Saltar al contenido principal

Ciudades

20 de mayo de 2024

 

Bajo asedio cibernético: ¿Qué tan bien se protegen las ciudades?

  

Según una nueva investigación de RiskRecon, las ciudades no están descuidando las ciberamenazas, pero se necesita hacer más para proteger sus datos y evitar la interrupción de servicios críticos. 

Satta Sarmah Hightower

Colaborador

En los últimos seis meses, las ciudades estadounidenses, desde St. Cloud, Florida, hasta Wichita, Kansas, Long Beach, California y otras, fueron blanco de ataques cibernéticos, poniendo en peligro servicios públicos vitales. Sin embargo, un estudio reciente muestra que muchas ciudades se tomaron en serio estas amenazas y están trabajando para reforzar su resiliencia cibernética.

RiskRecon, una compañía de Mastercard y proveedor líder de calificaciones y evaluaciones de ciberseguridad, estuvo analizando cómo 271 ciudades en los EE. UU. cambiaron su postura de seguridad en los últimos tres años. En agosto de 2021, la compañía evaluó estas ciudades y asignó calificaciones basadas en su desempeño en nueve áreas de seguridad, que van desde la seguridad de las aplicaciones hasta el alojamiento sitio web. Desde entonces, RiskRecon descubrió que la calificación de seguridad general promedio mejoró de 7.3 a 8.1 en una escala de 10 puntos.

Hasta enero, 221 ciudades obtuvieron una calificación A o B, lo que indica una mayor seguridad en muchas jurisdicciones.

Aún así, las ciudades no deben bajar la guardia, dice Rigo Van den Broeck, vicepresidente ejecutivo de innovación de productos de ciberseguridad de Mastercard. "Ninguna organización es demasiado grande o demasiado pequeña para ser atacada. Hay un posible hacker para cada organización, sin importar el tamaño", dice.

Una de las vulnerabilidades más peligrosas para las ciudades —y una relativamente fácil de solucionar— es la actualización de software obsoleto, afirma Rigo Van den Broeck de Mastercard.

En una conversación reciente con Mastercard Newsroom, Van den Broeck comparte lo que revela la investigación de RiskRecon sobre el panorama de riesgo actual para las ciudades y cómo proteger mejor los sistemas y datos críticos.

 

La buena noticia es que los gobiernos están tomando medidas para proteger. La mala noticia es que los gobiernos y la infraestructura pública que protegen están siendo atacados cada vez más por malos actores. ¿Qué está impulsando esto?

Van den Broeck: Todos vimos los titulares que detallan ataques cibernéticos paralizantes en los gobiernos y la infraestructura pública: no faltan ejemplos. En todos los sectores, la digitalización fue una constante durante muchos años, pero históricamente, muchos gobiernos tardaron más en adaptar. COVID cambió las reglas del juego en el sentido de que ofrecer servicios digitales ya no era opcional. Se volvió fundamental que los gobiernos pudieran servir a sus ciudadanos a través de Internet. Esta rápida evolución amplió significativamente la superficie de ataque, brindando más oportunidades para los ciberdelincuentes.

Es esencial comprender quién está detrás de los ataques. Los piratas informáticos a menudo eligen sus objetivos en función de algunos factores comunes, como la sensibilidad de los datos de una organización o lo crítico que puede ser que operen sin interrupciones. Los gobiernos también son objetivos principales para los malos actores con motivaciones políticas. Cuando combinamos todos estos factores, no es sorprendente que los gobiernos a menudo sean atacados.
 

¿Cuáles son los riesgos financieros y operativos para las ciudades que se exponen a los piratas informáticos?

Van den Broeck: Los piratas informáticos a menudo usan datos robados en intentos de extorsión o venden esta información a otros delincuentes, lo que genera pérdidas significativas para las organizaciones violadas. El Reporte sobre el costo de una violación de datos 2023 de IBM indica que el costo medio mundial de una violación de datos en 2023 fue de 4,45 millones de dólares. 

En el caso de las ciudades, el riesgo financiero es aún mayor debido a los servicios esenciales que prestan y a los datos confidenciales que tienen la responsabilidad de salvaguardar. Cuando experimentan un incidente cibernético, el impacto es de gran alcance. Vimos infracciones que privare persona de emergencianel de información en tiempo real necesitan una respuesta eficaz a las crisis, por ejemplo, o limitar el acceso a las computadoras públicas en uno de los sistemas bibliotecarios más concurridos del mundo. Volver a poner en funcionamiento los sistemas puede ser costoso, y las ciudades pueden enfrentar costos asociados con el monitoreo, los litigios y la respuesta a incidentes.

Y luego está el daño a la reputación, donde la pérdida de confianza pública puede ser perjudicial, especialmente cuando consideramos que los gobiernos locales se encuentran entre las entidades gubernamentales más confiables. Es difícil ponerle precio a eso.
 

¿Cómo realiza RiskRecon las pruebas de los límites, por así decirlo?

