Ocho consejos para protegerse del 'ransomware'

Los sistemas informáticos de la ciudad de Durham y del condado de Durham en Carolina del Norte se cerraron después de que un exitoso ataquede tipo ransomware golpeara a sus ayuntamientos en la tarde del pasado 6 de marzo. Aunque no conocemos los detalles al completo, la Oficina de Investigación de Carolina del Norte indicó que los atacantes usaron malware de fabricación rusa conocido como Ryuk.

Durham se une a una lista creciente de gobiernos locales que se enfrentan al último azote de seguridad que ataca al país: los ataques de ransomware contra sistemas de gobierno locales mal fortificados y mal preparados para recuperarse de estos asaltos. Los gobiernos municipales como Durham son objetivos atractivos para los atacantes de los rescates, ya que cada vez más gobiernos son tomados como rehenes con mayor frecuencia y por más dinero, según un nuevo informe publicado por el Center for Government Insights de Deloitte que examina las tendencias de los ataques con rescates a los gobiernos estatales y locales.

Según dicho informe, en 2019 los gobiernos informaron de 163 ataques de ransomware, un aumento de casi el 150% desde 2018, con más de 1,8 millones de dólares pagados en rescates y decenas de millones de dólares gastados en gastos de recuperación. Los presupuestos ajustados, una creciente superficie de ataque y el inadecuado talento de la ciberseguridad son las principales razones por las que las ciudades luchan contra los ataques, según el informe.

Por qué los municipios son los blancos favoritos de los rescates

La mayor superficie de ataque está surgiendo a medida que las ciudades despliegan más computadoras y conectan sus redes a una mayor variedad de servicios, desde sistemas de semáforos hasta ambulancias y camiones de basura, según Deloitte. Al mismo tiempo, los ajustados presupuestos fiscales limitan los esfuerzos de modernización de las ciudades, incluida la adopción de nuevas herramientas de ciberseguridad. Por último, el informe indica que los gobiernos locales luchan por atraer el talento en materia de ciberseguridad. También se señala que una encuesta bianual de seguridad cibernética de NASCIO/Deloitte encontró que la falta de presupuesto es la principal preocupación de los CISO a nivel estatal cada año desde 2010.

"Los gobiernos locales y estatales no han invertido sistemáticamente en la cibernética porque no tienen la financiación", cuenta a CSO Srini Subramanian, director de Deloitte & Touche y líder del sector de la educación cibernética estatal y superior. "El segundo es la proliferación de servicios que necesitan ofrecer a sus ciudadanos en un medio en línea y basado en Internet. La tercera es que el estado y los locales realmente no tienen la oportunidad de seguir trayendo talento cibernético."

Los pagos de rescates de los seguros cibernéticos podrían aumentar el riesgo de 'ransomware'

Otro factor que impulsa el aumento del número de ataques municipales con ransomware es la creciente prevalencia de los seguros cibernéticos entre los gobiernos estatales y locales. "Creemos que parte del problema, la razón por la que hay más pagos de rescates –por parte de los gobiernos locales– se debe potencialmente al seguro cibernético. Las aseguradoras cibernéticas creen que el pago de rescates es probablemente la forma más rápida de que los servicios vuelvan a estar en línea y posiblemente una forma más rentable de hacer frente a un ataque", dice Subramanian, dando a los atacantes un mayor incentivo financiero para atacar las ciudades.

Los costos de negarse a pagar el rescate suelen ser elevados aunque, como se señala en el informe, negarse a pagar a los atacantes es la opción "más basada en principios". La ciudad de Baltimore se negó a pagar a los atacantes el rescate de los 76.000 dólares que exigieron después de un ataque con rescate en mayo de 2019. Esa decisión terminó costándole a la ciudad unos 18,2 millones de dólares en gastos de restauración y pérdida de ingresos.

Las aseguradoras también están presionando a los municipios porque como producto el seguro de ciberseguridad es actualmente bastante rentable. Por cada dólar en primas cobradas a los titulares de las pólizas, las aseguradoras pagaron aproximadamente 35 centavos en reclamaciones, haciendo que el seguro cibernético sea casi el doble de rentable que otros tipos de seguros, según el informe de Deloitte.

Las recomendaciones para la protección de los rescates

Subramanian cree que los gobiernos locales dejarán de pagar rescates porque se darán cuenta de la necesidad de mantener copias de seguridad robustas y copias de seguridad que estén fuera de las instalaciones o lejos de las principales redes municipales. "Así que si pueden tener una sólida y robusta copia de seguridad y mecánica de restauración y tienen confianza en ello, entonces la mayoría de los gobiernos locales van a volver y decir, 'bueno, sabes qué, no vamos a pagar el rescate y vamos a restaurar a partir de nuestras copias de seguridad.'"

El informe de Deloitte ofrece varios consejos a los municipios preocupados por los ataques ransomware:

• Mantengan los datos críticos compartimentados para que sea más difícil que el software de rescate los cifre.
• Deshabilitar los servicios extraños en los dispositivos conectados.
• Poner en marcha políticas que prohíban revisar el correo electrónico personal o jugar en hardware crítico.
• Desarrollar copias de seguridad.
• Entrenar a todos los empleados para que sean más conscientes de la ciberseguridad.
• Usar ejercicios de juegos de guerra para simular ataques de rescate.
• Parchear y actualizar los sistemas y el software de manera oportuna.
• Comunicarse y colaborar con organizaciones afines para compartir información y aprender de los éxitos y fracasos de cada uno.

Un último consejo es que no asumir que si han sido objeto de ataque no volverá a ocurrir. Una tendencia que los investigadores de Deloitte esperan que surja es que las municipios que fueron golpeadas una vez con un ransomware es probable que vean a sus atacantes hacer una visita de regreso. "Incluso si tienen éxito en la recuperación de las operaciones después de ser rescatados, es sólo cuestión de tiempo antes de que sean atacados de nuevo", dice Subramanian.

"Todavía estamos en las primeras etapas de este ciclo de vida en las que no hemos visto a los mismos gobiernos municipales ser golpeados varias veces todavía", dice. Por eso Deloitte está presionando a sus clientes para que confíen en su capacidad de sobrevivir a otro ataque con rescate. "Les estamos diciendo que se centren en esa capacidad de recuperación en el plazo inmediato, lo que implica la capacidad de hacer copias de seguridad y restaurarlas y mantenerlas seguras frente a los ataques de ransomware".