Ciberatacantes intensifican ataques contra administraciones locales y estatales ante recortes federales en ciberseguridad

## Introducción

En el actual panorama de amenazas, las administraciones públicas locales y estatales han experimentado un notable incremento en la frecuencia y sofisticación de los ciberataques. Este fenómeno se ve agravado por las recientes reducciones presupuestarias y recortes de personal en agencias federales clave de ciberseguridad en Estados Unidos, lo que deja a estas organizaciones en una posición de vulnerabilidad crítica frente a los actores maliciosos.

## Contexto del Incidente

Durante los últimos meses, se ha detectado una oleada de ciberincidentes dirigidos específicamente a organismos gubernamentales subnacionales. Este aumento coincide temporalmente con las medidas adoptadas por la administración Trump para disminuir los fondos asignados a la ciberseguridad y reorganizar la plantilla en entidades federales como el Departamento de Seguridad Nacional (DHS) y la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA). Esta situación ha generado un vacío en la coordinación, intercambio de inteligencia y soporte técnico que tradicionalmente proporcionaban estos organismos a los gobiernos locales y estatales.

## Detalles Técnicos

### CVEs y Vectores de Ataque

Los atacantes están explotando vulnerabilidades conocidas en infraestructuras críticas y sistemas heredados ampliamente utilizados en la administración pública. Destacan las explotaciones de CVE-2023-23397 (vulnerabilidad de escalada de privilegios en Microsoft Outlook) y CVE-2022-30190 (vulnerabilidad Follina en Microsoft Support Diagnostic Tool), ambas catalogadas como de criticidad alta según CVSS 3.x (puntuaciones superiores a 8.0). Estas brechas permiten ejecución remota de código y movimientos laterales en la red interna.

### Tácticas, Técnicas y Procedimientos (TTP)

Según el marco MITRE ATT&CK, los atacantes emplean técnicas como phishing dirigido (T1566), explotación de vulnerabilidades públicas (T1190), escalada de privilegios (T1068), y exfiltración de datos mediante canales cifrados (T1041). Se han detectado campañas utilizando kits de explotación automatizados y herramientas como Metasploit para inicializar el acceso, seguidas por el uso de Cobalt Strike para el establecimiento de C2 (Command & Control) y movimiento lateral.

### Indicadores de Compromiso (IoC)

Entre los IoC identificados se encuentran dominios maliciosos utilizados para spear-phishing, hashes de malware asociado a Emotet y Ryuk, así como direcciones IP vinculadas a infraestructura de C2 en Europa del Este. Además, se ha observado el uso de credenciales robadas en mercados clandestinos, facilitando el acceso inicial a sistemas gubernamentales.

## Impacto y Riesgos

El impacto de estos ataques es significativo: interrupciones en servicios críticos, robo de datos personales y financieros de ciudadanos, y, en algunos casos, secuestro de sistemas mediante ransomware con demandas de rescate que superan los 500.000 dólares por incidente. Un informe reciente del Center for Internet Security estima que el 38% de los ataques de ransomware en Estados Unidos en 2023 afectaron a entidades gubernamentales locales y estatales. La falta de recursos y personal especializado limita la capacidad de respuesta y recuperación, aumentando el tiempo medio de detección y contención a más de 21 días, muy por encima de la media de la industria.

## Medidas de Mitigación y Recomendaciones

Se recomienda a las administraciones locales y estatales:

– Priorizar la aplicación de parches críticos, especialmente para CVEs explotados activamente.
– Implementar autenticación multifactor (MFA) en todos los accesos remotos y cuentas privilegiadas.
– Segmentar la red para limitar movimientos laterales y acceso a recursos críticos.
– Establecer procedimientos de copia de seguridad fuera de línea y planes de recuperación ante desastres.
– Fortalecer la formación en concienciación de ciberseguridad para el personal, con simulacros periódicos de phishing.
– Participar activamente en iniciativas colaborativas de intercambio de inteligencia (ISACs) y coordinarse con organismos federales y estatales, pese a los recortes sufridos.

## Opinión de Expertos

Expertos en ciberseguridad como John Kindervag, creador del concepto Zero Trust, advierten que «la reducción de fondos y recursos a nivel federal está dejando a las administraciones locales sin el respaldo necesario para hacer frente a amenazas cada vez más avanzadas». Por su parte, analistas de la firma Mandiant destacan que los atacantes están aprovechando la falta de visibilidad y monitorización en redes locales, utilizando herramientas legítimas para evadir la detección y maximizar el impacto.

## Implicaciones para Empresas y Usuarios

La oleada de ataques contra organismos públicos tiene un efecto cascada sobre empresas que colaboran con la administración, especialmente proveedores de servicios gestionados (MSP) y contratistas TIC. Además, los ciudadanos ven comprometida la confidencialidad de sus datos personales, lo que podría desencadenar sanciones bajo la legislación GDPR y, próximamente, NIS2 para operadores de servicios esenciales. Este contexto obliga a las empresas a revisar sus acuerdos de nivel de servicio y la seguridad de la cadena de suministro.

## Conclusiones

La combinación de una superficie de ataque creciente, sistemas heredados y la reducción de recursos federales configura un escenario de alto riesgo para las administraciones locales y estatales. La profesionalización de los atacantes, el uso de exploits públicos y la sofisticación de las campañas obligan a replantear las estrategias de defensa, priorizando la detección temprana, la resiliencia operativa y la colaboración entre organismos. Sin un refuerzo en los presupuestos y las capacidades técnicas, la brecha de seguridad seguirá ampliándose, con consecuencias directas para la prestación de servicios públicos y la confianza ciudadana.

(Fuente: www.darkreading.com)