Sur de la Florida

Cómo los estafadores cibernéticos roban dinero e información a ciudades en la Florida

Durante un período de solamente ocho semanas, cuatro municipalidades de la Florida informaron de penetraciones de seguridad en su red informática.

Riviera Beach y Lake City pagaron respectivamente rescates $600,000 y $460,000 para que piratas informáticos le devolvieran el acceso a sus redes. Naples tuvo que pagar $700,000. Por su parte, Key Biscayne reportó un “suceso” de seguridad informática pero los funcionarios municipales se han negado a decir que se robaron algo, citando una investigación en curso.

Expertos en seguridad informática dicen que este tipo de ataques a municipalidades probablemente siga aumentando.

Sri Sridharan es el director de Cyber Florida, una alianza de seguridad cibernética de gobiernos y organizaciones académicas y privadas Sridharan señala que las 50,000 plazas vacantes de seguridad informática en todo el estado son un reflejo de la fuerte demanda de este tipo de especialistas. Al mismo tiempo, los magros presupuestos de seguridad informática a nivel municipal, además de plazas que pagan mucho más en el sector privado, dificultan a los directivos de tecnología informática del gobierno contratar y retener buenos empleados.

“Vienen y nos hacen esta pregunta: ‘Tenemos mucha información sobre los contribuyentes, información personal identificable de los ciudadanos, y tenemos que resguardar todo eso. Pero no tenemos fondos en el presupuesto para ello, y si conseguimos el dinero no encontramos personal. ¿Qué hacemos?’ ”, dijo Sridharan.

Además de la falta de recursos, los departamentos informáticos municipales enfrentan ataques cibernéticos en más frentes que las empresas privadas.

Las municipalidades —que por ley tienen que revelar la información de contratos, presupuestos y empleados— son susceptibles a operaciones de penetración informática llamadas phishing, como es el caso del ataque recientes en Naples, Florida. El phishing ocurre cuando el pirata informático trata de conseguir que el destinatario de un correo electrónico haga clic en un enlace haciéndose pasar por alguien de confianza. En el caso de Naples, los piratas usaron la dirección de correo electrónico de una compañía de construcción contratada para un proyecto, y lograron llevarse $700,000 en dinero de los contribuyentes antes que las autoridades se dieran cuenta.

El dinero es una gran motivación, pero los piratas no siempre buscan eso. La información personal identificable también puede usarse para el robo de identidad.

“Las agencias del gobierno recopilan, usan y comparten una gran cantidad de información personal de los ciudadanos”, dice Srini Subramanian, directivo de Servicios contra Riesgo Informático de Deloitte. Esa información personal, en forma de cuentas bancarias o información de propiedades, se recoge cuando los habitantes pagan sus cuentas de agua o compran una vivienda.

“Buena parte de esa información termina en el sector ilegal de la web y es asombrosamente barata”, dice Miloslava Plachkinova, directora interina del programa de seguridad cibernética de la Universidad de Tampa. Los números del Seguro Social se venden en tan poco como $2 y la información de cuentas bancarias se vende entre $10 y $25. Los registros médicos también se pueden comprar en la llamada web oscura, de lo que se aprovechan los delincuentes para estafar a compañías de seguro.

Sagar Samtani, profesor adjunto de la Universidad del Sur de la Florida, dice que después que los piratas identifican un objetivo, por lo general empiezan por tratar de buscar una vulnerabilidad en el sistema. “Una vez que penetran el sistema, se dedican a buscar otros activos”, como bases de datos con información de los clientes, explica Samtani.

Cuando los piratas logran penetrar las redes de las empresas, los hospitales, municipalidades y compañías privadas pueden decidir no anunciar el ataque, o las pueden alentar a no anunciarlo para preservar la integridad de las investigaciones.

Los llamados programas maliciosos pueden permanecer inactivos durante meses en una red informática, lo que dificulta compilar estadísticas precisas de los delitos cibernéticos.

“Para poder reportarlo primero hay que detectarlo”, dice Kevin Stine, jefe de la División de Seguridad Cibernética Aplicada del Instituto Nacional de Normas y Tecnología, a su vez del Laboratorio de Información Tecnológica. “Es muy posible que muchos ataques pasen desapercibidos, quizás no por mucho tiempo, pero bastante tiempo después de ocurridos”.

