De las aulas a los laboratorios de investigación: ciberamenazas en la enseñanza primaria, secundaria y superior

Informe Cyber Signals-Educación

La educación es esencialmente una «industria de industrias», ya que las organizaciones de enseñanza primaria, secundaria y superior manejan datos que pueden incluir desde historiales médicos, hasta datos financieros y otros datos oficiales. Al mismo tiempo, sus instalaciones pueden albergar sistemas de procesamiento de pagos, redes que son de facto proveedores de servicios de Internet (ISP) y otras infraestructuras. Las amenazas que Microsoft observa en otros sectores tienden a agravarse en la educación. Además, los atacantes se han dado cuenta de que este sector es intrínsecamente vulnerable. Con una media de 2.507 intentos de ciberataque a la semana, las universidades son objetivo prioritario para actividades de malware, phishing y vulnerabilidades en dispositivos IoT.

La dotación de personal de seguridad y la propiedad de los activos informáticos también afectan a los riesgos cibernéticos de las organizaciones educativas. Los colegios y universidades, al igual que muchas empresas, se enfrentan, a menudo, a una escasez de recursos informáticos y suelen combinar sistemas informáticos modernos con otros heredados. Los estudiantes y profesores de EE.UU. dependen en gran medida de dispositivos personales y no siempre tienen en cuenta la seguridad. En cambio, los dispositivos que se utilizan en educación en Europa son, en su mayoría, propiedad de las entidades educativas.

A mortarboard with QR code design on top, next to the text

Esta edición del informe Cyber Signals de Microsoft profundiza en los retos de ciberseguridad a los que se enfrentan las aulas y los campus educativos de todo el mundo, y destaca la necesidad crítica de contar con sólidas soluciones de seguridad y medidas proactivas. La huella digital de los centros escolares, colegios y universidades se ha multiplicado exponencialmente debido al uso de dispositivos tecnológicos personales, el incremento de las clases virtuales y la información y datos de investigación que se almacena en la nube.

Todos somos defensores

Section header with the text “Security Snapshot.”

Two icons, each beside a text bubble containing a stat about cyber threats against educational institutions.

Section header with the text “Threat briefing.”

Un entorno singularmente valioso y vulnerable

La base de usuarios del sector educativo es muy diferente de la del entorno empresarial. En el entorno K-12 -Primaria y Secundaria-, se incluyen estudiantes de tan sólo seis años de edad. Al igual que en cualquier organización del sector público o privado, en los centros escolares y en las universidades trabajan diferentes tipos de empleados, como son los profesionales de la administración, deporte, los servicios sanitarios, conserjes, los encargados de catering-comidas, entre otros. Múltiples actividades, anuncios, recursos de información, sistemas de correo electrónico y estudiantes de todo el mundo crean un entorno muy fluido en el que los ciberataques pueden venir de cualquier parte.

El aprendizaje virtual y a distancia también han llevado las aplicaciones educativas a los hogares y oficinas. Los dispositivos personales y multiusuario están ya omnipresentes y a menudo no se gestionan, y los estudiantes no siempre son conscientes de los aspectos relativos con la ciberseguridad.

La educación es también la punta de lanza en lo que respecta a la forma en que los atacantes ponen a prueba sus herramientas y técnicas. Según datos de Microsoft Threat Intelligence, el sector educativo es el tercero más atacado, siendo EE.UU. el país con mayor actividad de amenazas.

Las ciberamenazas a la educación no sólo preocupan en Estados Unidos. Según la Encuesta sobre Infracciones a la Ciberseguridad 2024 del Departamento de Ciencia, Innovación y Tecnología del Reino Unido, el 43% de las instituciones de enseñanza superior británicas declaró haber sufrido una infracción o un ataque al menos una vez a la semana.

