Las instituciones académicas tienen una serie de características únicas que las hacen atractivas para los cibercriminales. Los agentes patrocinados por estados-nación y los ciberdelincuentes se encuentran entre las mayores amenazas actuales para escuelas, institutos y universidades y, según un informe de Microsoft, el sector educativo fue el tercero más atacado por los ciberataques en el segundo trimestre de 2024.

El equipo de investigadores de ESET, por su parte, ha observado sofisticados grupos APT atacando instituciones en todo el mundo. En el período de abril a septiembre de 2024, el sector educativo estuvo entre las tres industrias más atacadas por grupos APT alineados con China, entre las dos primeras por Corea del Norte y entre las seis primeras por actores alineados con Irán y Rusia.

¿Por qué persiguen los hackers a las escuelas y universidades?

En el Reino Unido, el 71% de los centros de enseñanza secundaria y casi todas las universidades (97%) sufrieron un ataque o fallo de seguridad grave el año pasado, frente a solo la mitad (50%) de las empresas, según datos del Gobierno. En Estados Unidos, las cifras más recientes disponibles del K12 Security Information Exchange (SIX) revelan que, entre 2016 y 2022, la nación experimentó más de un ciberincidente por día escolar.

Entonces, ¿por qué las instituciones educativas son un objetivo tan popular?

Es una combinación de redes porosas, gran número de usuarios, datos altamente monetizables y conocimientos y presupuestos de seguridad limitados. Veámoslo con más detalle:

  • Presupuesto y conocimientos limitados: El sector educativo suele estar bajo una mayor presión presupuestaria que las empresas privadas y suele estar más limitado para la contratación de talentos en ciberseguridad y a la adopción de herramientas de seguridad. Esto puede crear peligrosas lagunas de cobertura y capacidad. Como ejemplo, en los Estados Unidos, los ataques de ransomware a escuelas y universidades estadounidenses desde 2018 a 2024 les han costado 2.500 millones de dólares solo en tiempo de inactividad, según un informe.
  • Uso de dispositivos personales sin seguridad adecuada: Según Microsoft, BYOD (Bring Your On Device) es muy común entre quienes estudian en instituciones estadounidenses. El uso las redes escolares con los dispositivos personales puede proporcionar una vía de acceso a datos y sistemas sensibles si no se acompaña con una política de seguridad adecuada.
  • Bajo nivel de concientización de usuarios: El factor humano sigue siendo uno de los mayores retos para el personal de seguridad. Suele ser una gran cantidad de personas las que trabajan y estudian en entornos educativos, y cada uno es un objetivo buscado para el phishing, por lo que implementar programas de concientización es fundamental. Pero, por dar un ejemplo, solo el 5% de las universidades del Reino Unido, realiza este tipo de actividades destinadas a estudiantes.
  • Cultura de intercambio de información y colaboración externa: Los colegios, institutos y universidades no son como las empresas normales. La cultura de intercambio de información y de apertura a la colaboración externa que suele caracterizarlos puede acrecentar los riesgos. Se hace necesario un control estricto, especialmente en las comunicaciones por correo electrónico, y esto puede volverse difícil cuando hay tantas terceras partes conectadas, desde antiguos alumnos y donantes hasta organizaciones benéficas y proveedores.
  • Una amplia superficie de ataque: La cadena de suministro de la educación es solo una faceta de una creciente superficie de ciberataques que se ha ampliado en los últimos años con la llegada del aprendizaje virtual y el trabajo a distancia. Desde los servidores en la nube hasta los dispositivos móviles personales, pasando por las redes domésticas y el gran número de empleados y estudiantes, hay muchos objetivos a los que pueden apuntar las amenazas. No ayuda el hecho de que muchas instituciones educativas utilicen software y hardware heredados que pueden carecer de parches y soporte.
  • Grandes cantidades de información personal identificable: Las escuelas y universidades almacenan, gestionan y procesan grandes volúmenes de información personal identificable (IPI) sobre el personal y los estudiantes, incluidos datos sanitarios y financieros. Esto las convierte en un objetivo atractivo para los estafadores y los autores de ransomware con motivaciones económicas. Pero hay más: la investigación sensible que se lleva a cabo en muchas universidades también las convierte en objetivo de los estados-nación. Por ejemplo, el director general del MI5 advirtió a los directores de las principales universidades del Reino Unido exactamente sobre esto en abril de 2024.