Si una municipalidad es víctima de un hackeo, Plachkinova dice que pagar el alto costo de restaurar los sistemas es preferible, sin importar el costo. Por lo general la extorsión se paga en bitcoin, la divisa digital que es difícil de rastrear.

En mayo, la ciudad de Baltimore se negó a pagar un rescate de 13 bitcoins, aproximadamente $75,000, a los piratas en el momento del ataque. Esa decisión le costó a Baltimore $18 millones en medidas de recuperación y productividad perdida en los departamentos municipales. Meses después, la ciudad finalmente ha empezado a enviar retroactivamente facturas de agua, dejando a los vecinos atónitos ante el costo del agua usada durante cuatro meses.

“Las ciudades pagan el rescate y siguen adelante, pero no se dan cuenta de que este dinero se usa para financiar a los grupos y organizaciones de piratas informáticos”, dice Plachkinova. “Van a seguir operando, quizás no ataquen otra vez a la misma compañía, sino a cualquier otra”.

Históricamente, las víctimas de extorsiones cibernéticas reportadas se niegan a pagar, pero eso ha comenzado a cambiar. Algunas ciudades y estado ya tienen seguro contra este tipo de peligro, lo que significa que los contribuyentes solamente tienen que pagar el deducible de la reclamación. En Lake City, el gobierno municipal pagó solamente $10,000 por la reclamación de casi medio millón de dólares.

“No estoy seguro de que esto pueda sostenerse”, dice Subramanian de las compañías de seguro que cubren el pago de rescates. “Tampoco es la respuesta a la capacitación y medidas que las compañías pueden y deben implementar para proteger sus sistemas”.

En el caso de Lake City, el ex jefe de Informática de esa municipalidad demandó al gobierno local por el ataque después que las autoridades municipales lo culparon y despidieron, reportó The New York Times. Brian A. Hawkins dijo que había advertido al municipio sobre los problemas de seguridad informática y había defendido la compra de un sistema de respaldo en la nube.

Los expertos no concuerdan en si todos los gobiernos municipales deben tener seguro contra extorsión informática y es difícil conseguir cifras precisas porque la dar a conocer la cobertura de seguro pudiera ser una invitación a los hackers que buscan un objetivo dispuesto a pagar la extorsión.

El problema es que los pagos pueden aumentar las primas y alentar la comisión de delitos informáticos en el futuro.

“Creo que estamos en las primeras etapas de los seguros contra extorsión cibernética”, dice Subramanian, quien señala que el sector tiene solamente información correspondiente a unos 20 años para su análisis. “Hay una cantidad pequeña de muestras para poder determinar el riesgo y determinar el costo del seguro contra ese riesgo”.

“En los últimos seis meses a un año hay una tendencia de las municipalidades a pagar los rescates porque parte del seguro cubre eso”, dice Subramanian.

9654010148.JPG
La ciudad de Naples, en la Florida, fue víctima de un ataque cibernético, la cuarta ciudad del estado en ser golpeada por piratas informáticos en menos de dos meses. Los ladrones se llevaron $700,000 antes que nadie se diera cuenta. Jay Clarke Miami Herald File

Los sistemas de respaldo regular son cruciales para la seguridad de las redes, pero para organizaciones víctimas de extorsión cibernética hay herramientas gratis a través de Emsisoft y Kapersky, o del proyecto No More Ransom de Europol. Estas herramientas intentan identificar el tipo de código intruso y contrarrestarlo.

Tomando en cuenta que la información personal puede terminar a la vista de todos, es importante para cualquiera con presencia en la internet. Plachkinova alienta a las personas a prestar atención a las alertas de crédito y pensar seriamente en qué tipo de información las aplicaciones móviles tratan de acceder, así como si ciertas aplicaciones necesitan realmente tener acceso a esa información, como los juegos móviles que solicitan acceso a información de ubicación, textos y el micrófono y otros sensores del teléfono.

“Si la linterna le pide acceso a sus contactos y lista de correo electrónico, algo anda mal”, dice Plachkinova.

  Comentarios