En 2021, los actores de ransomware una vez más causaron al sector público de los Estados Unidos cientos de millones de dólares en tiempo de inactividad y daños.

Setenta y siete gobiernos y agencias estatales y municipales de EE. UU. se vieron afectados por el ransomware en 2021, frente a los 113 en los dos años anteriores. Sin embargo, si bien es posible que la aguja se haya movido en la dirección correcta en términos de tasa de incidentes, el gobierno local siguió siendo uno de los grupos más afectados por el ransomware en 2021, ocupando el segundo lugar después de la academia, según el FBI.

El porcentaje de organismos públicos que se sabe que pagaron rescates disminuyó del 15 % en 2020 al 2,5 % en 2021. Si bien esto puede parecer positivo, consideramos que la estadística no es confiable debido a que los pagos de rescate no necesariamente se divulgan o informan públicamente.

El impacto financiero del ransomware sigue siendo significativo. Está el costo del rescate a considerar, por supuesto, pero es el tiempo de inactividad (los servicios interrumpidos, el tiempo perdido, los gastos de remediación y recuperación) lo que realmente aumenta los costos. El incidente promedio de ransomware cuesta $ 8.1 millones y 287 días para recuperarse, según los comentarios realizados por el CIO del condado de Winnebago, Gus Genter, en 2019. Con estas cifras, podemos estimar que el ransomware le costó a los gobiernos estatales y locales de EE. UU. $ 623,700,000 en 2021.

Los datos se exfiltraron en al menos 35 de los 77 incidentes, incluidos los incidentes que involucraron a los departamentos de policía y al fiscal general del estado, lo que resultó en la publicación en línea de información extremadamente confidencial.

Nota: este informe se basa en la cantidad de incidentes reales, no en la cantidad de intentos de ataque. Los estados con el mayor volumen de incidentes no son necesariamente los más atacados; las agencias en estos estados simplemente pueden ser más vulnerables al ransomware. Si bien los números citados por Gus Genter ahora están un poco anticuados, no conocemos una mejor estimación del costo promedio en los incidentes de ransomware del sector público.

¿Qué estados experimentaron la mayor cantidad de incidentes de ransomware en 2021?

El siguiente gráfico muestra qué estados experimentaron la mayor cantidad de incidentes de ransomware que involucraron a gobiernos estatales y locales en 2021.

Los 10 estados más afectados representaron el 53 % de todos los incidentes de ransomware en el sector público en 2021. California experimentó la mayor cantidad de incidentes de ransomware (8), lo que representa aproximadamente el 10 % de todos los incidentes, seguido de Ohio, Illinois, Kentucky, Maine , Maryland y Missouri, que experimentaron cuatro incidentes cada uno.

Distribución mensual de incidentes de ransomware

El siguiente gráfico muestra la distribución mensual de incidentes de ransomware en el sector público en 2021.

Más de la mitad de los incidentes de ransomware ocurrieron en la primera mitad de 2021 con un pico de incidencia en junio (22 %). Los incidentes disminuyeron en el tercer trimestre del año y se redujeron a un solo ataque en septiembre. Los incidentes aumentaron nuevamente en el cuarto trimestre, con siete incidentes solo en octubre.

¿Cómo se presenta 2022?

Hubo 27 incidentes de ransomware en el sector público en los primeros seis meses de 2022. Esta es una disminución de casi el 50 % con respecto a los primeros seis meses de 2021, en los que hubo 53 incidentes.

Usando las cifras de Gus Genter, esos 27 incidentes le habrán costado a los gobiernos de EE. UU. $ 218,700,000.

Al igual que en 2021, los incidentes de ransomware en 2022 alcanzaron su punto máximo en junio con un total de ocho incidentes, aunque esto podría cambiar en los próximos meses a medida que salgan a la luz más incidentes.

Se sabe que solo un gobierno pagó una demanda en 2022: el condado de Quincy, Massachusetts, que pagó $ 500,000 en febrero.

La tasa de exfiltración de datos ha aumentado ligeramente. En 2022, se exfiltraron datos en al menos quince incidentes (55,5 %). En los primeros seis meses de 2021, se exfiltraron datos en 25 incidentes (47 %).

Si bien es imposible decir con certeza por qué ha habido menos incidentes en 2022, lo más probable es que sea el resultado de la interrupción de las cadenas de suministro de los ciberdelincuentes causada tanto por la invasión de Ucrania por parte de Rusia como por el aumento de la acción de las fuerzas del orden.

En abril de 2022, Carolina del Norte se convirtió en el primer estado en prohibir que las agencias estatales y los gobiernos locales paguen rescates después de ser víctimas de un ataque de ransomware. En junio, Florida hizo lo mismo y al menos otros cuatro estados, incluidos Arizona, Nueva York, Pensilvania y Texas, están considerando una legislación similar. Si bien queda por ver qué impacto, si es que tienen alguno, tienen estas nuevas leyes, es bueno ver que los gobiernos toman medidas positivas para combatir el problema del ransomware.