Las instituciones académicas tienen un conjunto único de características que las hace atractivas para los malos actores. ¿Cuál es el antídoto correcto al riesgo cibernético? 14 de abril de 2025 •, 5 min. Lea que todos queremos la mejor educación posible para nuestros hijos. Pero incluso los planes mejor que se pueden despegar cuando se enfrentan a un adversario ágil, persistente y tortuoso. Los actores y ciberdelincuentes alineados en el estado de la nación representan una de las mayores amenazas para las escuelas, colegios y universidades de hoy. El sector educativo fue el tercero dirigido en el segundo trimestre de 2024, según Microsoft. Y los investigadores de amenazas de ESET han observado grupos APT sofisticados dirigidos a instituciones en todo el mundo. En el período de abril a septiembre de 2024, el sector educativo estuvo en las tres industrias más atacadas por grupos APT alineados por China, los dos primeros para Corea del Norte, y en los seis primeros para actores alineados con Irán como de Rusia. Las instituciones académicas tienen un conjunto único de características que las hace atractivas para los malos actores. Pero afortunadamente, los pasos de seguridad de las mejores prácticas universales siguen siendo un antídoto efectivo para el riesgo cibernético. ¿Por qué los piratas informáticos van tras las escuelas y las universidades? En el Reino Unido, el 71%de las escuelas secundarias (mayores) y casi todas (97%) de las universidades identificaron una grave violación o ataque de seguridad durante el año pasado, en comparación con solo la mitad (50%) de las empresas, según cifras del gobierno. En los Estados Unidos, las cifras más recientes disponibles del Intercambio de Información de Seguridad K12 (seis) revelan que, entre 2016 y 2022, la nación experimentó más de un incidente cibernético por día escolar. Entonces, ¿por qué las instituciones educativas son un objetivo tan popular? Es una combinación de redes porosas, grandes números de usuarios, datos altamente monetizables y conocimientos y presupuestos de seguridad limitados. Consideremos esto con más detalle: presupuesto limitado y sepamos cómo: el sector educativo simplemente no puede competir con empresas privadas con bolsas profundas cuando se trata de talento limitado de ciberseguridad. Y la misma presión presupuestaria significa que las instituciones generalmente no tienen mucho que gastar en herramientas de seguridad. Esto puede crear brechas peligrosas en cobertura y capacidad. Sin embargo, tales preocupaciones monetarias hacen que sea aún más importante mitigar el riesgo cibernético. Un informe afirma que los ataques de ransomware contra escuelas y universidades de EE. UU. Desde 2018 les han costado $ 2.5 mil millones solo en tiempo de inactividad. Dispositivos personales: según Microsoft, BYOD es común en las escuelas de los Estados Unidos, mientras que en la universidad, se espera que los estudiantes de todas partes proporcionen sus propias computadoras portátiles y dispositivos móviles. Si se les permite iniciar sesión en redes escolares sin verificaciones de seguridad adecuadas, estos dispositivos podrían proporcionar a los actores de amenaza una vía de datos y sistemas confidenciales. Usuarios falibles: los humanos siguen siendo uno de los mayores desafíos para el personal de seguridad. Y la gran cantidad de personal y estudiantes en entornos educativos los convierte en un objetivo popular para el phishing. El entrenamiento de conciencia es esencial. Pero en el Reino Unido, por ejemplo, solo el 5% de las universidades lo hacen obligatorio para los estudiantes. Una cultura de apertura: las escuelas, colegios y universidades no son como los negocios típicos. Una cultura de intercambio de información y apertura a la colaboración externa, puede invitar al riesgo y brindar oportunidades para que los actores de amenazas aprovechen. Se preferirían controles más estrictos, especialmente en las comunicaciones por correo electrónico. Pero eso es difícil cuando hay tantos terceros conectados, desde ex alumnos y donantes hasta organizaciones benéficas y proveedores. Una amplia superficie de ataque: la cadena de suministro de la educación es solo una faceta de una superficie creciente de ciberataque que se ha expandido en los últimos años con el advenimiento del aprendizaje virtual y el trabajo remoto. Desde servidores en la nube hasta dispositivos móviles personales, redes domésticas y grandes y fluidos número de personal y estudiantes, hay muchos objetivos para que los actores de amenaza apunten. No ayuda que muchas instituciones educativas estén ejecutando software y hardware heredados que puedan ser sin parpadear y sin apoyo. PII e IP: las escuelas y universidades almacenan, administran