Los códigos QR: un área idónea para los ataques de phishing

Hoy en día, los códigos QR están en todas partes, lo que aumenta el riesgo de ataques de phishing diseñados para obtener acceso a sistemas y datos. Las imágenes de los correos electrónicos, los folletos que ofrecen información sobre el campus y los eventos escolares, los pases de aparcamiento, formularios de ayuda financiera y otras comunicaciones oficiales contienen con frecuencia códigos QR. Es posible que los entornos educativos sean los más propicios a los folletos y a los códigos QR: tablones de anuncios físicos y digitales y otros tipos de correspondencia informal para los estudiantes con información curricular, institucional y social. El uso de estos códigos QR es un atractivo telón de fondo para el objetivo de actores maliciosos.

Recientemente, la Comisión Federal de Comercio de EE.UU. emitió una alerta a los consumidores sobre la creciente amenaza de los códigos QR maliciosos que se utilizan para robar credenciales de inicio de sesión o que distribuyen malware.

La telemetría de Microsoft Defender para Office 365 muestra que aproximadamente más de 15.000 mensajes con códigos QR maliciosos se dirigen diariamente al sector educativo (incluyendo phishing, spam y malware).

Pueden utilizarse herramientas de software fidedignas para generar rápidamente códigos QR con enlaces incrustados para enviarlos por correo electrónico o publicarlos físicamente como parte de un ataque. Y esas imágenes son difíciles de escanear para las soluciones tradicionales de seguridad del correo electrónico, por lo que es aún más importante que el profesorado y los estudiantes utilicen dispositivos y navegadores que cuenten con soluciones modernas de seguridad web.

Aunque la capacidad de protección contra el phishing está integrada en Microsoft Defender for Endpoint en Android e iOS, los usuarios objetivo del sector educativo suelen utilizar dispositivos personales sin seguridad endpoint. Los códigos QR básicamente permiten al ciberatacante controlar estos dispositivos. El phishing de código QR es una prueba convincente de que los dispositivos móviles se utilizan como vector de ataque a las empresas (cuentas personales, cuentas bancarias, etc.) y que se necesita tener información sobre ellos y soluciones para protegerlos.

Microsoft ha reducido significativamente los ataques de phishing de códigos QR. Esto se nota en la disminución sustancial de los correos electrónicos diarios de phishing interceptados por nuestro sistema, que han pasado de 3 millones en diciembre de 2023 a sólo 179.000 en marzo de 2024.

A pie chart in front of a blue background

Fuente: Respuesta a incidentes de Microsoft

Las universidades presentan sus propios retos. Gran parte de la cultura universitaria se basa en colaborar y compartir para impulsar la investigación y la innovación. Profesores, investigadores y otros miembros del profesorado trabajan con el concepto de que la tecnología, la ciencia -simplemente el conocimiento en sí mismo- deben compartirse ampliamente. Si alguien se presenta como estudiante, compañero o similar, suele estar dispuesto a hablar de temas potencialmente delicados sin pararse demasiado a analizar la fuente.

Las operaciones universitarias también abarcan múltiples sectores. Los rectores de las universidades son, de hecho, directores ejecutivos de organizaciones sanitarias, proveedores de alojamiento y grandes organizaciones financieras, es decir, industria de industrias. Por lo tanto, estos directivos pueden encontrarse en el punto de mira de cualquiera que se dirija a esos sectores.

La combinación de audacia y vulnerabilidad que se encuentra en los sistemas educativos ha atraído la atención de un amplio espectro de atacantes, desde delincuentes que emplean nuevas técnicas de software malicioso hasta actores de amenazas Estado-nación que se dedican al espionaje de la vieja escuela.

Microsoft supervisa continuamente a los actores y vectores de amenazas en todo el mundo. Estos son algunos de los principales problemas que observamos en los sistemas educativos.

Los sistemas de correo electrónico en las universidades

El entorno naturalmente abierto de la mayoría de las universidades les hace relajarse en lo que se refiere a la gestión e higiene del correo electrónico. Tienen muchos mails, pero a menudo están limitadas operativamente en cuanto a dónde y cómo pueden incluir controles, debido a lo abiertas que tienen que ser para los antiguos alumnos, donantes, para propiciar la colaboración de usuarios externos y muchos otros casos de uso.

