theNet by CLOUDFLARE

Protección contra el ransomware en el sector público

Mejora la seguridad con personas, procesos y tecnología

Los ataques de ransomware contra organizaciones del sector público están aumentando, lo que interrumpe servicios esenciales para millones de personas. Las estrategias tradicionales de ciberseguridad no son suficientes para defenderse de las tácticas más recientes.

Según un informe de 2024, los incidentes de ransomware en el sector público de EE. UU. han aumentado más del 94 % desde 2021. Los organismos gubernamentales experimentaron 117 ataques de ransomware en 2024, un incremento del 23 % respecto a los 95 de 2023. Un informe global de 2025 revela que los ataques de ransomware contra gobiernos repuntaron un 65 % en el primer semestre de 2025 en comparación con el mismo periodo de 2024.

Los ataques contra los gobiernos estatales y locales tienen un impacto directo e inmediato en la población debido a la interrupción de servicios gubernamentales esenciales, como los centros de emergencias 911, las comisarías, los centros de salud y los servicios públicos. Estos eventos a menudo exponen información confidencial, dejando a las personas vulnerables al fraude durante años. Y podrían requerir grandes gastos públicos para recuperar sistemas y datos, incluso si los organismos gubernamentales se niegan a pagar el rescate.

Dos incidentes recientes destacan los altos costes de los ataques de ransomware:

  • Columbus, Ohio, se negó a pagar un rescate de 1,9 millones de dólares exigido tras un ataque de ransomware en 2024, pero gastó más de 4 millones de dólares para proteger y restaurar la infraestructura tecnológica de la ciudad.

  • La ciudad de Dallas, Texas, pagó 8,5 millones de dólares en costes relacionados con el ransomware en 2023.

Los cambios en las tácticas y técnicas de ransomware refuerzan la necesidad de mejorar las defensas contra el ransomware. A medida que los ciberdelincuentes aprovechan nuevas herramientas, sus ataques se volverán aún más eficaces y tendrán un mayor impacto. Por ejemplo, están utilizando la IA para crear mensajes de phishing más convincentes, desarrollar malware que elude las defensas, identificar datos valiosos para su exfiltración y producir ataques de mayor envergadura. Al mismo tiempo, pequeños grupos de ciberdelincuentes están recurriendo a organizaciones de ransomware como servicio para lanzar ataques de forma rápida y económica.

Los ciberdelincuentes también están incorporando nuevas capas a sus esquemas de ransomware. Hasta hace poco, la mayoría de los atacantes encriptaban datos confidenciales y exigían un rescate a cambio de una clave de descifrado. Hoy en día, los atacantes están exfiltrando datos y amenazan con exponer esos datos a menos que se pague el rescate. Saben que pueden vender los datos robados si fracasan las negociaciones de rescate.

Observamos ese tipo de táctica en el ataque de RansomHub al Departamento de Salud de Florida en julio de 2024. El organismo no pagó el rescate, por lo que los ciberdelincuentes filtraron 100 GB de datos, incluidos números de la seguridad social, información de tarjetas de crédito, datos médicos y más, de casi 730 000 personas.

Dada la evolución de los ataques de ransomware y las consecuencias potencialmente devastadoras de cada evento, los organismos gubernamentales deben ir más allá de las estrategias de seguridad tradicionales. Hacer copias de seguridad de los datos ya no puede ser el único medio para acabar con el secuestro de información.

Para ayudar a facilitar la transición hacia una protección más robusta contra el ransomware, el Instituto Nacional de Estándares y Tecnología (NIST) ha creado un marco cibernético para el ransomware, y el Departamento de Seguridad Nacional (DHS) ha publicado una guía integral para ayudar a las organizaciones a detener el ransomware. Estas recomendaciones enfatizan que las agencias gubernamentales estatales y locales necesitan un enfoque más integral y proactivo, uno que exija cambios que abarquen a las personas, los procesos y la tecnología.

Personas: mejora la primera línea de defensa

Antes de añadir tecnologías avanzadas, los equipos de seguridad deben centrarse en la ciberhigiene o, como afirma el Departamento de Seguridad Nacional, ser "brillantes en lo básico". Específicamente, deben implementar tres prácticas recomendadas para prevenir el acceso no autorizado a las redes:

  • Formar a los miembros del equipo: el phishing, el smishing y otras tácticas de ingeniería social son a menudo la forma en que comienzan los incidentes de ransomware. Además, las herramientas de IA están facilitando a los atacantes la creación de mensajes convincentes que engañan a los empleados para que hagan clic en enlaces falsificados e introduzcan sus credenciales de inicio de sesión. Una vez que los atacantes obtienen esas credenciales, pueden inyectar ransomware en la red.

