Cuando hablamos de ciberataques solemos poner el foco en multinacionales o grandes administraciones públicas, pero en ocasiones las víctimas son mucho más pequeñas y están más indefensas. El pasado mes de julio cundió el pánico en Louisiana, cuando un malware se apoderó de un número creciente de equipos informáticos, todos ellos pertenecientes a servicios públicos. Los más afectados fueron varios colegios, que tuvieron que paralizar el funcionamiento de su sistema informático por culpa del ataque, que consiguió cifrar archivos sensibles sin que fuese posible recuperarlos.

Pese a ser un ataque de ámbito local, su gravedad fue tal que las autoridades tuvieron que recurrir a expertos en ciberseguridad de la Guardia Nacional de Louisiana, la Policía Estatal de Louisiana y la Oficina de Servicios Tecnológicos para solucionar el problema.

No es el único ejemplo reciente. En mayo, la ciudad de Baltimore también tuvo que detener su sistema informático, ya que un ciberataque había afectado a servicios básicos de la administración local como los correos electrónicos, las líneas de teléfono y las pasarelas de pago online de las facturas. Algo similar pasó en el ayuntamiento de Albany, en Nueva York, que en marzo sufrió un ciberataque que afectó tanto a su departamento de Policía como a servicios administrativos (la emisión de  licencias de matrimonio o de partidas de nacimiento, por ejemplo).

Lo peor de todo esto es que los casos se repiten a lo largo del tiempo. En Rivera Beach un ransomware procedente de un correo electrónico paralizó todos los servicios públicos de la ciudad, mientras que en Lake City y en Key Biscayne corrieron una suerte similar. Y encima tuvieron que pagar: Rivera Beach más de 600.000 euros y Lake City cerca de 420.000 euros.

Ciberataques dirigidos a servicios públicos_

Todos estos incidentes tienen dos aspectos en común. En primer lugar, se trata de ciberataques de ransomware dirigido. Frente a los tradicionales ataques masivos y lanzados contra multitud de empresas y organizaciones, los dirigidos tienen un ámbito de agresión mucho más reducido, pero también más efectivo, dañino y costoso, ya que antes de ejecutar el ataque se ha analizado debidamente la mejor forma de forzar las diversas puertas de entrada de la víctima en cuestión.

En segundo lugar, toda esta actividad cibercriminal tiene un objetivo claro: los servicios de administraciones públicas, cuyo colapso puede provocar el caos en un ámbito territorial mucho mayor que cuando se ataca a una gran empresa.

Los ciberataques contra este tipo de organizaciones suelen ser variados. Una técnica recurrente es infectar los equipos a través de archivos maliciosos adjuntos en un email, pero las estrategias, con el paso del tiempo, cada vez se sofistican más. Es común también recurrir al malware sin archivo, que consigue secuestrar los equipos alterando el código, y los ataques Living-off-the-Land (LotL) , que hacen uso de herramientas legítimas del sistema para infectarlo y conseguir su objetivo sin que salten las alarmas. Por ello, estas dos últimas estrategias, especialmente habituales en los últimos tiempos, no son detectadas por las tradicionales soluciones de ciberseguridad.

Cómo proteger a las administraciones públicas_

Las diferentes administraciones públicas deben ser conscientes de que el cibercrimen ya no solo trata de desestabilizar la ciberseguridad empresarial de grandes compañías, sino que muchas veces resulta más efectivo dirigir los ataques hacia los servicios públicos, sobre todo cuando la víctima es una administración pequeña, que en principio tendrá menos recursos para protegerse.

Para evitar este tipo de ataque, los pequeños y grandes gobiernos deben asumir que el cibercrimen actual solo se puede prevenir y detener haciendo un análisis exhaustivo y en tiempo real de todo lo que acontece en el sistema informático de la administración. Todo ello a través de técnicas como el Threat Hunting, que busca posibles amenazas de manera proactiva e iterativa.

En este sentido, Cytomic Orion, parte de dos procesos tecnológicos para evitar estos peligros. Por un lado, la plataforma en la nube procesa grandes volúmenes de datos con algoritmos de inteligencia artificial (supervisados por expertos en ciberseguridad) que se encargan de la reducción de la superficie de ataque, prevención, detección y respuesta ante ciberataques de seguridad de cualquier naturaleza, ejecutados con cualquier tipo de malware conocido o desconocido, ransomware, APTs o técnicas LotL. Por otro lado, el servicio gestionado Zero-trust App Service que se basa en la nula confianza en la naturaleza de las aplicaciones que intentan ejecutarse en los endpoints, denegando su ejecución hasta que sea validado por el servicio.

Y es que cuando un servicio público deja de funcionar, una ciudad entera puede verse paralizada. Por eso el cibercrimen ya no solo apuesta necesariamente por las grandes corporaciones privadas como objetivo de sus actividades ilícitas, sino también por las administraciones públicas, así que estas deben ser conscientes el riesgo que asumen y obrar en consecuencia.