El sector educativo se ha convertido en un blanco cada vez más frecuente para los ciberataques, debido a una combinación de factores que lo hacen particularmente vulnerable. Un análisis de ESET detalla las razones detrás de este incremento y ofrece recomendaciones para fortalecer las defensas de las instituciones académicas.
La investigación de ESET revela que grupos de Amenazas Persistentes Avanzadas (APT) patrocinados por estados-nación y ciberdelincuentes comunes están dirigiendo sus esfuerzos hacia escuelas, institutos y universidades a nivel global. Entre abril y septiembre de 2024, el sector educativo se ubicó entre las tres industrias más atacadas por grupos APT alineados con China, entre las dos primeras por Corea del Norte, y entre las seis principales por actores vinculados a Irán y Rusia.
Las estadísticas respaldan esta tendencia. En el Reino Unido, un 71% de las escuelas secundarias y casi la totalidad de las universidades (97%) reportaron haber sufrido un ataque o fallo de seguridad grave el año pasado, cifras significativamente superiores al 50% registrado en el sector empresarial. En Estados Unidos, el K12 Security Information Exchange (SIX) documentó más de un ciberincidente por día escolar entre 2016 y 2022.
¿Por qué el sector educativo es un objetivo atractivo?
ESET identifica varias características únicas que hacen a las instituciones educativas particularmente vulnerables y atractivas para los ciberatacantes:
Presupuesto y conocimientos limitados: A menudo, las instituciones educativas operan con presiones presupuestarias mayores que las empresas privadas, lo que restringe la contratación de talento en ciberseguridad y la adopción de herramientas de protección avanzadas.
Uso de dispositivos personales (BYOD) sin seguridad adecuada: La práctica de «Trae tu propio dispositivo» (BYOD) es común entre estudiantes. El uso de redes escolares con dispositivos personales sin políticas de seguridad robustas puede abrir puertas a datos y sistemas sensibles.
Bajo nivel de concienciación de usuarios: El factor humano sigue siendo un desafío. El personal y los estudiantes son objetivos frecuentes de ataques de phishing. A pesar de esto, solo un 5% de las universidades del Reino Unido, por ejemplo, implementa programas de concientización para sus estudiantes.
Cultura de intercambio de información y colaboración externa: La naturaleza abierta y colaborativa del entorno académico, con múltiples partes conectadas (exalumnos, donantes, organizaciones benéficas, proveedores), puede aumentar los riesgos si no hay un control estricto de las comunicaciones, especialmente el correo electrónico.
Amplia superficie de ataque: La expansión del aprendizaje virtual y el trabajo a distancia ha multiplicado los puntos de entrada para los ciberatacantes, desde servidores en la nube y dispositivos móviles personales hasta redes domésticas y una gran cantidad de usuarios.
Grandes cantidades de Información Personal Identificable (IPI): Escuelas y universidades manejan y procesan grandes volúmenes de datos personales de personal y estudiantes, incluyendo información de salud y financiera. Esto las convierte en blancos valiosos para estafadores y operadores de ransomware con motivaciones económicas. Además, la investigación sensible que realizan muchas instituciones las hace objetivos de estados-nación.
Camilo Gutiérrez Amaya, Jefe del Laboratorio de Seguridad Informática de ESET Latinoamérica, comenta que «el tamaño cada vez mayor de la superficie de ataque, incluidos los dispositivos personales, la tecnología heredada, el gran número de usuarios y las redes abiertas, facilita enormemente el trabajo del actor de la amenaza». Aunque las razones detrás de los ataques pueden ser únicas para el sector educativo, las técnicas utilizadas son a menudo las mismas, lo que significa que «se aplican las normas de seguridad habituales» para la protección.
Estrategias de defensa recomendadas por ESET
Para mitigar el riesgo cibernético, ESET aconseja a las instituciones educativas centrarse en las personas, los procesos y la tecnología:
Implementar contraseñas seguras y autenticación multifactor (AMF): Proteger todas las cuentas con credenciales robustas.
Practicar la ciberhigiene: Mantener los sistemas actualizados con parches de seguridad, realizar copias de seguridad frecuentes y cifrar los datos.
Desarrollar y Probar un Plan de Respuesta a Incidentes: Minimizar el impacto de una brecha de seguridad mediante un plan bien definido y ensayado.
Educar a la Comunidad: Capacitar al personal, estudiantes y equipo administrativo sobre las mejores prácticas de seguridad, con un enfoque particular en la detección de correos electrónicos de phishing.
Establecer Políticas de Uso Aceptable: Elaborar y compartir una política clara sobre el uso de dispositivos y redes, incluyendo las expectativas de seguridad.
Asociarse con un Proveedor de Ciberseguridad de Confianza: Contar con el apoyo de expertos para proteger los terminales, los datos y la propiedad intelectual.
Considerar la Detección y Respuesta Gestionadas (MDR): Implementar servicios de monitoreo 24/7 para detectar y contener amenazas de manera proactiva.
Gutiérrez Amaya concluye que, si bien los educadores enfrentan múltiples desafíos, «ignorar la ciberamenaza no hará que desaparezca». Las brechas de seguridad pueden causar daños financieros y de reputación significativos, lo que en última instancia «merma la capacidad de las instituciones para ofrecer la mejor educación posible».
Fuente: ESET
