Madrid
El sector público siempre ha sido un objetivo bastante popular entre los ciberdelincuentes, siendo el ámbito de la educación uno de los más afectados por esta actividad. En los últimos años ha aumentado la frecuencia, el grado de sofisticación y el coste de sus ciberataques.
En 2019 la comunidad educativa registró la mayor subida interanual en fraudes por correo electrónico de entre todos los sectores, con un crecimiento del 192% y un promedio de unos 40 ataques por institución. Cada una de estas entidades paga por ello un precio muy alto: el coste medio anual del cibercrimen en el sector público es de casi ocho millones de dólares.
Aunque estas cifras puedan parecer alarmantes a primera vista, resultan menos sorprendentes si se tiene en cuenta que el sector educativo quedó en último lugar en un reciente ránking que evaluaba el nivel de preparación en ciberseguridad de entre un total de 17 industrias.
En un sector de por sí con una planificación deficiente los retos son aún mayores. Más si cabe en un entorno como el que vivimos actualmente, marcado por la pandemia del coronavirus, que ha obligado a los centros educativos a adoptar de inmediato distintos sistemas de aprendizaje virtual. Todo esto, en un ámbito en el que ya antes se luchaba por garantizar la seguridad de sus numerosos puntos de acceso, no hace sino aumentar rápidamente su potencial superficie de ataque.
Mientras, los ciberdelincuentes no han dudado a la hora de aprovecharse de la situación. El FBI dejaba claro hace poco que los atacantes buscan activamente la manera de explotar esta dependencia de organizaciones y usuarios en las plataformas virtuales. Y si no se realizan cambios significativos en los entornos de seguridad, el sector educativo quedará abocado a convertirse en un blanco fácil para los atacantes.
¿Está a punto de ocurrir un desastre?
La situación provocada por la Covid-19 parece haber aumentado las probabilidades de que esto ocurra, pero no es menos cierto que la enseñanza ha sido durante mucho tiempo una bomba de relojería.
Las instituciones educativas poseen enormes cantidades de datos altamente sensibles sobre individuos, tal vez en mayor número que en cualquier otro sector excepto el de la salud. Además de conservar información general como nombre, dirección o fecha de nacimiento de los usuarios, los centros de enseñanza suelen guardar también detalles sobre pagos, DNIs, números de la seguridad social o historiales médicos, entre muchos otros.
Todo este tesoro en cuanto a información convierte a cada escuela, instituto o universidad de tamaño considerable en una posible víctima a manos de los ciberdelincuentes. A esto hay que añadir que, al igual que sucede con las instituciones médicas, los centros educativos necesitan mantener sus servicios de forma continuada; y los ciberdelincuentes toman buena nota de esto, de ahí que este sector sea uno de los más afectados por ataques de ransomware.
Después hay cuestiones relacionadas con los propios usuarios. Contrariamente a la creencia popular, las generaciones más jóvenes se suelen relajar mucho más en temas de ciberseguridad que otros usuarios de mayor edad. Algo muy común en estudiantes es el uso de contraseñas un tanto débiles, así como compartir o reutilizar credenciales entre varios.
Asimismo, las entidades de carácter público no se caracterizan especialmente por destinar unos recursos boyantes a TI, ni tampoco por disponer de numerosos profesionales de ciberseguridad a su servicio, lo que se traduce en una ausencia de control.
Pese a que los ataques por correo electrónico son el vector de amenaza más común, se ha podido constatar que cinco de las diez universidades españolas más destacadas no cuentan con una política de DMARC (autenticación de mensajes, informes y conformidad basada en dominios), corriendo así el riesgo de que los ciberdelincuentes usurpen el nombre de sus dominios y sufran ataques de phishing.
El hecho de tener información valiosa bajo una protección tan mínima se convierte en un sustancioso premio para todos aquellos actores con intenciones maliciosas, y la incertidumbre generada por la Covid-19 ha servido como caldo de cultivo de nuevos ciberataques.
