Los cibercriminales no discriminan en industrias o sectores a la hora de lanzar sus ataques de ransomware. En este sentido, si bien el sector privado suele ser un blanco común de este tipo de malware, también lo es el sector público. De hecho, en 2019 se registraron ataques de ransomware a organismos gubernamentales en varios países del mundo, como Alemania, Australia, Canadá, España, Estados Unidos o Sudáfrica, entre otros.
En Estados Unidos, los ataques de ransomware al sector público en 2019 aumentaron en un 65% con respecto al 2018, registrándose un total de 140 ataques de distintas familias de ransomware (como Ryuk o RobinHood) a organismos gubernamentales estatales y locales en Atlanta, Louisiana, Baltimore, Texas o Florida, entre otros puntos del país. Algo similar ocurrió en Australia, país en el que la tendencia creciente de este tipo de ataques a entidades gubernamentales o ayuntamientos locales a lo largo del último año genera preocupación, como fue el caso del ataque del ransomware Ryuk al gobierno local de la ciudad de Onkaparinga o de los ataques a varios hospitales en la región de Victoria. Pero estos no fueron los únicos dos países en los que se registraron ataques de ransomware a organismos gubernamentales. En España, por ejemplo, el ayuntamiento de Jerez de la Frontera también fue víctima de Ryuk, mientras que el Instituto Municipal de Empleo y Fomento Empresarial de Zaragoza fue impactado por el ransomware Sodinokibi.
Algunas de las principales razones por las que los organismos gubernamentales son un blanco de interés para los ataques de ransomware -y que desarrollaremos más adelante en este artículo-, están relacionados a aspectos como la importancia que tiene la continuidad del servicio que brindan y el impacto que provoca un ataque de esta naturaleza, así como la sensibilidad de los datos e información con la que muchas veces que trabajan, la falta de inversión en seguridad o la poca capacitación que muchas veces existe en el sector público en relación a estos temas.
Teniendo en cuenta que el objetivo detrás de un ataque de ransomware es financiero, aspectos como la sensibilidad de los datos que maneja o los recursos económicos de un blanco son elementos clave para ser considerados de interés. Pero también lo son las posibles vulnerabilidades que puede presentar su ecosistema, la criticidad del servicio que brindan, o las probabilidades de que los trabajadores estén más o menos capacitados para reconocer ataques de phishing. En este sentido, los organismos gubernamentales cumplen con muchas de estas características que los convierten en un objetivo de interés.
Vale aclarar que cuando hablamos de organismos gubernamentales nos referimos a cualquier institución o entidad creada para una función específica y que esté a cargo de la administración del estado. En este sentido, un organismo gubernamental puede ser desde un ministerio o entidad dependiente del mismo, la fuerza policial, un ayuntamiento o un hospital, aunque en el último tiempo los más afectadas por los ataques de ransomware en el sector público han sido los gobiernos locales y los centros de salud.
De acuerdo con la última edición del Data Breach Investigation Report (DBIR) 2020 elaborado por Verizon, informe en el que participaron contribuyentes de 81 países, “el ransomware es un gran problema para el sector gubernamental, con atacantes motivados por objetivos financieros que utilizan el ransomware para atacar a un amplio espectro de entidades gubernamentales”. De acuerdo con el reporte, el 61% de los incidentes de seguridad vinculados al malware que afectaron a organismos gubernamentales corresponden al ransomware. Generalmente, explica el reporte, este malware suele ser descargado por otro código malicioso que comprometió el equipo de la víctima en una primera instancia o ser instalado directamente por el atacante una vez que obtuvo acceso al sistema.
Y si bien de acuerdo a los últimos datos analizados, que son hasta 2019, el ransomware no es un tipo de ataque que derive en una fuga de datos confidenciales, si consideramos que en lo que va de este año se consolidó una tendencia que comenzó a manifestarse hacia fines de 2019, que es la extorsión por parte de los operadores detrás de muchas familias de ransomware que amenazan a sus víctimas con hacer pública la información robada si no pagan el rescate para recuperar los archivos -generalmente cifrados-, el escenario a futuro de los ataques de ransomware a organismos gubernamentales podría tener un nuevo capítulo. A esto debemos sumar que desde hace desde el 2018 a esta parte los ataques de ransomware se han vuelto más dirigidos y menos masivos, lo que demuestra también que los cibercriminales eligen a sus blancos de forma más estratégica.
Ahora bien, las razones que convierten a los organismos gubernamentales en un blanco de interés para los cibercriminales son:
1. Urgencia por mantener la continuidad
Dado que los organismos gubernamentales suelen ser entidades vinculadas a un servicio (en algunos casos esencial) que se brinda a la comunidad en general, la imposibilidad de llevar adelante sus operaciones con normalidad puede generar en mayor o menor medida un impacto en las actividades que realiza parte de la población o en su forma de vida, por lo que suelen tener la presión de necesitar resolver el incidente con la mayor rapidez posible para garantizar la disponibilidad del servicio que brindan. Esto ofrece ciertas ventajas a los cibercriminales a la hora de negociar el pago de un rescate.
2. Volumen y sensibilidad de los datos
Los organismos gubernamentales suelen manejar grandes volúmenes de datos e información personal relacionada con las actividades que realizan los ciudadanos. Según el reporte de Verizon, el 51% de los datos comprometidos en una brecha de datos que afectó al sector público corresponde a información personal.