Las instituciones educativas tienden a compartir muchos anuncios por correo electrónico. Comparten diagramas informativos sobre eventos locales y recursos escolares. Suelen permitir que los remitentes externos de sistemas de correo masivo compartan información en sus entornos. Esta combinación de apertura y falta de controles crea un terreno fértil para los ataques.

La IA aumenta la importancia de la visibilidad y el control

Los atacantes que reconocen que la educación superior se centra en construir y compartir pueden explorar todos los puntos de acceso visibles, buscando entrar en los sistemas habilitados para IA o información privilegiada sobre cómo funcionan estos sistemas. Si las bases de los sistemas y datos de IA en las instalaciones y en la nube no están protegidas con controles de acceso e identidad adecuados, los sistemas de Inteligencia Artificial se vuelven vulnerables. Al igual que las instituciones educativas se adaptaron a los servicios cloud, los dispositivos móviles y el aprendizaje híbrido, que introdujeron nuevas identidades y privilegios, dispositivos que gestionar y redes que segmentar, también estos imperativos de visibilidad y control atemporales deben avanzar para tener en cuenta la influencia de la IA en el ciberriesgo.

Los agentes de estado-nación buscan propiedad intelectual y contactos de alto nivel

Las universidades que llevan a cabo investigaciones financiadas con fondos públicos, o que trabajan en estrecha colaboración con empresas de defensa, tecnología y otras organizaciones del sector privado, reconocen desde hace tiempo el riesgo de espionaje. Hace décadas, las universidades se centraban en las señales físicas reveladoras del espionaje. Sabían que debían buscar a personas que aparecieran en el campus haciendo fotos o intentando acceder a los laboratorios. Éstos siguen siendo riesgos, pero hoy en día la dinámica de la identidad digital y la ingeniería social han ampliado enormemente las herramientas de espionaje.

Las universidades suelen ser epicentros de propiedad intelectual altamente sensible. Pueden estar llevando a cabo investigaciones revolucionarias y trabajando en proyectos de alto valor en el sector aeroespacial, la ingeniería, la ciencia nuclear u otros temas sensibles en colaboración con múltiples agencias gubernamentales.

Para los atacantes, puede ser más fácil comprometer primero a alguien del sector educativo que tenga vínculos con el de la defensa y luego utilizar ese acceso para hacer phishing de forma más convincente a un objetivo de mayor valor.

Las universidades también cuentan con expertos en política exterior, ciencia, tecnología y otras disciplinas valiosas, que pueden ofrecer inteligencia, si son engañados a través de ataques de ingeniería social que emplean identidades falsas o robadas de compañeros y otras personas que parecen estar en las redes de los individuos o entre sus contactos de confianza. Además de contener valiosa información de inteligencia, las cuentas comprometidas de empleados universitarios pueden convertirse en trampolines para otras campañas contra objetivos gubernamentales e industriales de mayor envergadura.

Actores de estado-nación contra la educación

Subsection header with Sandstorm icon and the text “Iran.”

Peach Sandstorm

Peach Sandstorm ha utilizado ataques de pulverización de contraseñas contra el sector educativo para acceder a su infraestructura. Microsoft también ha observado que la organización utiliza la ingeniería social contra objetivos en la educación superior.

Mint Sandstorm

Microsoft ha observado un subconjunto de este grupo de ataque iraní dirigido a expertos de alto perfil que trabajan en asuntos de Oriente Medio en universidades y organizaciones de investigación. Estos sofisticados ataques de phishing utilizaban ingeniería social para obligar a los objetivos a descargar archivos maliciosos, como un nuevo backdoor personalizado llamado MediaPl.

Instituto Mabna

En 2023, el Instituto Mabna iraní llevó a cabo intrusiones en los sistemas informáticos de, al menos, 144 universidades estadounidenses y 176 universidades de otros 21 países.

Las credenciales de acceso robadas se utilizaron en beneficio del Cuerpo de la Guardia Revolucionaria Islámica de Irán y también se vendieron dentro del país a través de la web. Las credenciales robadas que pertenecían a profesores universitarios se utilizaron para acceder directamente a los sistemas de las bibliotecas universitarias.

