Las instituciones educativas se transformaron en un objetivo popular para los ciberataques, debido a una combinación de redes porosas, gran número de usuarios, datos altamente monetizables y debido a sus conocimientos y presupuestos de seguridad limitados. Al respecto, el equipo de investigación de la empresa de ciberseguridad ESET Latinoamérica observó sofisticados grupos APT (Amenaza Persistente Avanzada) atacando instituciones en todo el mundo.
Los agentes patrocinados por estados-nación y los ciberdelincuentes se encuentran entre las mayores amenazas actuales para escuelas, institutos y universidades. En el período de abril a septiembre de 2024, el sector educativo estuvo entre las tres industrias más atacadas por grupos APT alineados con China, entre las dos primeras por Corea del Norte y entre las seis primeras por actores alineados con Irán y Rusia.
Se ejemplificó que en el Reino Unido, el 71 por ciento de los centros de enseñanza secundaria y casi todas las universidades (97 por ciento) sufrieron un ataque o fallo de seguridad grave el año pasado, frente a solo la mitad (50 por ciento) de las empresas, según datos del Gobierno. En Estados Unidos, las cifras más recientes disponibles del K12 Security Information Exchange (SIX) revelan que, entre 2016 y 2022, la nación experimentó más de un ciberincidente por día escolar.
En cuanto a las tácticas, técnicas y procedimientos utilizados para atacar instituciones del sector educativo, desde ESET aclaran que depende del objetivo final y del actor de la amenaza. En este sentido, ESET analiza los puntos que hacen atractivos a los establecimientos educativos para los ciberatacantes:
Presupuesto y conocimientos limitados: el sector educativo suele estar bajo una mayor presión presupuestaria que las empresas privadas y suele estar más limitado para la contratación de talentos en ciberseguridad y a la adopción de herramientas de seguridad. Esto puede crear peligrosas lagunas de cobertura y capacidad.
Uso de dispositivos personales sin seguridad adecuada: según Microsoft, BYOD (Bring Your On Device) es muy común entre quienes estudian en instituciones estadounidenses. El uso las redes escolares con los dispositivos personales puede proporcionar una vía de acceso a datos y sistemas sensibles si no se acompaña con una política de seguridad adecuada.
Bajo nivel de concientización de usuarios: el factor humano sigue siendo uno de los mayores retos para el personal de seguridad. El personal y quienes estudian en entornos educativos, son un objetivo buscado para el phishing, por lo que implementar programas de concientización es fundamental.
Cultura de intercambio de información y colaboración externa: la cultura de intercambio de información y de apertura a la colaboración externa suele acrecentar los riesgos. Se hace necesario un control estricto, especialmente en las comunicaciones por correo electrónico, y esto puede volverse difícil cuando hay tantas terceras partes conectadas, desde antiguos alumnos y donantes hasta organizaciones benéficas y proveedores.
Una amplia superficie de ataque: la superficie de ciberataques se amplió con la llegada del aprendizaje virtual y el trabajo a distancia. Desde los servidores en la nube hasta los dispositivos móviles personales, hasta las redes domésticas y el gran número de empleados y estudiantes, hay muchos objetivos a los que pueden apuntar las amenazas.
Grandes cantidades de información personal identificable: las escuelas y universidades almacenan, gestionan y procesan grandes volúmenes de información personal identificable (IPI) sobre el personal y estudiantes, incluidos datos sanitarios y financieros. Esto las convierte en un objetivo atractivo para los estafadores y los autores de ransomware con motivaciones económicas. Además, muchas instituciones llevan adelante investigaciones sensibles que también las convierte en objetivo de los estados-nación.
En términos de cuidados, protección y seguridad, ESET sugiere a las instituciones educativas centrarse en las personas, los procesos y la tecnología para mitigar el riesgo cibernético:
Aplicar contraseñas seguras y únicas y la autenticación multifactor (AMF) para proteger las cuentas.
Practicar la ciberhigiene con parches inmediatos, copias de seguridad frecuentes y cifrado de datos.
Desarrollar y poner a prueba un sólido plan de respuesta a incidentes para minimizar el impacto de una brecha.
Educar al personal, estudiantes y equipo de administración sobre las mejores prácticas de seguridad, con foco en la detección de los correos electrónicos de phishing.
Elaborar y compartir una política detallada de uso aceptable con los estudiantes, incluida la seguridad que espera que preinstalen en sus dispositivos.
Asociarse con un proveedor de ciberseguridad de confianza que proteja los terminales, los datos y la propiedad intelectual de la organización.
Considerar el uso de detección y respuesta gestionadas (MDR) para supervisar la actividad sospechosa 24 horas al día, 7 días a la semana, y ayudar a detectar y contener las amenazas antes de que puedan afectar a la organización.