3. Falta de inversión y capacitación
Las limitantes económicas de estas instituciones, que suelen trabajar a partir de recursos obtenidos de las partidas presupuestarias, llevan a no poder invertir lo que deberían en ciberseguridad. Esto se traduce en la imposibilidad de trabajar con los profesionales necesarios -sobre todo las dependencias con menor cantidad de personal-, gestionar adecuadamente la seguridad de los recursos tecnológicos que utilizan, o invertir en capacitación.
Según un informe publicado por Deloitte sobre ataques de ransomware a organismos gubernamentales, teniendo en cuenta que el factor humano es clave y que solo es necesario un clic indebido para que toda una red se vea comprometida, la formación de los trabajadores con respecto a las buenas prácticas en el uso de la tecnología es fundamental. Sin embargo, los programas de capacitación cuestan tiempo y dinero, y para este tipo de organismos limitados por un presupuesto, esto es muchas veces algo imposible de realizar. Por si fuera poco, la escasez de profesionales en este campo hace que sea difícil para este sector atraer y retener al talento. De acuerdo con una encuesta sobre ciberseguridad realizada por Deloitte, desde el año 2010 que la falta de presupuesto ha sido la principal preocupación para los CISOs.
4. Vulnerabilidades
Vinculado al punto anterior, además de la falta de recursos, los procesos de transformación digital al que han sido sometidos muchos servicios y organismos gubernamentales no siempre han estado acompañados por la perspectiva de la seguridad. Esto provoca que no existan políticas para gestionar correctamente la seguridad de la tecnología, como son políticas de actualización de software, planes de capacitación, entre otros. En este sentido, el uso de software y/o sistemas operativos obsoletos en los dispositivos utilizados en muchas de estas entidades también supone un riesgo para la seguridad, ya que esto quiere decir que su infraestructura está expuesta a una mayor cantidad de posibles ataques, convirtiendo a estos organismos en blancos fáciles de vulnerar.
Lectura relacionada: 5 acciones de seguridad que resultan clave para la productividad de una organización
5. El Estado como fuente de dinero
Si bien como dijimos anteriormente, los organismos gubernamentales suelen trabajar con un presupuesto definido, lo cual los lleva muchas veces a no considerar a la seguridad como una de sus prioridades, el incremento en la contratación de seguros frente a un posible ataque informático ha jugado un rol importante, asegura el informe elaborado por Deloitte. “Para muchas organizaciones gubernamentales, transferir el riesgo a una aseguradora puede ser una estrategia económicamente más efectiva, sumado a que el mercado ha demostrado que para las aseguradoras resulta un negocio atractivo”, explica.
Muchas entidades han hecho uso de la póliza para superar el incidente, ya sea restaurando sus sistemas o en caso de que decidan realizar el pago del rescate. En este sentido, y sobre todo teniendo en cuenta que muchas de estas entidades no cuentan con planes de recuperación ante ataques de ransomware, varias entidades gubernamentales han decidido pagar a los cibercriminales al considerar que el costo económico es menor que el de restaurar el servicio por su cuenta. Este el caso del consejo de la ciudad de Riviera Beach y el municipio de Lake City, ambos en Florida, aunque algunas iniciativas en algunos estados del país norteamericano consideran prohibir a los municipios pagar a los cibercriminales.
6. Superficie de ataque
Ante la necesidad de proveer sus servicios a través de medios digitales, los gobiernos se han visto en la necesidad de incrementar el número de computadoras que utilizan. En este sentido, cada uno de estos equipos es un potencial punto de acceso para un ataque de malware, lo que ha provocado un aumento de la superficie de ataque y sin contar muchas veces con los recursos necesarios en materia de ciberseguridad para proteger adecuadamente la totalidad de los equipos. La realidad indica también que no solo hablamos de computadoras, sino cámaras en la vía pública conectadas a redes de una entidad gubernamental local, así como muchos otros dispositivos IoT utilizados para diversos fines, donde todos estos dispositivos podrían ser vulnerables a un posible ataque si no se toman los recaudos o se realiza el mantenimiento suficiente.
Pagar o no pagar
Si bien este parece ser el dilema, lo que siempre se recomienda es no pagar por el rescate, sobre todo porque no existen garantías de que los cibercriminales permitan recuperar los archivos una vez realizado el pago. De acuerdo con una encuesta a 1200 profesionales de la seguridad citada en el estudio realizado por Deloitte, menos de la mitad de las víctimas de un ataque de ransomware que decidieron pagar recuperaron el acceso a los datos.
Por otra parte, es importante tener en cuenta que la decisión de pagar implica alimentar la industria del cibercrimen, que muchas veces tiene presente cuál es el costo que representa para su víctima recuperarse de un ataque y a partir de ello fijan el monto del rescate. A modo de ejemplo, la recuperación del ataque de ransomware que afectó a la ciudad de Baltimore significó un costo de al menos USD 18.2 millones, mientras que los atacantes demandaban USD 76.000 para recuperar los archivos.
La mejor decisión sin lugar a duda es la prevención y tomar medidas para minimizar los riesgos robusteciendo la seguridad del entorno, aunque claro, todo esto requiere de inversión.
Para más información, recomendamos leer nuestra guía de ransomware; un documento que explica todo sobre este tipo de código malicioso.
Lectura relacionada: Hospitales: uno de los principales blancos de ciberataques