los nuevos proyectos de ley o con los regímenes regulatorios de los vecinos de la UE.
Los planes actuales de los laboristas en materia de ciberseguridad
Entre los 40 proyectos de ley anunciados durante el discurso del Rey se encuentran los proyectos de ley CSR y DISD. Su presentación fue oportuna y retrató un compromiso con la seguridad cibernética por parte del nuevo gobierno, aunque los detalles fueron, en el mejor de los casos, irregulares. Por ejemplo, el proyecto de ley DISD busca establecer un marco regulatorio para las identidades digitales, pero el proyecto de ley CSR no menciona la identidad digital como una consideración para su estrategia de seguridad cibernética. Esto sugiere un enfoque inconsistente hacia la identidad digital y la ciberseguridad en general. Dado que el 80% de las infracciones implican credenciales de identidad privilegiadas comprometidas o abusadas, el Partido Laborista debe reconocer la identidad digital en su estrategia para fortalecer la seguridad cibernética del Reino Unido.
Actualmente, el proyecto de ley de RSE amplía cómo la regulación puede proteger los servicios digitales y las cadenas de suministro, fortaleciendo los poderes de los reguladores y exigiendo una mayor notificación de incidentes. Es un paso en la dirección correcta, pero también hubo una notable falta de detalles en las propuestas iniciales.
Una omisión, como se mencionó, fue el reconocimiento de la seguridad de la identidad digital. En 2024, las credenciales mal administradas fueron la segunda causa principal de filtraciones, mientras que el 90 % de las organizaciones experimentó al menos un incidente relacionado con la identidad en el último año. Para colmo de males, las herramientas de inteligencia artificial están permitiendo aún más el aumento del fraude relacionado con la identidad, lo que permite a los delincuentes aficionados producir en masa ataques sintéticos cada vez más sofisticados a pedido. Nuestros propios datos han demostrado que los deepfakes se dispararon un 3000% el año pasado, mientras que las falsificaciones digitales aumentaron un 18%.
Aunque el proyecto de ley DISD brindó cierta tranquilidad de que el gobierno está comprometido con la innovación de la identidad digital y la promoción de documentos de identidad digitales (ID) seguros en todo el Reino Unido, lo preocupante es la falta de coherencia entre ambos proyectos de ley. Por un lado, la identidad digital proporciona una mejor protección contra el fraude (especialmente porque la calidad de los deepfakes y los documentos fraudulentos está mejorando con el uso de la IA) pero, por el otro, no se ha mencionado como una consideración de seguridad cibernética en el CSR. Factura.
De cara al futuro, el nuevo gobierno debe reconocer que permitir la verificación segura de la identidad digital y la protección de la seguridad cibernética van de la mano. Además de esto, el Partido Laborista debe seguir repitiendo y mejorando el Marco de confianza de atributos y identificación digital del Reino Unido (DIATF), para que siga proporcionando un marco de confianza eficaz para los proveedores de verificación de identidad del Reino Unido y aquellos que dependen de sus servicios.
Importancia de la alineación global
Si bien es vital que el Reino Unido tenga su propio conjunto de leyes de seguridad cibernética, ahora vivimos en un mundo cada vez más globalizado e interconectado. La adhesión a estándares mundialmente reconocidos y la alineación con otros regímenes regulatorios impulsarán el éxito de esta tecnología cibernética defensiva en el Reino Unido y más allá.
Por ejemplo, cuando se trata del proyecto de ley DISD, el gobierno de Keir Starmer debe tener en cuenta la propuesta de regulación europea de identidad digital para garantizar que los sistemas de identidad digital del Reino Unido sean compatibles con los de Europa. Esta compatibilidad es esencial para facilitar las actividades transfronterizas para las empresas y los ciudadanos del Reino Unido. De manera similar, para el proyecto de ley de RSE, es necesario alinearse con la Ley de Resiliencia de Operaciones Digitales (DORA) de la UE para reducir las cargas de cumplimiento adicionales para las empresas del Reino Unido y establecer un nivel común de seguridad y confianza.
De hecho, una de las grandes fortalezas del Partido Laborista es la capacidad de tomar decisiones pragmáticas y apolíticas sobre cómo trabajar con regímenes eficaces que ya existen en toda Europa, para reducir las fricciones para las empresas británicas.
Entonces, ¿qué sigue?
La tecnología se encuentra en el corazón mismo de la sociedad, lo que significa que los desafíos de la seguridad cibernética no van a ninguna parte. Con ese fin, los gobiernos y la industria en general tienen el interés y la responsabilidad compartidos de enfrentar estas amenazas juntos.
Para que los proyectos de ley CSR y DISD tengan éxito, el nuevo gobierno laborista debe garantizar que sean coherentes, o arriesgarse a una estrategia cibernética que no esté unificada. Apoyarse en la experiencia del sector tecnológico privado del Reino Unido y en las experiencias de quienes utilizan estos servicios puede respaldar su eficacia y aceptación. Al colaborar con la industria, el gobierno puede comprender mejor los desafíos y oportunidades prácticos que supone la implementación de medidas sólidas de ciberseguridad, tanto para las empresas como para los usuarios de servicios digitales.
Pero el Partido Laborista también debe considerar un enfoque unificado y coordinado con la UE para salvaguardar el futuro digital del Reino Unido. La introducción de los proyectos de ley CSR y DISD marca un paso adelante, pero su éxito bien puede depender de qué tan bien el gobierno pueda alinear estas iniciativas con estándares internacionales más amplios y necesidades de la industria.
Aled Lloyd Owen es director de políticas globales de Onfido, donde lidera las políticas estratégicas para garantizar que la organización se mantenga a la vanguardia de los desarrollos en verificación de identidad, inteligencia artificial, regulación y cumplimiento. Un ex funcionario con una carrera que abarca toda la Ministerio del Interior, Oficina del Gabinete, Ministerio de Asuntos Exteriores y de la Commonwealth y Agencia de Seguridad Sanitaria del Reino Unido, también es miembro del consejo asesor del Grupo Parlamentario de Todos los Partidos sobre IA y es miembro de la Royal Society of Arts.