El cibercrimen avanza en la Administración Pública poniendo en jaque sus defensas durante el último año

John Shier, CTO de  SOPHOS

---

Más de la mitad (58%) de las instituciones gubernamentales se vieron afectadas por el ransomware en 2021, frente al 34% en 2020. Este aumento del 70% en un año demuestra la rápida aceleración del desafío en materia de ciberamenazas al que se enfrenta el sector público. En términos más generales, la mayoría de los responsables de TI que trabajan en el sector observaron un aumento en el volumen (59%), la complejidad (59%) y el impacto (56%) de los ciberataques durante el último año. A medida que los ciberdelincuentes sigan sirviéndose de la automatización y el modelo de “malware como servicio” en sus ataques, estas cifras no harán más que aumentar.

El impacto de las ciberamenazas avanzadas en el sector público es grave. Un ciberincidente importante tiene unas repercusiones financieras y operativas muy considerables dentro de la Administración Pública. En 2021, el coste medio de remediar un ataque de ransomware fue de 660.000 dólares, y casi la mitad (42%) de los datos cifrados no se recuperaron después del incidente. Los costes de recuperación son solo una parte de la historia. La gran mayoría (82%) de los organismos afectados por el ransomware afirmaron que el ataque afectó a su capacidad de operar. Si los sistemas informáticos dejan de funcionar, la capacidad de una agencia gubernamental para prestar servicios críticos suele verse gravemente mermada, lo que en última instancia podría afectar a la seguridad nacional, las infraestructuras y la economía. La recuperación también puede llevar mucho tiempo, ya que más de una quinta parte (21%) de las víctimas de ransomware en estas organizaciones tardan entre una y seis semanas en volver a la normalidad después del ataque.

Las amenazas actuales requieren de una respuesta coordinada y oportuna. Desgraciadamente, demasiadas organizaciones están atrapadas en el modo reactivo. Y esto no solo tiene un impacto sobre las prioridades del negocio, sino que también conlleva un coste humano considerable, ya que más de la mitad de los encuestados confiesa que los ciberataques les quitan el sueño. Eliminar las conjeturas y aplicar controles defensivos basados en inteligencia aplicable permitirá a los equipos de TI centrarse en habilitar el negocio, en lugar de intentar apagar los continuos incendios de los ataques activos.

Podemos afirmar que la realidad es que las soluciones tecnológicas por sí solas no pueden evitar todos los ciberataques. Para no ser detectados por las soluciones de ciberseguridad, los ciberdelincuentes se sirven cada vez más de herramientas de TI legítimas, utilizan credenciales y permisos de acceso robados, y aprovechan vulnerabilidades sin parchear en sus ataques. Al hacerse pasar por usuarios autorizados y explotar los puntos débiles en las defensas de una organización, los ciberdelincuentes pueden evitar la activación de las tecnologías de detección automatizadas. La única manera de detectar y neutralizar de forma fiable a los ciberatacantes es prestando una especial atención 24/7 con operadores expertos que se sirvan de diversas alertas de seguridad e información sobre amenazas en tiempo real para identificar y detener las amenazas antes de que provoquen daños. Sin embargo, la complejidad de los entornos operativos modernos y la velocidad de las ciberamenazas hacen que sea cada vez más difícil para la mayoría de las organizaciones gestionar con éxito la detección y la respuesta a las amenazas por su cuenta. Organizaciones de todos los sectores, incluido el sector público, luchan por seguir el ritmo de adversarios bien financiados que innovan e industrializan continuamente su capacidad para evadir las tecnologías defensivas.

Uno de los mayores riesgos para las organizaciones hoy en día son los adversarios activos, actores de amenazas que adaptan sus técnicas, tácticas y procedimientos (TTP) sobre la marcha, utilizando acciones prácticas en tiempo real en respuesta a las acciones de las tecnologías de seguridad y los defensores, y como táctica para eludir la detección. Estos ataques, que a menudo dan lugar a devastadores incidentes de ransomware y violaciones de datos, se encuentran entre los más difíciles de detener.

Permitir que los defensores superen a los atacantes en la carrera de la ciberseguridad de 2023 requiere un enfoque integral, pero sencillo. Los servicios gestionados de ciberseguridad de detección y respuesta ante amenazas, por tanto, son clave a la hora de hacer frente a la nueva industrialización del cibercrimen, tanto para la protección de organismos públicos como privados, ya que reducen el riesgo y los costes asociados a los incidentes en ciberseguridad.

A lo largo de este artículo hemos resaltado la importancia de avanzar y eliminar el modelo reactivo ante incidentes y en cómo el tiempo de respuesta es determinante a la hora de protegernos frente al nuevo modelo de ciberataques. Sophos Managed Detection and Response ofrece el respaldo de un equipo de expertos que detectan y responden a ciberataques dirigidos con un tiempo medio de respuesta de 38 minutos, que es considerablemente más rápido que la media de los equipos internos.

Sophos MDR protege a cientos de organismos gubernamentales, lo que nos aporta una experiencia con una profundidad y amplitud sin precedentes sobre las amenazas a las que se enfrenta el sector público. Nos servimos de esta extensa telemetría para generar inmunidad comunitaria, aplicando lo aprendido al proteger a un proveedor a todos los demás clientes del sector, reforzando así las defensas de todos. 

 

Por John Shier, CTO de Sophos