y procesan grandes volúmenes de información de identificación personal (PII) sobre el personal y los estudiantes, incluidos los datos de salud y financieros. Eso los convierte en un objetivo atractivo para actores y estafadores de ransomware motivados financieramente. Pero hay más. La investigación sensible manejada por muchas universidades también las destaca para la atención del estado nación. El Director General de MI5 advirtió a los jefes de las principales universidades del Reino Unido sobre exactamente esto en abril de 2024. La amenaza es real, estas no son amenazas teóricas. K12 Six ha catalogado 1.331 incidentes cibernéticos escolares divulgados públicamente que afectan los distritos escolares de los Estados Unidos desde 2016. Y la agencia de seguridad de la UE ENISA documentó más de 300 incidentes que afectan al sector entre julio de 2023 y junio de 2024. Muchos más no se informarán. Las universidades están siendo violadas continuamente por los actores de ransomware, a veces con un efecto devastador. El actor de amenazas típico TTP que enfrenta el sector educativo En cuanto a las tácticas, las técnicas y los procedimientos (TTP) utilizados para apuntar a las instituciones del sector educativo, depende de la meta final y el actor de amenaza. Los ataques respaldados por el estado a menudo son sofisticados, como los del grupo Ballistic Ballistic alineado en Irán (también conocido como APT35, tormenta de arena de menta). En un ejemplo, ESET observó al actor que intentaba eludir el software de seguridad, incluido EDR, inyectando código malicioso en procesos inocuos y utilizando múltiples módulos para evadir la detección. En el Reino Unido, las universidades consideran que el ransomware es el ciberthreat número uno para el sector, seguido de ingeniería social/phishing y vulnerabilidades sin partos. Y en los EE. UU., Un informe del Departamento de Seguridad Nacional afirma que: «Los distritos escolares K -122 han sido un objetivo de ransomware casi constante debido a las limitaciones de presupuesto de TI de los sistemas escolares y la falta de recursos dedicados, así como el éxito de los actores de ransomware al extraer el pago de algunas escuelas que deben funcionar dentro de ciertas fechas y horas». El tamaño creciente de la superficie de ataque, incluidos dispositivos personales, tecnología heredada, un gran número de usuarios y redes abiertas, hace que el trabajo del actor de amenaza sea mucho más fácil. Microsoft incluso ha advertido sobre un aumento en los esfuerzos basados en código QR. Estos están diseñados para apoyar campañas de phishing y malware a través de códigos maliciosos en correos electrónicos, volantes, pases de estacionamiento, formularios de ayuda financiera y otras comunicaciones oficiales. ¿Cómo pueden las escuelas y las universidades mitigar el riesgo cibernético? Puede haber un conjunto único de razones por las cuales los actores de amenaza apuntan a escuelas, colegios y universidades. Pero en términos generales, las técnicas que están utilizando para hacerlo se prueban y proban. Eso significa que se aplican las reglas de seguridad habituales. Concéntrese en las personas, el proceso y la tecnología con algunos de los siguientes consejos: imponga contraseñas fuertes y únicas y autenticación multifactor (MFA) para proteger la práctica de las cuentas La buena higiene cibernética con parches rápidos, copias de seguridad frecuentes y el cifrado de datos desarrollar y probar un plan de respuesta de incidente robusta para impactar un impacto de un personal educado, los estudiantes y los administradores en la seguridad de las mejores prácticas, incluidas la seguridad de la seguridad de la mejor seguridad, incluir un spot de los correos de correo electrónico, compartir un sólido. Incluyendo la seguridad que espera que prevalecan en su socio de dispositivos con un proveedor de seguridad cibernética de buena reputación que proteja los puntos finales, los datos y la propiedad intelectual de su organización consideran el uso de la detección y respuesta administradas (MDR) para monitorear las actividades sospechosas 24/7 y ayudar a atrapar y contener amenazas antes de que puedan afectar a la organización, los educadores globales ya tienen muchos problemas para abordar, a partir de las escasas de habilidades hasta los desafíos sospechosos. Pero ignorar el ciberthreat no hará que desaparezca. Si se deja escalar, las infracciones pueden causar tremendos daños financieros y de reputación que, para las universidades en particular, podrían ser desastrosas. En última instancia, las violaciones de seguridad disminuyen la capacidad de las instituciones para proporcionar la mejor educación posible. Eso es algo de lo que todos deberíamos preocuparnos.