Una campaña de ransomware dirigida a 23 ciudades de EE. UU. En Texas ha generado serias preocupaciones sobre la vulnerabilidad de los gobiernos locales y los servicios públicos a los ataques cibernéticos. Estos eventos se producen poco después de ataques similares contra organizaciones gubernamentales y comerciales en Indiana, Florida y otros lugares. Reflejan un cambio general en las tácticas de ransomware desde los ataques de "rociar y rezar" contra un gran número de consumidores individuales, a "caza mayor, "que se dirige a organizaciones, generalmente a través de personas en posiciones de poder.

Un informe reciente de la empresa de seguridad cibernética Malwarebytes encontró un aumento del 363% en las detecciones de ransomware contra empresas y organizaciones (a diferencia de las personas) de 2018 a 2019. En pocas palabras, Los ciberdelincuentes ven la oportunidad de extorsionar mucho más dinero a las organizaciones que a los individuos. Aunque se descubrió que la mayoría de los ataques de ransomware ocurren en los EE. UU., los gobiernos locales de todo el mundo son igualmente vulnerables.

El ransomware generalmente se propaga a través de correos electrónicos de phishing o enlaces a sitios web infectados. confiar en el error humano para acceder a los sistemas. Como sugiere su nombre, ransomware está diseñado para bloquear el acceso a los datos, sistemas o servicios hasta que se pague un rescate. A nivel técnico, las ciudades tienden a ser objetivos bastante fáciles porque a menudo tienen sistemas operativos personalizados, con piezas viejas y desactualizadas, así como medidas de respaldo ineficaces.

Las ciudades también tienden a carecer de políticas de seguridad para todo el sistema, por tanto, si los ciberdelincuentes acceden a través de un sistema, luego pueden acceder a otros y causar estragos al congelar datos esenciales e impedir la prestación de servicios. Pero incluso si las organizaciones han mejorado su seguridad técnica, Mi investigación con mi colega Lena Connolly ha encontrado que pocos ponen el mismo énfasis en capacitar a los empleados para identificar y resistir ataques.

Objetivo localizado

Empleados en muchas organizaciones pequeñas y medianas, como los gobiernos locales, a menudo no reconocen el verdadero valor comercial de su organización para los delincuentes, y, por lo general, piensan que es poco probable que sean un objetivo. Como resultado, también pueden desarrollar malos hábitos, como el uso de sistemas de trabajo por motivos personales, que pueden aumentar la vulnerabilidad.

Los delincuentes harán su tarea antes de lanzar un ataque, con el fin de crear la alteración más grave posible. Después de todo, mayor es la presión para pagar el rescate, cuanto más alta puedan fijar la tarifa.

Los atacantes identifican a personas clave para atacar y buscan vulnerabilidades, como computadoras que se han dejado encendidas fuera del horario laboral, o no se han actualizado. Una vez que hayan determinado a quién dirigirse, los ciberdelincuentes utilizan técnicas de "ingeniería social", como el phishing, que manipulan psicológicamente a las víctimas para que abran un archivo adjunto de correo electrónico o hagan clic en un enlace, que permite que el programa ransomware ingrese al sistema operativo de la organización.

¿Pagar o no pagar?

Pagar o no el rescate no es una decisión sencilla para las autoridades de la ciudad con servicios públicos vitales en juego. La mayoría de las agencias policiales instruyen a las víctimas a no pagar, pero como alcalde Stephen Witt de Lake City, Florida, lo expresó después de que su pupilo fuera atacado:"Con tu corazón, realmente no quieres pagarles a estos tipos. Pero, dólares y centavos, representando a los ciudadanos, Era lo que había que hacer."

Otro problema es que el ransomware no siempre se implementa para extorsionar dinero, por lo que pagar el rescate no garantiza que se restablezcan los datos. Los atacantes pueden tener diferentes motivos, habilidades y recursos:por lo tanto, es crucial resolver su motivo (a menudo con muy poca información).

En lugar de simplemente ganar dinero con ransomware, algunos ciberdelincuentes pueden intentar inhabilitar a los competidores del mercado que proporcionan bienes o servicios competidores. O, pueden usar los ataques para obtener ganancias políticas, para reducir la confianza del público en la capacidad de un gobierno local para brindar servicios esenciales. En esos casos, Es poco probable que los datos se restauren nunca, incluso si se paga el rescate.

Buscando cobertura

Muchas ciudades están aseguradas contra ataques, y las aseguradoras a menudo pagan el rescate para recuperar los datos robados, a veces empleando negociadores externos, en contra de los consejos nacionales. Irónicamente, el conocimiento de que es probable que se les pague a los ciberdelincuentes justifica el tiempo que dedican a investigar las debilidades de su objetivo, y deja la puerta abierta para repetir los ataques. Esta fue una de las razones por las que los ciberdelincuentes cambiaron de táctica y comenzaron a atacar a las organizaciones en primer lugar.

Esto deja a las autoridades de la ciudad una elección difícil, entre pagar para restaurar datos y servicios esenciales (y alentar a los ciberdelincuentes) o admitir que sus sistemas se han visto comprometidos y enfrentar una reacción social y política. Aún así, hay algunas medidas que las autoridades de la ciudad pueden tomar para protegerse, y sus ciudadanos, del ransomware.

Hoy dia, Las autoridades deben asumir que es una cuestión de cuándo, no si, ocurrirá un ataque. Deben instalar sistemas de respaldo para datos protegidos que tengan la capacidad de reemplazar los sistemas operativos y bases de datos infectados si es necesario. Por ejemplo, en el Reino Unido, La investigación encontró que el 27% de las organizaciones gubernamentales locales fueron blanco de ransomware en 2017. Sin embargo, el 70% de sus 430 encuestados tenían sistemas de respaldo implementados, en preparación para el Reglamento General de Protección de Datos de la UE (GDPR), y, por lo tanto, podrían recuperarse de un ataque de ransomware mucho más rápido que sus contrapartes en los EE. UU.

Las autoridades locales deben separar sus sistemas de datos siempre que sea posible e instalar niveles adecuados de seguridad. También necesitan capacitar a los empleados sobre la naturaleza de la amenaza y los impactos de sus propias acciones cuando trabajan dentro de los sistemas de la organización. También deben conocer los esquemas internacionales para prevenir y mitigar el ransomware (como nomoreransom.org), que brindan asesoramiento y publican las claves de algunos ransomware en línea.

Las organizaciones públicas deben poder pensar rápidamente y adaptarse a estas nuevas amenazas de seguridad, especialmente porque los ciberdelincuentes siempre están ideando nuevas técnicas. Los gobiernos locales deben estar preparados para prevenir simultáneamente ciberataques, mitigar sus efectos cuando ocurran y llevar a los ciberdelincuentes ante la justicia.

Este artículo se ha vuelto a publicar de The Conversation con una licencia de Creative Commons. Lea el artículo original.