Una amenaza real

No se trata de amenazas teóricas. K12 SIX ha catalogado 1.331 ciberincidentes escolares divulgados públicamente que afectaron a distritos escolares estadounidenses desde 2016. Y la agencia de seguridad de la UE ENISA documentó más de 300 incidentes que afectaron al sector entre julio de 2023 y junio de 2024. Muchos más quedarán sin notificar. Las universidades sufren continuamente ataques de ransomware, a veces con efectos devastadores.

Tácticas, técnicas y procedimientos típicas contra el sector educativo

En cuanto a las tácticas, técnicas y procedimientos (TTP) utilizados para atacar instituciones del sector educativo, depende del objetivo final y del actor de la amenaza. Los ataques respaldados por el Estado suelen ser sofisticados, como los del grupo Ballistic Bobcat (alias APT35, Mint Sandstorm), alineado con Irán. En un ejemplo, ESET observó que el actor intentaba eludir el software de seguridad, incluido el EDR, inyectando código malicioso en procesos inocuos y utilizando múltiples módulos para evadir la detección.

En el Reino Unido, las universidades consideran el ransomware como la principal ciberamenaza para el sector, seguido de la ingeniería social/phishing y las vulnerabilidades sin parchear. Y en Estados Unidos, un informe del Departamento de Seguridad Nacional afirma que: «Los distritos escolares K-12 han sido un objetivo casi constante del ransomware debido a las limitaciones presupuestarias de TI de los sistemas escolares y a la falta de recursos dedicados, así como al éxito de los cibercriminales a la hora de extraer el pago de algunas escuelas a las que se exige que funcionen en determinadas fechas y horas».

El tamaño cada vez mayor de la superficie de ataque, incluidos los dispositivos personales, la tecnología heredada, el gran número de usuarios y las redes abiertas, facilita enormemente el trabajo del actor de la amenaza. Microsoft ha advertido incluso de un repunte de los ataques basados en códigos QR. Estos están diseñados para apoyar campañas de phishing y malware a través de códigos maliciosos en correos electrónicos, folletos, pases de aparcamiento, formularios de ayuda financiera y otras comunicaciones oficiales.

¿Cómo pueden las escuelas y universidades mitigar el riesgo cibernético?

Puede haber un conjunto único de razones por las que los actores de amenazas atacan a escuelas, colegios y universidades. Pero, en términos generales, las técnicas que utilizan para ello son de probada eficacia. Esto significa que se aplican las normas de seguridad habituales. Céntrese en las personas, los procesos y la tecnología con algunos de los siguientes consejos:

  • Aplique contraseñas seguras y únicas y la autenticación multifactor (AMF) para proteger las cuentas
  • Practique una buena ciberhigiene con parches inmediatos, copias de seguridad frecuentes y cifrado de datos
  • Desarrolle y ponga a prueba un sólido plan de respuesta a incidentes para minimizar el impacto de una brecha
  • Eduque al personal, a los estudiantes y a los administradores sobre las mejores prácticas de seguridad, incluido cómo detectar los correos electrónicos de phishing
  • Comparta una política detallada de uso aceptable y BYOD con los estudiantes, incluida la seguridad que espera que preinstalen en sus dispositivos
  • Asóciese con un proveedor de ciberseguridad de confianza que proteja los terminales, los datos y la propiedad intelectual de su organización
  • Considere el uso de detección y respuesta gestionadas (MDR) para supervisar la actividad sospechosa 24 horas al día, 7 días a la semana, y ayudar a detectar y contener las amenazas antes de que puedan afectar a la organización

Los educadores de todo el mundo ya tienen muchos problemas con los que lidiar, desde la escasez de personal cualificado hasta los problemas de financiación. Pero ignorar la ciberamenaza no hará que desaparezca. Si se dejan escalar, las brechas pueden causar enormes daños financieros y de reputación que, para las universidades en particular, podrían ser desastrosos. En última instancia, las brechas de seguridad merman la capacidad de las instituciones para ofrecer la mejor educación posible. Es algo que debería preocuparnos a todos.