    Los empleados son la primera línea de defensa, y las agencias deben formarlos para que sepan detectar los correos electrónicos y mensajes de texto fraudulentos. Deben actualizar continuamente esa formación a medida que evolucionan las tácticas.

  • Exigir contraseñas seguras y la autenticación multifactor: al mismo tiempo, los organismos deben exigir a los empleados que utilicen contraseñas seguras y únicas que sean difíciles de adivinar mediante métodos de fuerza bruta (incluso con la ayuda de herramientas de IA) e imposibles de reutilizar en varias aplicaciones.

    La autenticación multifactor (MFA) proporciona una capa adicional de protección. Aunque los ciberdelincuentes roben credenciales, la autenticación multifactor les impedirá acceder a aplicaciones críticas.

  • Evitar descargas maliciosas: incluso los empleados con un alto grado de conciencia sobre la seguridad pueden hacer clic por error en un enlace que los lleve a un sitio web vulnerado o que active una descarga maliciosa. Las agencias deben proteger la experiencia de navegación web inspeccionando y filtrando el tráfico de Internet para evitar que los usuarios lleguen a destinos maliciosos.

Procesos: anticípate a la evolución de las tácticas de ransomware

Muchos organismos necesitan examinar los procesos existentes — o implementar otros nuevos — para asegurarse de que están haciendo todo lo posible para abordar las vulnerabilidades existentes y las tácticas cambiantes.

  • Actualiza el software y el firmware: explotar software y dispositivos sin revisar y desactualizados se ha convertido en una táctica principal para los ciberdelincuentes. De hecho, las vulnerabilidades de software, junto con las credenciales expuestas, son los vectores iniciales de aproximadamente la mitad de todos los incidentes de ransomware. Dirigiéndose a aplicaciones vulnerables, los atacantes pueden eludir la seguridad y obtener acceso no autorizado a los sistemas, que luego pueden infectar con ransomware. Combatir esta amenaza requiere vigilancia: los organismos deben actualizar el software y el firmware tan pronto como los proveedores emitan nuevas actualizaciones y revisiones.

En conjunto, las vulnerabilidades de software y las credenciales vulneradas son los vectores iniciales de aproximadamente el 55 % de todos los eventos de ransomware, según un informe reciente.

  • Aplica la seguridad informática a las operaciones: la convergencia de los sistemas informáticos con los sistemas de tecnología operativa — por ejemplo, mediante el uso de sensores IoT — ofrece a los ciberdelincuentes una nueva vía de ataque. Si atacan dispositivos que conectan los sistemas informáticos y los sistemas de tecnología operativa, los ciberdelincuentes pueden provocar graves interrupciones operativas y obtener ventaja para exigir un rescate. Los organismos gubernamentales deben aplicar capacidades de seguridad informática a los sistemas de tecnología operativa para garantizar que los sistemas con protección insuficiente no se conviertan en vectores para incidentes de ransomware.

  • Desarrolla y prueba un plan de respuesta a incidentes: cada día de interrupción puede costar miles de dólares en la recuperación y restauración de datos. Desarrollar un plan de respuesta a incidentes y probarlo regularmente ayuda a garantizar una respuesta rápida desde el momento en que se detecta un ataque.

  • Haz copias de seguridad de los datos: aunque realizar copias de seguridad de los datos por sí solo no es suficiente para contrarrestar los incidentes de ransomware, debe seguir siendo parte de las defensas. Tener una copia de seguridad actualizada de los datos en una ubicación segura, ya sea sin conexión o en la nube, reduce significativamente la presión para pagar un rescate. Es fundamental encriptar los datos de las copias de seguridad, ya que la mayoría de los atacantes también intentarán acceder a ellas y robarlas.

Tecnología: mejora la postura de ciberseguridad

En mi experiencia con los gobiernos estatales y locales, he descubierto que muchos simplemente no han implementado los tipos de capacidades de seguridad que necesitan para protegerse del ransomware. En lugar de depender únicamente de la copia de seguridad de los datos, deben emplear soluciones que les permitan bloquear los ataques iniciales, contener el movimiento lateral del malware y detener la exfiltración de datos.

