Ataques de ransomware: un dolor de cabeza para los gobiernos federales, incluido el de México

La digitalización de los servicios gubernamentales ha sido un paso necesario para mejorar la eficiencia y accesibilidad de la administración pública. Sin embargo, esta evolución ha traído consigo una mayor vulnerabilidad a los ciberataques y, especialmente, a los ataques de ransomware. 

El ransomware es un tipo de malware que encripta los archivos de una víctima, bloqueando su acceso. Los atacantes demandan un rescate para liberar los datos. Además, puede provocar que los ciberdelincuentes difundan la información cifrada en caso de que no se les pague el rescate.

El reporte de Sophos sobre el estado del ransomware en el mundo revela que 68% de los ataques de ransomware a nivel global fueron contra instituciones de gobierno durante el año 2023. Pemex, la Lotería Nacional y la Comisión Nacional del Agua (Conagua) están entre las dependencias del gobierno federal que sufrieron un ataque de ransomware durante el sexenio del presidente Andrés Manuel López Obrador. 

Vulnerabilidades en gobierno mexicano

Manuel Moreno, directivo de la empresa mexicana de ciberseguridad IQSec, advierte en entrevista que muchos servicios digitales del gobierno mexicano están protegidos únicamente con usuario y contraseña, lo que los hace altamente susceptibles a ataques de ransomware. 

Uno de los métodos más comunes para obtener las credenciales necesarias para ejecutar un ataque de ransomware es la ingeniería social, especialmente a través de ataques de phishing. 

“Los usuarios son engañados para que hagan clic en enlaces fraudulentos que imitan sitios oficiales del gobierno. Estos enlaces, aprovechando un sentido de urgencia o la promesa de beneficios fáciles, inducen a los usuarios a introducir sus credenciales, las cuales son luego robadas y utilizadas para llevar a cabo los ataques”, dijo Moreno.

De acuerdo con el especialista en ciberseguridad, algunas instituciones están implementando métodos de autenticación más robustos, como la biometría y los certificados digitales; no obstante, estos casos son todavía minoritarios.

Además de la debilidad en la autenticación, Moreno destaca que una vulnerabilidad recurrente en el gobierno mexicano es la falta de aplicación de parches de seguridad. Las infraestructuras de TI gubernamentales son complejas, ya que combinan componentes locales y en la nube en ambientes híbridos. 

“Mantener una visibilidad completa y actualizada de todos los activos de información es un desafío, lo que dificulta un parcheo eficiente y deja brechas que pueden ser explotadas por los atacantes”, dijo.

Nuevo gobierno

Con la entrada del gobierno de Claudia Sheinbaum, el próximo 1 de octubre, es imperativo implementar mejoras tanto regulatorias como tecnológicas para limitar los ciberataques. Manuel Moreno sugiere que una prioridad debe ser establecer un marco jurídico que considere los ciberataques a infraestructuras críticas como delitos graves y perseguibles de oficio. Este cambio desalentaría la actividad de los atacantes. Además, es crucial una mayor inversión en ciberseguridad, viendo la protección de los activos críticos como una necesidad esencial para preservar el orden social.

La política de austeridad en el actual sexenio ha afectado negativamente el presupuesto destinado a ciberseguridad. El directivo de IQSec menciona que aunque se ha promovido el uso de software libre, esta práctica debe ir acompañada de servicios consultivos y de formación especializada. 

“Existe una escasez de talento en ciberseguridad, especialmente en el ámbito gubernamental, donde la presión es mayor. Por ello, es necesario destinar recursos tanto para tecnología como para la formación de nuevos profesionales en ciberseguridad”, dijo.

Moreno advierte que la protección cibernética debe abordarse desde tres aristas: personas, procesos y tecnología. Es fundamental formar especialistas en ciberseguridad, establecer procesos robustos de gestión de riesgos y adoptar tecnologías avanzadas para crear una defensa integral. Solo así se podrá alcanzar un nivel de protección adecuado y tolerable para las organizaciones gubernamentales, acorde con su perfil de riesgo.

rodrigo.riquelme@eleconomista.mx