La maquinaria de ciberseguridad estadounidense, desmontada pieza a pieza por la Administración Trump, empieza a mostrar signos de recomposición. Ayer, martes, ante el subcomité de Servicios Financieros y Gobierno General de la Cámara de Representantes, el director de la Oficina de Gestión y Presupuesto (OMB), Russell Vought, dio un paso inesperado: se mostró abierto a trabajar con el secretario de Seguridad Nacional, Markwayne Mullin, para reponer hasta 600 puestos en la Agencia de Ciberseguridad e Infraestructura (CISA).
La declaración, recogida por CyberScoop, llega tras una purga que ha vaciado de talento a la agencia que coordina la defensa de las redes críticas del país. Más de mil especialistas han salido o han sido expulsados desde que Donald Trump regresó a la Casa Blanca, reduciendo una plantilla que al final del mandato de Biden rondaba los 3.400 efectivos. El propio Mullin, que asumió la secretaría a finales de marzo, había pedido la semana pasada en otro subcomité de Seguridad Nacional incorporar a esos 600 profesionales, pero hasta ahora no había recibido el respaldo presupuestario de la OMB.
Vought matizó que no existe una solicitud formal, pero reconoció que el secretario aún está «tomando las riendas del departamento» y que el proceso será lento. La reconstrucción de CISA no se hará con un interruptor, sino en un goteo condicionado por las barreras burocráticas y el filtrado de credenciales de seguridad, un trámite que en el ámbito de la inteligencia puede eternizarse meses. No obstante, el gesto de Vought supone un primer reconocimiento de que los recortes han ido demasiado lejos.
El drenaje de talento: más de mil especialistas fuera
La administración Trump ha tratado a CISA con hostilidad desde el primer día. La agencia que bajo Biden reforzó la protección electoral y la lucha contra la desinformación se convirtió en una diana para los sectores conservadores, molestos precisamente por ese activismo. Los despidos no solo han afectado a mandos intermedios; han dejado huecos en áreas críticas como la caza de amenazas persistentes avanzadas (APT), la coordinación con el sector privado y el intercambio de inteligencia sobre vulnerabilidades. En palabras de antiguos empleados consultados por medios especializados, la forma en que se ha expulsado al personal puede disuadir a futuros candidatos.
De hecho, el director en funciones de CISA, Nick Andersen, anunció recientemente que la agencia ha comenzado a reclutar y esperaba tener casi 200 ofertas de empleo emitidas para finales del mes pasado. Pero reponer 600 plazas exigirá algo más que voluntad política: requerirá reconstruir la confianza de una comunidad técnica que ha visto cómo se quemaba a sus colegas en una hoguera ideológica. Sin ese talento, la capacidad de detección temprana de ciberataques de Estado se degrada de forma peligrosa, y los aliados lo saben.
La comparecencia: un gesto hacia la reconstrucción que inquieta a los aliados
El representante republicano Mark Amodei, presidente del subcomité de Seguridad Nacional, preguntó a Vought cómo harían para tener una CISA «plenamente operativa y rentable». La respuesta fue una mezcla de realismo y promesa. Vought admitió que Mullin no participó en la elaboración del presupuesto actual y que, si necesita recursos adicionales, trabajarán internamente y rendirán cuentas al Congreso. Usted, como lector de este vertical, ya intuye que ese «trabajarán internamente» es la antesala de meses de pulseo político.
Lo relevante para la comunidad de inteligencia trasciende la trifulca presupuestaria. CISA no es una agencia aislada: es el nodo estadounidense de un ecosistema que incluye al NCSC británico, al CCN-CERT español, al BSI alemán y al resto de organismos del Five Eyes y la OTAN. Cuando la centralita de Atlanta se apaga, las alertas sobre exploits de día cero que circulan desde Pekín o Moscú llegan más tarde, o no llegan. El déficit de personal en CISA se traduce directamente en un agujero en la malla de contrainteligencia cibernética occidental. Y créame, los adversarios lo han notado.
Llevo años escribiéndolo: el próximo 11S no se anunciará con un avión, sino con un clic, y empezará por el sistema de alguien que no se ha actualizado. La desmembración de CISA nos deja a oscuras.
Dossier Moncloa: Ojos en la Sombra
Analicemos con el oficio lo que los cables oficiales no dicen. Nos encontramos ante un vector de amenaza claro: la erosión de la capacidad defensiva de la principal agencia de ciberseguridad civil de los Estados Unidos. No hablamos de un sabotaje físico ni de una infiltración HUMINT clásica; es una lenta sangría que abre brechas aprovechables por cualquier APT con recursos. Los grupos atribuidos al MSS chino (Volt Typhoon, APT40) y al SVR ruso (Cozy Bear) llevan meses mapeando infraestructuras críticas estadounidenses. Una CISA desmembrada les regala semanas de ventaja en las que sus backdoors pasan desapercibidas.
Las agencias implicadas son múltiples. La atacante —en un sentido estratégico— no es una sola, sino el bloque de adversarios estatales y criminales que se frota las manos. La defensora es CISA, pero también el DHS y, en último término, el Comando Cibernético de EE.UU. Los terceros que miran con preocupación son los socios del Five Eyes (GCHQ, CSE australiano, GCSB neozelandés, CCCS canadiense) y, muy especialmente, el CNI y el CCN-CERT en España. Nuestro centro criptológico recibe a diario indicadores de compromiso (IoC) y boletines de amenaza que se originan en los equipos de caza de CISA. Si esos equipos menguan, la tubería se estrecha.
En cuanto al nivel de clasificación estimado, las discusiones sobre plantilla y capacidades de ciberdefensa se manejan generalmente en el escalón «Reservado» o «Confidencial» dentro de los intercambios bilaterales. El borrador de la comparecencia de Vought es público, pero los detalles sobre qué vacantes exactas se cubrirán —y con qué perfiles— probablemente se custodien bajo «Uso Restringido» para no dar pistas al adversario.
El precedente histórico me resulta familiar. Tras los atentados del 11S, la recién creada Oficina de Seguridad Nacional sufrió tensiones similares: primero se la dotó de recursos ingentes, luego se la sometió a recortes caóticos y filtraciones. La diferencia es que ahora el campo de batalla es digital y el tempo lo marcan actores como Sandworm, el grupo del GRU que ya paralizó Ucrania con NotPetya en 2017. Si tuviera que apostar, diría que Moscú ha acelerado sus operaciones de reconocimiento sobre redes eléctricas estadounidenses precisamente porque sabe que la guardia está baja. Lo veo como un fallo de cálculo mayúsculo por parte de los halcones presupuestarios del Ala Oeste.
Queda por ver si la voluntad de Vought se traduce en partidas concretas en el proyecto de presupuesto para el año fiscal 2027. El secretario Mullin tendrá que mover ficha pronto; mientras, el CNI debería reforzar sus propias capacidades de OSINT y de monitorización de redes extranjeras para no depender en exceso de un socio que hoy está en dique seco. La autosuficiencia en inteligencia de ciberamenazas ya no es una opción, es una necesidad. Estaremos atentos a la próxima reunión del Comité de Seguridad Nacional del Congreso, donde se podrían concretar las partidas.

