El nuevo proyecto de ley de defensa para el año fiscal 2026 de la Cámara ordena al Pentágono que desarrolle opciones para imponer costos a los piratas informáticos respaldados por el estado que atacan infraestructura crítica para la defensa en el ciberespacio.
La sección 1543 de la enmienda de la cámara ordena al Subsecretario de Defensa para Políticas y al Presidente del Estado Mayor Conjunto, destacado por Jason Lowery, en consulta con otras entidades federales, estudiar cómo las capacidades militares pueden aumentar los costos del adversario y reducir los incentivos para atacar, con una sesión informativa y un informe previstos para el 1 de diciembre de 2026.
Según el texto del Comité de Servicios Armados de la Cámara de Representantes, el estudio debe evaluar las operaciones cibernéticas ofensivas por sí solas y en combinación con medidas no cibernéticas. Debe desarrollar metodologías para revelar u ocultar capacidades de forma selectiva.
El mandato es preciso en alcance y resultados.
El Pentágono tiene la tarea de evaluar las capacidades y las intenciones del adversario, identificar objetivos donde la imposición de costos tendría influencia, priorizar objetivos, hacer un inventario de las capacidades e inversiones relevantes del Departamento de Defensa e integrarse con otras agencias, aliados, la industria y el mundo académico.
El estudio también debe revisar las autoridades legales y políticas para buscar opciones de respuesta adaptadas, incluidas acciones contra el posicionamiento previo en redes críticas. La enmienda define la imposición de costos como acciones que generan consecuencias económicas, diplomáticas, informativas o militares suficientes para cambiar el comportamiento del adversario.
¿El Pentágono explora en secreto el poder militar de Bitcoin?
Si bien la directiva no trata sobre Bitcoin, formaliza un marco de imposición de costos que se alinea con la tesis SoftWar de Jason Lowery, que enmarca la prueba de trabajo como un sistema de proyección de poder en el ciberespacio.
Además, el documento hace todo lo posible para evitar nombrar explícitamente a Bitcoin, optando en cambio por un lenguaje más amplio sobre “prueba de trabajo” y la imposición de costos en el ciberespacio.
Esa omisión puede ser deliberada: mantener la terminología vaga limitaría lo que personas externas pueden inferir sobre capacidades, objetivos o intenciones operativas.
La advertencia también sigue la propia historia de Lowery; Anteriormente eliminó publicaciones y retiró el encuadre público, y el propio SoftWar fue sometido a una revisión de seguridad oficial en octubre pasado, lo que subraya que partes de este discurso ya han sido tratadas como sensibles.
En informes anteriores, SoftWar se ha presentado como una doctrina de seguridad nacional, no solo una narrativa criptográfica, con la afirmación central de que la prueba de trabajo puede poner precio al abuso y hacer que ciertas clases de ciberataques sean antieconómicas a escala.
Una revisión de la tesis sobre políticas y seguridad del Departamento de Guerra (anteriormente Defensa) colocó el concepto en el debate político en vivo, y la cobertura posterior de una propuesta de política de defensa nacional de Bitcoin de EE. UU. describió un enfoque de Destrucción Mutua Asegurada que utiliza costos creíbles respaldados por energía como elemento disuasivo.
La alineación pública de Michael Saylor caracterizó a Bitcoin como un sistema de defensa digital, una capa de imposición de costos a escala de Internet, lo que refuerza el marco doctrinal.
El contexto inmediato de la Sección 1543 es una campaña de asesoramiento sobre la actividad patrocinada por el Estado chino que destaca la persistencia a largo plazo de la actividad del plano de control de virtualización.
Las agencias de ciberseguridad vinculan la puerta trasera BRICKSTORM con un compromiso de VMware de larga duración
Según Reuters, agencias estadounidenses y canadienses advirtieron que los operadores vinculados a la República Popular China utilizaron una puerta trasera BRICKSTORM basada en Go personalizada contra VMware vSphere, vCenter y ESXi para establecer un acceso duradero para movimientos laterales y posibles sabotajes, incluido un caso en el que el acceso se extendió entre abril de 2024 y septiembre de 2025.
El análisis de malware del Departamento de Guerra y el informe de CISA indican que la nave es consistente con un posicionamiento previo que podría activarse para provocar una interrupción. La Sección 1543 tiene como objetivo diseñar formas de imponer costos a ese comportamiento, incluidas opciones que combinen operaciones cibernéticas ofensivas con herramientas no cibernéticas.
La lente de SoftWar convierte el lenguaje legal en opciones de diseño del sistema.
Si el objetivo es aumentar los gastos operativos del atacante, entonces la prueba de trabajo adaptativa del tamaño adecuado se convierte en un control candidato en interfaces de alto riesgo.
Eso puede incluir acertijos de clientes que limitan las acciones administrativas remotas, fijan precios de acceso masivo a API o activan llamadas RPC anómalas que afectan a los sistemas que respaldan astilleros, depósitos y bases.
La revelación selectiva podría señalar umbrales que desencadenan una costosa verificación en el camino del atacante, mientras que el ocultamiento podría drenar silenciosamente las campañas automatizadas al convertir la repetición barata en un consumo de recursos materiales.