Cómo proteger los datos en medio de una pandemia
El impacto del coronavirus ha empeorado la precaria situación en la que estaba inmersa el sector de la educación. Si los datos, las redes y la infraestructura no estaban protegidos adecuadamente, su repentina migración a otros entornos complicados de salvaguardar solo dificulta todavía más las cosas.
A unas instituciones con tanta sobrecarga de trabajo se les añade ahora la obligación de desplegar plataformas de aprendizaje virtual para que sus alumnos puedan acceder en remoto o crear redes privadas virtuales (VPN), entre otras tareas. En esta adaptación a contrarreloj muchos de estos centros están tomando atajos con los que están renunciado a seguir las prácticas recomendadas en ciberseguridad. Las consecuencias que esto produce no son difíciles de adivinar. Grupos de ciberdelincuencia de lo más sofisticado tienen en su punto de mira tanto a los alumnos como al personal de instituciones educativas, y los ataques van en aumento dentro de un sector contra las cuerdas que lucha por proteger un panorama más complejo con los mismos limitados recursos.
En los últimos 30 días se han registrado más de cinco millones de incidentes con malware en el ámbito educativo, según el rastreador global de amenazas de Microsoft. Son casi dos tercios del total de amenazas en los ocho sectores más afectados por el cibercrimen. Por comparar con los siguientes en esta lista, el área de servicios empresariales y profesionales, estos tuvieron tan solo 842.000 incidentes en el mismo periodo.
Una robusta ciberdefensa es esencial en este curso académico
En un sector tan atacado como el de la enseñanza es necesario poner a las personas en el centro de la ciberdefensa para que esta sea verdaderamente efectiva. Casi el 100% de los ciberataques requiere de la interacción humana para tener éxito.
Pero también las personas pueden hacer que la amenaza de los atacantes acabe en un completo fracaso. Por eso, desde las universidades deben asegurarse de que tanto todo su personal como alumnado aprendan nociones básicas de seguridad y sepan cuál es la mecánica de las amenazas más comunes. Esta formación de concienciación en ciberseguridad debe estar asimismo dentro de un contexto, por lo que los miembros de la comunidad educativa deben saber que es muy probable enfrentarse estos días a un ciberataque y que el papel que desempeñan es fundamental para defenderse contra cualquier amenaza.
Hay que prestar especial atención a la seguridad del correo electrónico. Crear consciencia en torno a los signos más reveladores de que se está sufriendo un ataque de phishing, como es el caso de las faltas de ortografía y los errores gramaticales, solicitudes con carácter urgente, peticiones de datos no solicitados o la inserción de enlaces fraudulentos en los emails que puedan llegar a la bandeja de correo.
Además de formar a los usuarios de forma detallada y continua, conviene proporcionarles unas directrices claras sobre seguridad que deben seguir estando en el aula y también en casa, que alerten sobre los peligros de intercambiar o reutilizar credenciales, usar dispositivos personales y de almacenamiento externo, así como de la protección de datos, entre otras prácticas estándar.
Y, por último, desplegar herramientas y controles que consigan proteger sus datos y redes, junto con el empleo de sistemas de autenticación multifactorial en todos los sistemas, dispositivos y aplicaciones.
Reforzar la seguridad del correo electrónico tiene que ser una prioridad máxima, mediante soluciones que logren detectar y filtrar posibles mensajes sospechosos, además de notificar si se ha iniciado una misma sesión más de una vez o si se están usando de forma anormal algún dispositivo o cualquier otro indicador que alerte del compromiso de una cuenta.
Todavía se desconoce por cuánto tiempo el aprendizaje virtual a distancia continuará siendo algo imprescindible en el día a día de la comunidad educativa. Aun así, de lo que podemos estar seguros es de que las amenazas que se ciernen sobre las universidades y sus miembros persistirán durante un largo tiempo. De ahí, la necesidad por parte de los profesionales de seguridad para que actúen y protejan a los usuarios en estos momentos de pandemia y en adelante.
Elaborado por Ryan Witt, director de estrategia en ciberseguridad para el sector educativo en Proofpoint
