A medida que continúan los ataques de ransomware a las ciudades, ¿cómo aborda Ohio la ciberseguridad?


Los recientes ataques de ransomware han paralizado ciudades como Columbus y Cleveland, exponiendo la información personal de los residentes y ralentizando los servicios.

El alcalde de Columbus dijo que los datos robados en el ciberataque probablemente no serán utilizables.

El alcalde de Columbus, Andrew Ginther, dijo que los datos robados por los piratas informáticos durante un ataque de ransomware que duró semanas en la ciudad estaban corruptos, cifrados e inutilizables.

Un reciente ataque de ransomware paralizó una ciudad de Ohio, comprometió la información personal de los residentes y retrasó los servicios básicos.

Pero Ohio no tiene requisitos estatales sobre cómo los municipios manejan la ciberseguridad, ni existe una disposición que obligue a las ciudades a buscar asistencia estatal después de un ataque.

Esto se debe a que los municipios de Ohio tienen derecho a autogobernarse y pueden ejercer un concepto llamado autogobierno. Los legisladores de Ohio han puesto a prueba periódicamente los límites de su autonomía al promulgar prohibiciones en todo el estado, desde el control de armas hasta límites al tabaco aromatizado y prohibiciones a las bolsas de plástico. Sin embargo, no aborda la ciberseguridad.

“Tenemos autonomía en este estado”, dijo Kirk Heras, asesor estratégico de ciberseguridad de Ohio. “No tengo autoridad sobre esta gente. No tienen que hacer nada de manera uniforme”.

El resultado: hay poca uniformidad cuando los ciberdelincuentes se apoderan de las computadoras y exigen un pago por información de identificación personal robada.

Por ejemplo, cuando un grupo ruso de ransomware atacó Cleveland en junio, los funcionarios de la ciudad pidieron inmediatamente al Santuario Cibernético de Ohio que enviara expertos voluntarios en ciberseguridad para ayudar. Cuando los ciberdelincuentes extranjeros atacaron Columbus un mes después, Heras dijo que a los funcionarios de la ciudad les tomó tres semanas responder a la oferta de ayuda de Ohio.

“Lo que ellos (Cleveland) nos pidieron que hiciéramos y el momento fue muy diferente”, dijo Heras.

En cambio, la ciudad de Columbus recurrió a RSM Security, una empresa de respuesta a incidentes de ciberseguridad, dijo Melanie Crabill, portavoz de la ciudad. La Oficina Federal de Investigaciones y la Agencia de Seguridad de Infraestructura y Ciberseguridad también ayudaron en la investigación.

Cuando el suburbio de Huber Heights, en Dayton, fue víctima de un ciberataque en noviembre pasado, no buscó ayuda de la Reserva Cibernética de Ohio, dijo Heras. Según el Dayton Daily News, la información personal de unas 6.000 personas se vio comprometida en el ataque.

El costo de ser proactivo

Aunque la Reserva Cibernética de Ohio es reactiva, el estado combate de manera proactiva el ciberdelito. Los expertos en ciberseguridad de Ohio brindan capacitación y evaluaciones de riesgos a nivel de condado. Comenzando con seis condados más pequeños del estado, 39 más se han inscrito en el servicio gratuito y voluntario, dijo Heras.

“Nuestra capacidad de ayudar ha aumentado drásticamente en comparación con hace dos o tres años”, dijo Heras.

Ohio también está aumentando sus riesgos de ciberseguridad. Esta no es una tarea fácil para un estado con docenas de agencias y departamentos. El estado enfrenta miles de ataques, grandes y pequeños, todos los días, dijo Heras, comparándolo con el Capitán América defendiéndose de los ataques con su escudo.

Por ejemplo, los ciberdelincuentes atacaron la Lotería de Ohio en la víspera de Navidad de 2023 y robaron los nombres y números de seguro social de los clientes. “Efectivamente reconstruimos toda la red de lotería en dos semanas”, dijo Heras.

La administración del gobernador Mike DeWine planea pedir dinero a los legisladores en el próximo presupuesto para comprar mejores herramientas que el actual Microsoft Office. El portavoz del gobernador DeWine, Dan Tierney, dijo que el estado aún no ha determinado el costo.

El costo de reforzar las medidas de ciberseguridad puede ser un problema para los gobiernos locales, especialmente aquellos que luchan por brindar servicios básicos como policía y protección contra incendios. “Esto se reduce a los recursos”, dijo Cary McCarthy, director ejecutivo de la Liga de Alcaldes de Ohio.

El alcalde de Columbus, Andrew Ginther, dijo que las ciudades necesitan ayuda para fortalecer sus defensas. “A medida que los ciberataques extranjeros se vuelven más frecuentes y sofisticados, el gobierno federal está proporcionando recursos adicionales a las ciudades en un nuevo esfuerzo para protegerlas de amenazas cada vez más complejas y en rápida evolución para sus poblaciones. Está claro que debemos proporcionar lo mismo”, dijo el alcalde. Dijo Ginther en un comunicado.

Heras, quien anteriormente se desempeñó como director de privacidad de Nationwide, entiende que el costo es un factor disuasivo tanto para las ciudades pequeñas como para las grandes empresas. Pero no hacer nada también resulta costoso. Según IBM, el coste medio de una filtración de datos en 2024 fue de 4,88 millones de dólares.

“Si no pagas ahora, tendrás que pagar más después si pasa algo”, afirmó.

Qué hacer si se filtra su información personal

Heras ofreció algunos consejos para los habitantes de Ohio preocupados por que su información de identificación personal esté comprometida.

Utilice la autenticación multifactor para cuentas importantes. Es posible que muchas instituciones financieras y cuentas de correo electrónico ya lo requieran, pero también puede utilizar autenticadores de Google, Microsoft y Cisco Duo. Coloque un congelamiento de crédito o seguridad en su informe crediticio. Esto evitará que se abran nuevas cuentas a su nombre. Denuncie el robo de identidad a la Comisión Federal de Comercio (identitytheft.gov).

Jesse Balmert cubre el gobierno estatal y la política para la oficina de USA TODAY Network en Ohio, que presta servicios a Columbus Dispatch, Cincinnati Enquirer, Akron Beacon Journal y otras 18 organizaciones de noticias afiliadas en Ohio.


https://www.dispatch.com/story/news/2024/09/22/how-is-ohio-tackling-cybersecurity-amid-ransomware-attacks-on-cities-columbus-cleveland/75253917007/