Si tuviéramos que dibujar un diagrama de Venn de seguridad de la información, con un círculo representando «información confidencial que los atacantes querrían robar» y el otro «recursos limitados más entornos de TI difíciles de proteger», la educación se superpondría. Las escuelas, incluidas las escuelas K-12, colegios y universidades, almacenan registros médicos y de salud, datos de menores, información financiera, investigaciones confidenciales, modelos de entrenamiento de inteligencia artificial y otra propiedad intelectual patentada. Al mismo tiempo, se sabe que carecen de personal suficiente (con la excepción de algunas instituciones privadas adineradas) y de fondos insuficientes, especialmente en lo que respecta a TI y seguridad. Los usuarios de su red incluyen estudiantes (algunos de tan solo cinco años), maestros y catedráticos, médicos y pacientes, trabajadores del servicio de alimentos, conserjes, personal y visitantes. Además, las instalaciones educativas y los campus deben proteger entornos de TI que abarquen tanto sistemas antiguos como modernos, abarcando todo, desde sistemas de procesamiento de pagos hasta equipos médicos, así como teléfonos personales, computadoras y consolas de juegos. Cada semana, el sector de educación/investigación enfrenta un promedio de 2.507 intentos de ciberataques, y todos, desde grupos de estados-nación hasta bandas de ransomware y otros delincuentes con motivaciones financieras, ponen a las escuelas en su punto de mira. Al menos según Microsoft, que en su informe Cyber ​​Signals publicado hoy advirtió que Irán y Corea del Norte se encuentran entre los malhechores que atacan las escuelas. A partir del segundo trimestre de 2024, la educación ostenta la dudosa distinción de ser la tercera industria más atacada, según los eventos de seguridad analizados, señala Redmond. «Las amenazas cibernéticas que Microsoft observa en diferentes industrias tienden a agravarse en la educación, y los actores de amenazas se han dado cuenta de que este sector es inherentemente vulnerable», escribe el equipo de Microsoft Threat Intelligence, y agrega que estas amenazas incluyen malware, ataques de phishing, robo de datos, y dispositivos IoT vulnerables, entre muchos otros. Cuando se trata de ransomware en particular, la fabricación sigue representando el mayor porcentaje de los compromisos de respuesta a incidentes de ransomware de Microsoft con un 34 por ciento. Pero el sector de la educación es el objetivo con tanta frecuencia como el comercio minorista, las telecomunicaciones, el transporte, la atención médica y la tecnología de la información (todos los cuales experimentan aproximadamente el 11 por ciento de los ataques). Irán y Corea del Norte buscan propiedad intelectual, criptomonedas de expertos y estudiantes. Entre los grupos respaldados por Irán que atacan escuelas, los analistas de seguridad de Redmond detectaron a Peach Sandstorm, un equipo respaldado por el Cuerpo de la Guardia Revolucionaria Islámica (IRGC), utilizando ataques de pulverización de contraseñas para irrumpir en las redes educativas y bandejas de entrada de correo electrónico, así como campañas de ingeniería social dirigidas a instituciones de educación superior. Mint Sandstorm es otro grupo vinculado al gobierno iraní al que se ha detectado que tiene como objetivo a destacados expertos en asuntos de Oriente Medio en las universidades. «Estos sofisticados ataques de phishing utilizaron ingeniería social para obligar a los objetivos a descargar archivos maliciosos, incluida una nueva puerta trasera personalizada llamada MediaPl», señala Microsoft. Según Redmond, en 2023 el Instituto Mabna de Irán pirateó los sistemas informáticos de al menos 144 universidades estadounidenses, junto con otras 176 en otros 21 países, y robó las credenciales de los profesores. Las credenciales se utilizaron «en beneficio del» Cuerpo de la Guardia Revolucionaria Islámica de Irán, para acceder a los sistemas de biblioteca de las escuelas y también se vendieron en línea. Se nos dice que Emerald Sleet y Moonstone Sleet se encuentran entre los grupos norcoreanos que apuntan al sector educativo. Emerald se centra en académicos y expertos en política de Asia Oriental o en las relaciones entre Corea del Norte y Corea del Sur, y utiliza IA para escribir su contenido de ingeniería social. Mientras tanto, Moonstone crea empresas falsas para desarrollar relaciones con las escuelas. «Uno de los ataques más destacados de Moonstone Sleet implicó la creación de un juego falso con temática de tanques utilizado para atacar a individuos en instituciones educativas, con el objetivo de implementar malware y exfiltrar datos», señala Redmond. Otro grupo norcoreano al que Microsoft rastrea como Storm-1877 suele apuntar a estudiantes por robo de criptomonedas. Estos ataques suelen comenzar en las redes sociales y el equipo utiliza malware personalizado. Abuso de códigos QR en aumento Una de las formas en que los delincuentes están obteniendo acceso inicial a personas y dispositivos en sus ataques es abusando de los códigos QR, que las escuelas y las organizaciones adyacentes a las escuelas (como asociaciones de padres y maestros, clubes universitarios, equipos deportivos y la Me gusta: utilícelo en folletos que ofrecen información sobre todo, desde eventos para recaudar fondos escolares, formularios de ayuda financiera, pases de estacionamiento, inscripciones para bandas musicales y otros eventos. «Esto crea un telón de fondo atractivo para que actores maliciosos apunten a usuarios que intentan ahorrar tiempo con un escaneo rápido de imágenes», según Microsoft, que detectó más de 15.000 mensajes con códigos QR maliciosos dirigidos al sector educativo todos los días durante el año pasado. Principales objetivos de espionaje Las universidades tienen sus propios desafíos de seguridad. Los líderes de estas instituciones actúan efectivamente como «CEO de organizaciones de atención médica, proveedores de vivienda y grandes organizaciones financieras», según Redmond. También participan en programas de investigación financiados con fondos federales y trabajan con contratistas de defensa y empresas de tecnología, lo que los convierte en objetivos principales para el espionaje. «Es posible que estén realizando investigaciones innovadoras. Es posible que estén trabajando en proyectos de alto valor en el sector aeroespacial, de ingeniería, de ciencia nuclear u otros temas delicados en asociación con múltiples agencias gubernamentales», señala el informe. «Para los ciberatacantes, puede ser más fácil comprometer primero a alguien en el sector educativo que tenga vínculos con el sector de defensa y luego usar ese acceso para realizar phishing de manera más convincente a un objetivo de mayor valor». Entonces, por ejemplo, después de comprometer las credenciales de un profesor o investigador, un atacante podría enviar un correo electrónico desde una cuenta universitaria a un funcionario del gobierno y engañarlo para que revele información confidencial. Desafortunadamente, no existe una solución fácil cuando se trata de seguridad en el sector educativo. Requiere mucha educación para los estudiantes y el personal sobre las mejores prácticas, como la autenticación multifactor (MFA). Según Microsoft, las cuentas tienen un 99,9 por ciento menos de probabilidades de verse comprometidas si tienen activada MFA. MFA y contraseñas seguras y únicas también pueden ayudar a proteger contra ataques de pulverización de contraseñas. Redmond también sugiere implementar un servicio de protección de nombres de dominio gratuito para impedir que las computadoras se conecten a sitios web maliciosos, reduciendo así el riesgo de ransomware y otros ataques. ®