Los ataques de 'ransomware' plantean dilemas de comunicación para los gobiernos locales

En la madrugada del 3 de mayo, la ciudad de Dallas (Texas) fue golpeada por un ataque de ransomware que se atribuyó el grupo Royal. La policía de la ciudad, el cuerpo de bomberos, el pago del servicio del agua y los sistemas de desarrollo, entre otros, se vieron significativamente obstaculizados por el incidente, lo que obligó a muchos departamentos a volver a las comunicaciones escritas a mano y a radio. El informe posterior, a fecha de 31 de mayo, asegura que se completó más del 90% del trabajo para la restauración de los sistemas. Sin embargo, los departamentos que volvieron al trabajo manual seguían con la actualización de los registros en sus plataformas.

A lo largo del ataque y la remediación, aún en curso, la ciudad ha publicado poca información. “Esta es una investigación criminal. No podemos comentar detalles específicos que corren el riesgo de impedir la investigación o exponer vulnerabilidades que puedan ser explotadas”.

El 1 de junio, Catherine Cuellar, directora de comunicaciones, divulgación y marketing de Dallas, envió instrucciones por correo electrónico al alcalde y al concejo municipal para no compartir detalles sobre cómo se manejó el incidente. Les aconsejó que restringieran sus respuestas a tres declaraciones: “Gracias por su consulta” “Tengan la seguridad de que estamos trabajando con expertos y con la policía y nuestra investigación está en curso” y “Compartiremos actualizaciones según corresponda”.

La renuencia a compartir detallas destaca lo que, según muchos analistas, es un delicado equilibrio al que se enfrentan los gobiernos locales cuando comunican a los contribuyentes los detalles de los ataques de ransomware. Por un lado, los ciudadanos afectados deben conocer los datos básicos sobre los servicios interrumpidos. Y, por otro, divulgar demasiada información podría hacerle el juego a un atacante y posiblemente revelar información confidencial que podría envalentonar a los actores de amenazas o exponer al gobierno a una mayor responsabilidad.

Los servicios públicos responden de manera diferente a las empresas

Algunos residentes de Dallas se quejaron de la falta de detalles sobre el incidente. Un jubilado, Roger Stierman, que no podía pagar sus facturas declaró en un periódico local que “el mayor problema es la incertidumbre. Existe esta nube negra y simplemente no sé lo que está pasando en la ciudad”.

Michael Hamilton, exCISO de la ciudad de Seatle cree que “si bien los servicios están interrumpidos, debes darle a la gente al menos una razón de cómo y cuándo se reestablecerán los servicios. Retener información sobre esto impacta más a la ciudadanía”. 7

La necesidad de comunicarse con el público durante un ataque de ransomware es aún más imperativa  para los gobiernos locales que para las empresas, según Allan Liska, analista de inteligencia de amenazas de Recorded Future. “Creo que los municipios y los gobiernos, en general, tienen la obligación de ser más abiertos que las organizaciones privadas”, dice. "Porque un ataque de en una ciudad, pueblo o escuela afecta más que solo a esa entidad. Afecta a todos los que viven allí".

Liska estima que las ciudades son inusualmente herméticas cuando se trata de ataques de ransomware. "La mayoría de los pueblos y ciudades, estados, escuelas, sistemas escolares han tomado el camino opuesto [de ser transparentes]", dice. "Si alguna vez ha intentado enviar una solicitud FOIA [Ley de libertad de información] para obtener información sobre ataques de, se le dirá que no".

Munish Walther-Puri, director senior de infraestructura crítica en Exiger y ex oficial de enlace de Infraestructura y Servicios Críticos Cibernéticos (CCSI) en el Comando Cibernético de la Ciudad de Nueva York, asegura que la mayoría de los municipios enfrentan presiones diferentes a las que enfrentan las empresas. "Para una empresa del sector privado, sus abogados y asesores legales aconsejan: 'No diga nada, o si necesitamos divulgarlo en una presentación ante la SEC, entonces lo haremos", dice. "Pero para una ciudad, los servicios no están disponibles y los ciudadanos tienen un mecanismo para reconocerlo y denunciarlo".

Cuando los servicios no están disponibles en toda la ciudad, y mientras el personal todavía está tratando de averiguar qué está pasando, es esencial enviar al menos alguna forma de comunicación. "Hay algunos modelos, y rara vez los he visto en municipios y ciudades, donde se actualizarán regularmente y dirán, no tenemos una actualización, todavía estamos trabajando en eso", dice Walther-Puri. "A veces, simplemente afirmar eso puede ser una forma efectiva de comunicación porque le dice a la gente dos cosas. Una, es la validación de que algo está pasando, y dos, que te vas a comunicar con ellos incluso si no es más comunicación o profundidad, más comunicación de calidad Hay una frecuencia y pueden esperar que haya algún tipo de actualización. La tendencia es querer comunicar cuando se hace y cuando hay mucha confianza. Este tipo de comunicación de crisis es complicado cuando hay servicios ciudadanos en juego".