ESET analiza por qué las instituciones académicas tienen una serie de características únicas que las hacen
atractivas para los ciberatacantes y advierte cómo enfrentar estas amenazas.
Las instituciones educativas se transformaron en un objetivo
popular para los ataques, debido a una combinación de redes porosas, gran número de usuarios, datos
altamente monetizables y debido a sus conocimientos y presupuestos de seguridad limitados. El equipo
de investigación de ESET, compañía líder en detección proactiva de amenazas, observó sofisticados
grupos APT (Amenaza Persistente Avanzada) atacando instituciones en todo el mundo.
Los agentes patrocinados por estados-nación y los ciberdelincuentes se encuentran entre las mayores
amenazas actuales para escuelas, institutos y universidades. En el período de abril a septiembre de
2024, el sector educativo estuvo entre las tres industrias más atacadas por grupos APT alineados con
China, entre las dos primeras por Corea del Norte y entre las seis primeras por actores alineados con
Irán y Rusia.
En el Reino Unido, el 71% de los centros de enseñanza secundaria y casi todas las universidades (97%)
sufrieron un ataque o fallo de seguridad grave el año pasado, frente a solo la mitad (50%) de las
empresas, según datos del Gobierno. En Estados Unidos, las cifras más recientes disponibles del K12
Security Information Exchange (SIX) revelan que, entre 2016 y 2022, la nación experimentó más de un
ciberincidente por día escolar.
En cuanto a las tácticas, técnicas y procedimientos utilizados para atacar instituciones del sector
educativo, desde ESET aclaran que depende del objetivo final y del actor de la amenaza. En este sentido,
ESET analiza los puntos que hacen atractivos a los establecimientos educativos para los ciberatacantes:
- Presupuesto y conocimientos limitados: El sector educativo suele estar bajo una mayor presión
presupuestaria que las empresas privadas y suele estar más limitado para la contratación de
talentos en ciberseguridad y a la adopción de herramientas de seguridad. Esto puede crear
peligrosas lagunas de cobertura y capacidad. - Uso de dispositivos personales sin seguridad adecuada: Según Microsoft, BYOD (Bring Your On
Device) es muy común entre quienes estudian en instituciones estadounidenses. El uso las redes
escolares con los dispositivos personales puede proporcionar una vía de acceso a datos y sistemas
sensibles si no se acompaña con una política de seguridad adecuada. - Bajo nivel de concientización de usuarios: El factor humano sigue siendo uno de los mayores retos
para el personal de seguridad. El personal y quienes estudian en entornos educativos, son un
objetivo buscado para el phishing, por lo que implementar programas de concientización es
fundamental. Pero, por dar un ejemplo, solo el 5% de las universidades del Reino Unido, realiza este
tipo de actividades destinadas a estudiantes.
- Cultura de intercambio de información y colaboración externa: La cultura de intercambio de
información y de apertura a la colaboración externa suele acrecentar los riesgos. Se hace necesario
un control estricto, especialmente en las comunicaciones por correo electrónico, y esto puede
volverse difícil cuando hay tantas terceras partes conectadas, desde antiguos alumnos y donantes
hasta organizaciones benéficas y proveedores. - Una amplia superficie de ataque: La superficie de ciberataques se amplió con la llegada del
aprendizaje virtual y el trabajo a distancia. Desde los servidores en la nube hasta los dispositivos
móviles personales, hasta las redes domésticas y el gran número de empleados y estudiantes, hay
muchos objetivos a los que pueden apuntar las amenazas. - Grandes cantidades de información personal identificable: Las escuelas y universidades almacenan,
gestionan y procesan grandes volúmenes de información personal identificable (IPI) sobre el
personal y estudiantes, incluidos datos sanitarios y financieros. Esto las convierte en un objetivo
atractivo para los estafadores y los autores de ransomware con motivaciones económicas. Además,
muchas instituciones llevan adelante investigaciones sensibles que también las convierte en objetivo
de los estados-nación.
En el Reino Unido, las universidades consideran el ransomware como la principal ciberamenaza para el
sector, seguido de la ingeniería social/phishing y las vulnerabilidades sin parchear. Y en Estados Unidos,
un informe del Departamento de Seguridad Nacional afirma que: «Los distritos escolares K-12 han sido
un objetivo casi constante del ransomware debido a las limitaciones presupuestarias de IT de los
sistemas escolares y a la falta de recursos dedicados, así como al éxito de los cibercriminales a la hora de
extraer el pago de algunas escuelas a las que se exige que funcionen en determinadas fechas y horas».
“El tamaño cada vez mayor de la superficie de ataque, incluidos los dispositivos personales, la tecnología
heredada, el gran número de usuarios y las redes abiertas, facilita enormemente el trabajo del actor de
la amenaza. Si bien puede haber un conjunto único de razones por las que los actores de amenazas
atacan a escuelas, colegios y universidades, en términos generales, las técnicas que utilizan para ello son
de probada eficacia. Esto significa que para la protección, se aplican las normas de seguridad
habituales”, comenta Camilo Gutiérrez Amaya, jefe del Laboratorio de Seguridad informática de ESET
Latinoamérica.
En términos de cuidados, protección y seguridad, ESET sugiere a las instituciones educativas centrarse
en las personas, los procesos y la tecnología para mitigar el riesgo cibernético:
Aplicar contraseñas seguras y únicas y la autenticación multifactor (AMF) para proteger las cuentas
Practicar la ciberhigiene con parches inmediatos, copias de seguridad frecuentes y cifrado de datos
Desarrollar y poner a prueba un sólido plan de respuesta a incidentes para minimizar el impacto de
una brecha
Educar al personal, estudiantes y equipo de administración sobre las mejores prácticas de seguridad,
con foco en la detección de los correos electrónicos de phishing
Elaborar y compartir una política detallada de uso aceptable con los estudiantes, incluida la
seguridad que espera que preinstalen en sus dispositivos
Asociarse con un proveedor de ciberseguridad de confianza que proteja los terminales, los datos y la
propiedad intelectual de la organización
Considerar el uso de detección y respuesta gestionadas (MDR) para supervisar la actividad
sospechosa 24 horas al día, 7 días a la semana, y ayudar a detectar y contener las amenazas antes de
que puedan afectar a la organización
“Los educadores de todo el mundo ya tienen muchos problemas con los que lidiar, desde la escasez de
personal cualificado hasta los problemas de financiación. Pero ignorar la ciberamenaza no hará que
desaparezca. Si se dejan escalar, las brechas pueden causar enormes daños financieros y de reputación
que, para las universidades en particular, podrían ser desastrosos. En última instancia, las brechas de
seguridad merman la capacidad de las instituciones para ofrecer la mejor educación posible. Es algo que
debería preocuparnos a todos”, comenta Camilo Gutiérrez Amaya, jefe del Laboratorio de Seguridad
informática de ESET Latinoamérica.
