Los pueblos pequeños, el nuevo blanco favorito de la extorsión cibernética

Las cifras ayudan a explicar este cambio. La firma de ciberseguridad Sophos ha señalado repetidamente en sus informes anuales que los gobiernos locales y estatales, la salud y la educación siguen estando entre los sectores más atacados. En Estados Unidos, el Centro de Análisis e Intercambio de Información Multiestatal, que apoya a los gobiernos estatales y locales, lleva años advirtiendo que el ransomware sigue siendo una de las amenazas más dañinas para los organismos públicos locales. Las agencias federales coinciden. El Centro de Denuncias de Delitos en Internet del FBI ha reportado miles de millones de dólares en pérdidas anuales por ciberdelitos en toda la economía, pero es probable que esas cifras no reflejen el daño real en las instituciones locales, que a menudo no denuncian los ataques o no miden el costo total de la interrupción de sus servicios.

Lo que hace que estos ataques sean tan perjudiciales no es solo el dinero que piden por el rescate. Es lo que deja de funcionar cuando un sistema local se apaga. En una ciudad, puede que los registros judiciales dejen de estar disponibles. En otra, los pagos de impuestos se congelan, los sistemas de emergencia 911 se vuelven lentos o el personal de una escuela pierde el acceso a los expedientes de los alumnos. En 2023, funcionarios de varios municipios de Estados Unidos informaron de incidentes cibernéticos que interrumpieron los servicios básicos durante días o semanas. En el Reino Unido, los ayuntamientos también han sufrido graves problemas digitales en los últimos años, y algunos se vieron obligados a volver a usar papel y lápiz después de que sus sistemas quedaran fuera de línea. Para los ciudadanos, el resultado no es un problema abstracto de computadoras. Son cheques de pago que no llegan, permisos retrasados, citas canceladas y servicios públicos que de repente parecen frágiles.

Los atacantes entienden esta presión. Una gran empresa puede tener sistemas de respaldo, seguro cibernético, abogados externos y un equipo de seguridad dedicado. Una oficina de un condado en una zona rural a menudo no tiene nada de eso. Muchas agencias locales todavía dependen de software antiguo, equipos obsoletos y un personal de informática reducido que se ocupa de todo, desde los sistemas de nómina hasta el Wi-Fi público. En algunos lugares, una o dos personas son responsables de toda la vida digital de un pueblo. Esa es una tarea casi imposible cuando los grupos criminales operan como empresas, con servicio al cliente, negociadores y herramientas de malware listas para usar.

Las investigaciones han demostrado que estas debilidades están muy extendidas. Un informe de 2023 del Center for Internet Security describió a los gobiernos locales como entidades con recursos limitados y cada vez más en el punto de mira. Otros análisis de la Oficina de Rendición de Cuentas del Gobierno también han advertido que muchos sectores de infraestructura crítica, incluidos los sistemas de agua, tienen grandes fallas de ciberseguridad. El problema es especialmente grave en las comunidades más pequeñas. Las grandes ciudades al menos pueden recibir apoyo estatal o federal después de un incidente. Los lugares más pequeños a menudo sufren en un silencio relativo.

Los sistemas de agua muestran por qué esto va más allá del papeleo. En los últimos años, las autoridades de Estados Unidos han advertido repetidamente que las debilidades cibernéticas en las instalaciones de agua potable y aguas residuales podrían crear riesgos reales para la seguridad pública. La Agencia de Protección Ambiental y otras agencias han señalado el uso de contraseñas débiles, software desactualizado y sistemas de acceso remoto expuestos como problemas recurrentes. En 2021, un hacker accedió al sistema de tratamiento de agua en Oldsmar, Florida, e intentó brevemente aumentar la cantidad de hidróxido de sodio en el agua. El cambio fue detectado antes de que causara daños, pero el caso se convirtió en un claro ejemplo de cómo un ataque cibernético puede pasar rápidamente al mundo físico. También demostró cómo un modesto servicio público local, y no un objetivo nacional gigante, puede convertirse en el centro de una grave amenaza para la seguridad pública.