  • Bloqueo de los ataques iniciales: existen varios tipos de soluciones que ayudan a bloquear la fase crítica inicial de un incidente de ransomware, evitando que los atacantes accedan a la red.

  • Seguridad del correo electrónico: a medida que los atacantes crean correos electrónicos de phishing más convincentes, los organismos deben aprovechar las capacidades de seguridad del correo electrónico para identificar y bloquear esos correos antes de que lleguen a las bandejas de entrada de los usuarios.

  • Filtrado de DNS: el filtrado de DNS, recomendado por la Agencia de Ciberseguridad y Seguridad de la Infraestructura (CISA), puede impedir el acceso a cualquier sitio malicioso conocido, evitando las descargas.

  • Seguridad de las aplicaciones: los organismos deben implementar un firewall de aplicaciones web (WAF) para detectar y bloquear ataques a aplicaciones web en tiempo real, deteniendo los intentos de tomar el control de las aplicaciones e implementar ransomware.

  • Protección contra DDoS: aunque es poco frecuente, algunos ciberdelincuentes exigen un rescate como parte de los ataques de denegación de servicio distribuido (DDoS). Los organismos necesitan una protección contra DDoS que detecte, absorba y detenga automáticamente estos ataques, eliminando la necesidad de pagar un rescate.

  • Limitación del movimiento lateral: si los ciberdelincuentes logran robar credenciales de usuario o vulnerar una aplicación, su malware podría desplazarse lateralmente por una red, encontrando finalmente datos confidenciales. La implementación de un modelo Zero Trust evitará ese movimiento lateral. Con la implementación de la microsegmentación y el uso de un servicio de acceso a la red Zero Trust, por ejemplo, los organismos pueden controlar a qué recursos puede acceder cada usuario. Incluso si un atacante obtiene acceso a una sola aplicación o entorno, no podrá acceder a toda la red.

  • Interrupción de la exfiltración de datos: una puerta de enlace web segura que escanea los datos en tránsito, identifica los datos confidenciales y aplica reglas que bloquean el movimiento de esos datos ayuda a prevenir el robo definitivo de esos datos en caso de que un atacante logre alcanzarlos.

¿Cómo puedes prevenir el ransomware sin complejidad?

Los gobiernos estatales y locales seguirán siendo los principales objetivos del ransomware. Los ciberdelincuentes a menudo consideran a los organismos gubernamentales como entidades vulnerables que están dispuestas a pagar rescates para restaurar servicios esenciales.

La conectividad cloud de Cloudflare ofrece una plataforma unificada de capacidades de ciberseguridad nativas de nube que ayuda a los organismos a implementar defensas integrales contra el ransomware. Con los servicios de Cloudflare, tu organización puede detener los ataques iniciales, las descargas maliciosas, el movimiento lateral y la exfiltración de datos, todo dentro de una única plataforma totalmente integrada. Estas soluciones tecnológicas también te ayudan a agilizar tus iniciativas para optimizar los procesos y reforzar las defensas de tus usuarios. Y dado que Cloudflare ofrece servicios a través de una única interfaz, sus equipos pueden abordar el ransomware y otras amenazas mientras controlan los costos y la complejidad.

Este artículo forma parte de un conjunto de publicaciones sobre las últimas tendencias y temas que afectan a los responsables de la toma de decisiones sobre tecnología en la actualidad.

Más información sobre este tema

Más información sobre cómo los organismos federales están modernizando la informática en el libro electrónico "La forma sencilla de lograr una informática eficiente".

Autor

Dan Kent — @danielkent1
Director técnico para el sector público, Cloudflare


CONCLUSIONES CLAVE

Después de leer este artículo podrás entender:

  • Cómo están cambiando los ataques de ransomware y cómo se han vuelto más eficaces

  • Los principales vectores de los ataques de ransomware contra organismos gubernamentales

  • 3 claves para detener los ataques de ransomware

Recursos relacionados

¿Quieres recibir un resumen mensual de la información más solicitada de Internet?

Suscríbete a theNET

CÓMO EMPEZAR

SOLUCIONES

SOPORTE

CONFORMIDAD

INTERÉS PÚBLICO

EMPRESA

© 2025 Cloudflare, Inc.Política de privacidadCondiciones de usoInformar sobre problemas de seguridadConfianza y seguridadMarca