Van den Broeck: RiskRecon evalúa continuamente la presencia en Internet de más de 19 millones de organizaciones, desde comerciantes de comercio electrónico hasta conglomerados multinacionales y organizaciones de atención médica. Las evaluaciones son tanto amplias como exhaustivas, buscando evidencia visible públicamente que podamos usar para inferir la ciberhigiene de una organización, cosas como software obsoleto y vulnerable o comunicaciones por Internet que no están protegidas adecuadamente. Nuestra investigación demostró que aquellos con una higiene de ciberseguridad muy deficiente —calificados como D o F— experimentaron incidentes de seguridad 35 veces más frecuentemente que las organizaciones calificadas como A.
 

$4.45 millones

Costo promedio de una violación de datos en 2023, según IBM

¿Cuáles son las formas más impactantes en que las ciudades mejoraron su postura de ciberseguridad?

Van den Broeck: Un serial de reportes e investigaciones, ya sea de Mastercard o de otras partes de la industria, identifican constantemente a varios de los principales contendientes para contribuir a una infracción. Entre ellos se encuentran el software obsoleto, que no pudo recibir actualizaciones de seguridad en algún tiempo, y cuando los servicios confidenciales están expuestos a la Internet pública y no deberían estarlo. Piense en bases de datos y herramientas de acceso remoto. 

La buena noticia es que las ciudades que hemos monitoreado en los últimos años están mostrando calificaciones generales más altas, lo que indica una mejor higiene cibernética. Vimos una mejora generalizada en ocho de los nueve dominios de seguridad que evaluamos, y las ganancias estuvieron en los lugares correctos, incluida la seguridad del sistema de email y nombres de dominio, la aplicación de parches de software y el cifrado sitio web.
 

Para las ciudades que obtuvieron un puntaje más baja, ¿cuáles son las medidas más fáciles e inmediatas que podrían tomar?

Van den Broeck: RiskRecon aboga por un enfoque que analice la gravedad del problema al que se enfrenta una organización y la sensibilidad del sistema afectado. El software obsoleto fue durante mucho tiempo una de las vulnerabilidades más peligrosas para una compañía, y no se espera que eso cambie pronto. Eso debería ser una prioridad.

Desarrollar una estable higiene cibernética lleva tiempo, por lo que siempre es importante evaluar formas de mitigar los riesgos a lo largo de su viaje de ciberseguridad. Hay recursos que pueden ayudar a las ciudades sin importar su tamaño. Las agencias de ciberseguridad en varios niveles de gobierno y los equipos de respuesta a emergencias informáticas tienen misiones expansivas que ayudan a proteger Internet. Mastercard también se enorgullece de apoyar a varias organizaciones que brindan servicios de ciberseguridad sin costo, incluido el CyberPeace Institute, la Global Cyber Alliance y la Shadowserver Foundation.
 

¿Cómo se cercioran las ciudades que dependen de proveedores externos de no hacer vulnerables?

Van den Broeck: Comprender el riesgo que representan los terceros es fundamental para las organizaciones, especialmente considerando la complejidad de las cadenas de suministro en expansión y la creciente incidencia de violaciones de seguridad por parte de terceros. En ciberseguridad se da un fenómeno por el cual organizaciones similares emplean los mismos tipos de tecnologías porque necesitan ciertas capacidades y deciden confiar en el mismo software, o incluso cuando existen unos pocos proveedores especializados que satisfacen las necesidades de esas organizaciones. El efecto de esto es una concentración sistémica del riesgo cibernético que puede tener consecuencias catastróficas si uno de estos proveedores de servicios o proveedores de software se ve afectado por un incidente de ciberseguridad.

En nuestra reciente encuesta con Cyentia Institute, "El estado de la gestión de riesgos de terceros", descubrimos que el 23% de los encuestados indicaron que su organización sufrió una violación de seguridad por parte de un tercero. Establecer un estable programa de gestión de riesgos de terceros es una necesidad hoy en día. Estamos más allá del punto en el que la diligencia debida solo ocurre en la fase de incorporación del proveedor. En cambio, las organizaciones necesitan visibilidad en tiempo real de sus terceros para comprender y gestionar adecuadamente sus riesgos. 
 

¿Qué le dirías a las ciudades que piensan que son demasiado pequeñas para ser atacadas?


Curiosamente, vimos que el riesgo de ciberseguridad se introduce inesperadamente con ciudades y gobiernos más pequeños porque comparten muchos recursos para lograr eficiencias. Esto significa que una vulnerabilidad en un sistema puede ser suficiente para derribar los servicios de muchos municipios, como vimos en un ataque de ransomware que afectó a 23 pequeñas ciudades de Texas hace unos años. Es fácil pensar que es posible que no sea el objetivo de un ataque cibernético porque el motivo puede no ser evidente, pero los incidentes que seguimos viendo demuestran lo contrario.
 

 

 

Existe una brecha en el talento cibernético. La capacitación de personas sordas puede ayudar

No hay suficientes personas capacitadas para ocupar puestos de trabajo de ciberseguridad. Capacitar a las personas sordas y con discapacidad auditiva puede fortalecer las defensas cibernéticas.

Leer más
Una mujer hace señas frente a una computadora en una oficina.