Las escuelas cuentan una historia similar. Guardan información muy personal sobre niños y familias, pero muchos distritos tienen presupuestos de seguridad limitados. En los últimos años, distritos de estados como Minnesota, California y Nueva York han reportado ataques de ransomware o robos de datos que afectaron la asistencia, las nóminas, los registros de consejería y los archivos de educación especial. El ataque no es solo técnico. Se vuelve algo personal muy rápido. Una familia puede preocuparse de repente de que los informes de salud, la dirección de casa o el historial disciplinario de su hijo estén circulando por internet. Para los niños, el daño puede durar mucho tiempo después de que se reanuden las clases.

¿Por qué está pasando esto ahora? Una razón es simplemente económica. Los ciberdelincuentes quieren objetivos que probablemente paguen. Los gobiernos locales y las instituciones públicas a menudo brindan servicios esenciales y no pueden permitirse estar fuera de servicio por mucho tiempo. Eso crea presión para restaurar los sistemas rápidamente, incluso si las autoridades dicen públicamente que no negociarán. Otra razón es el fácil acceso. Los atacantes ya no necesitan habilidades de élite para lanzar una campaña dañina. La propagación del “ransomware como servicio” ha hecho que sea más fácil entrar en este mundo. Los grupos criminales pueden comprar herramientas, alquilar infraestructura y repartirse las ganancias. Eso ha hecho que la extorsión sea más escalable y persistente.

También hay un vacío en las políticas públicas. El gasto en ciberseguridad todavía tiende a favorecer a las instituciones más grandes con mayores presupuestos y más influencia política. Mientras tanto, a las agencias locales se les pide que defiendan los sistemas electorales, los registros públicos, los datos policiales, los servicios públicos y las escuelas con reglas de compra y niveles de personal que se quedan atrás de la amenaza. En Estados Unidos, el Congreso y las agencias federales han aumentado las subvenciones y los programas de apoyo en los últimos años, incluida la ayuda para infraestructuras críticas y la planificación de la ciberseguridad estatal. Pero muchos expertos dicen que la ayuda sigue siendo desigual y demasiado lenta para seguir el ritmo de los ataques.

Es fácil subestimar las consecuencias porque afectan a la vida cotidiana. Un ataque de ransomware en una ciudad pequeña no siempre es noticia mundial. Pero para los residentes locales, puede significar la suspensión de la venta de una propiedad, el retraso en el envío de una ambulancia, el cierre de una biblioteca o la pérdida de confianza en que el pueblo puede proteger sus registros básicos. Los ataques repetidos también dañan la confianza en las instituciones públicas. Si una escuela, un hospital o una oficina del condado no puede proteger su propia red, la gente se pregunta, con razón, qué más está en riesgo.

Existen soluciones, y son menos glamorosas de lo que mucha gente piensa. La higiene cibernética básica sigue siendo importante. Las guías federales de agencias como CISA han insistido durante mucho tiempo en algunos pasos clave: autenticación de múltiples factores, copias de seguridad sin conexión, segmentación de la red, actualizaciones de software a tiempo y capacitación regular del personal. Esos pasos no son perfectos, pero reducen drásticamente el riesgo. También lo hace planificar la recuperación antes de que ocurra un ataque. Las comunidades necesitan sistemas de respaldo probados, planes de emergencia claros y acuerdos de ayuda mutua para que una oficina local no tenga que enfrentar un ataque grave sola.

El dinero también importa. La ciberseguridad local no puede depender de subvenciones únicas después de una crisis. Necesita financiamiento estable, servicios compartidos y modelos de apoyo regional que permitan a las comunidades más pequeñas acceder a expertos en defensa que nunca podrían contratar por su cuenta. Algunos estados han comenzado a moverse en esa dirección, ofreciendo operaciones de seguridad centralizadas, monitoreo de amenazas y apoyo en la respuesta a incidentes a los condados y distritos escolares. Ese modelo merece un mayor respaldo.

La idea más equivocada es que la extorsión cibernética es principalmente un problema de empresas ricas y capitales lejanas. En realidad, la primera línea de batalla a menudo pasa por pueblos pequeños, sistemas escolares modestos y servicios públicos locales que la gente usa todos los días y en los que apenas piensa, hasta que fallan. Por eso esta historia es importante. Cuando el ciberdelito golpea a las instituciones locales, no solo roba datos. Interrumpe los sistemas cotidianos que hacen que una comunidad se sienta segura, funcional y real.