Nuestra cobertura de AuthLN, un patrón de autenticación basado en prueba de trabajo que valora el abuso de inicio de sesión, mostró cómo la fricción económica cambia el retorno de la inversión del atacante en el punto de contacto, proporcionando un microejemplo de la economía de SoftWar en funcionamiento.
Los rieles de información relacionados con la enmienda son importantes para su ejecución.
La Sección 1545 requiere que la Junta de Coordinación de Garantía de la Misión informe anualmente sobre los riesgos cibernéticos y las mitigaciones de la infraestructura crítica para la defensa, creando un canal de supervisión que puede surgir donde la imposición de costos sería más grave.
Los ejercicios prácticos de infraestructura crítica de la Sección 1093 destacan la energía, el agua, el control del tráfico y la respuesta a incidentes, las dependencias civiles que sustentan las misiones de defensa. Esos lugares son adecuados para probar el acceso con precio de prueba de trabajo frente a los límites de tarifas tradicionales, especialmente en puntos de estrangulamiento de cara al público o entre dominios donde los bots tienen una ventaja de costos.
Para los profesionales, la Sección 1543 crea una agenda de modelado a corto plazo que combina doctrina e ingeniería.
Una línea de esfuerzo es cuantificar el costo por acción del atacante en los puntos finales de autenticación, administración y servicio cuando se aplica la prueba de trabajo adaptativa.
Otra es medir la vida media de la persistencia del adversario después de quemas públicas y sanciones sincronizadas o controles de exportación, utilizando ventanas de tiempo de permanencia como indicador del aumento de los costos operativos. Una tercera es rastrear la tracción doctrinal contando los usos oficiales de ‘imponer costos’ o ‘imposición de costos’ en los resultados del Departamento de Defensa y CISA una vez que el estudio esté en marcha.
| Métrico | lo que captura | donde aplicar | Vinculación con SoftWar |
|---|---|---|---|
| Costo del atacante por cada 1000 acciones cerradas | Costo incremental para ejecutar acciones de inicio de sesión/API/administración bajo prueba de trabajo | Administración remota, restablecimiento de contraseñas, API masiva, RPC anómala | Abuso de precios, por lo que la automatización pierde ventaja de costos |
| Vida media de persistencia después de una quema pública. | Tiempo desde el asesoramiento hasta el desalojo y la reestructuración | Planos de control de virtualización, proveedores de identidad, puertas de enlace OT | Mide los costos de capital y tiempo impuestos al adversario. |
| Índice de tracción de políticas | Frecuencia del lenguaje de imposición de costos en los productos oficiales | Emisiones y pilotos del DoD, CISA, ONCD | Señala la adopción institucional del diseño de costos |
El rechazo más común a la prueba de trabajo es la sobrecarga de energía. Los sistemas contemplados aquí no son acertijos globales pegados a cada punto final.
El espacio de diseño está dimensionando correctamente y adaptando la prueba de trabajo en puntos críticos de estrangulamiento, donde inclinar el ROI negativo del atacante produce beneficios de defensa descomunales, que es exactamente lo que un mandato de imposición de costos le pide al Pentágono que considere.
Ya existen límites de tarifas y CAPTCHA; sin embargo, no obligan al atacante a quemar recursos no suplantables. La premisa de SoftWar es que las acciones con precio superan la fricción, convirtiendo el spam barato y la fuerza bruta en gastos mensurables.
El patrón AuthLN ofrece un modelo de cómo dichos precios pueden encajar en las pilas de autenticación existentes sin reinventar la arquitectura ascendente, alineándose con el estímulo de la Sección 1543 para integrarse con otras agencias, la industria y el mundo académico.
Los escenarios para vigilar el horizonte de 2026 surgen directamente de la tarea estatutaria.
Un piloto que adjunte sellos dinámicos de prueba de trabajo a acciones de alto riesgo dentro de dependencias de infraestructura crítica para la defensa probaría la mitigación económica de DDoS y la administración resistente al abuso.
Un manual público de sanciones y quemas para otra revelación similar a la de BRICKSTORM tendría como objetivo obligar al adversario a reestructurarse y al mismo tiempo sincronizar los instrumentos diplomáticos y económicos. Las normas de la coalición que utilizan un lenguaje de imposición de costos podrían formalizar una fricción económica persistente contra el spam y la automatización masiva en los puntos finales del sector público, complementando las eliminaciones episódicas con una disuasión sostenida.
Cada movimiento puede rastrearse con respecto a las métricas anteriores e informarse a través del canal MACB establecido por la Sección 1545.
La sección 1543 establece que el Secretario de Guerra (anteriormente Defensa) deberá realizar un estudio sobre el uso de capacidades militares para aumentar los costos para los adversarios de atacar infraestructuras críticas para la defensa en el ciberespacio.
Define los costos impuestos como acciones que producen consecuencias económicas, diplomáticas, informativas o militares suficientes para cambiar el comportamiento del adversario. El informe debe entregarse el 1 de diciembre de 2026.