Subsection header with Sleet icon and the text “North Korea.”

Emerald Sleet

Este grupo norcoreano ataca principalmente a expertos en política de Asia Oriental o en relaciones entre Corea del Norte y Corea del Sur. En algunos casos, los mismos académicos han sido objetivo de Emerald Sleet durante casi una década.

Emerald Sleet utiliza Inteligencia Artificial para redactar scripts maliciosos y contenidos de ingeniería social, pero estos ataques no siempre consisten en la distribución de malware. También hay una tendencia en evolución que consiste simplemente en pedir a los expertos información sobre políticas que podría utilizarse para manipular negociaciones, acuerdos comerciales o sanciones.

Moonstone Sleet

Moonstone Sleet es otro actor norcoreano que ha adoptado novedosas estrategias, como la creación de empresas falsas para forjar relaciones comerciales con instituciones educativas o con un profesor o estudiante en particular.

Uno de los ataques más destacados de Moonstone Sleet consistió en la creación de un juego falso con temática de tanques que se utilizó para atacar a personas en instituciones educativas, con el objetivo de desplegar malware y filtrar datos.

Subsection header with Storm icon and the text “Groups in development.”

Storm-1877

Este actor se dedica principalmente al robo de criptomonedas utilizando una familia de malware personalizada que despliega a través de diversos medios. El objetivo final de este malware es robar direcciones de monederos de criptomonedas y credenciales de inicio de sesión para plataformas de este tipo.

Los estudiantes suelen ser el objetivo de estos ataques, que se inician principalmente en las redes sociales. Storm-1877 se dirige a ellos porque no son tan conscientes de las amenazas digitales como los profesionales del sector.

Section header with the text “Defending against attacks.”

Un nuevo curriculum sobre seguridad

Debido a las limitaciones presupuestarias y de talento de la educación y a la apertura inherente de su entorno, resolver los problemas de seguridad se convierte en algo más que un problema tecnológico. La gestión de la estrategia y la priorización de las medidas de seguridad puede ser una tarea costosa y difícil para estas instituciones, pero pueden hacer mucho para protegerse.

Mantener y ampliar la ciberhigiene básica será clave para proteger los sistemas de los centros educativos. La concienciación sobre los riesgos de seguridad y las buenas prácticas a todos los niveles -estudiantes, profesores, administradores, personal de TI, personal del campus, etc.- puede ayudar a crear un entorno más seguro.

Para los profesionales de TI y seguridad en el sector de la educación, un buen primer paso es hacer lo básico y reforzar la estrategia general de seguridad. A partir de ahí, centralizar la gestión tecnológica puede ayudar a obtener una imagen más clara de la política de seguridad general y de cualquier vulnerabilidad.

Universidad Estatal de Oregón

La Universidad Estatal de Oregón (OSU), centrada en la investigación, da gran prioridad a salvaguardar su información para mantener su reputación. En 2021 sufrió un grave incidente de ciberseguridad sin precedentes. El ciberataque reveló lagunas en las operaciones de seguridad de la institución educativa.

“Los tipos de amenazas que estamos observando, los tipos de ciberataques que están ocurriendo en la educación superior, son mucho más agresivos”, señala David McMorries, Jefe de Seguridad de la Información de la Universidad Estatal de Oregón.

En respuesta a este incidente, la OSU creó su Centro de Operaciones de Seguridad (SOC), que se ha convertido en la pieza central del esfuerzo en seguridad de la universidad. La IA también ha contribuido a automatizar funciones y ha ayudado a sus analistas (que son estudiantes universitarios) a aprender a escribir código rápidamente: exploración de amenazas con consultas de búsqueda más avanzadas.

Departamento de Educación de Arizona

El Departamento de Educación de Arizona (ADE, por sus siglas en inglés) va más allá de los requisitos estatales y se centra en estratregias zero trust y sistemas cerrados. Bloquea todo el tráfico procedente de fuera de Estados Unidos desde su entorno Microsoft 365, Azure y su centro de datos local.

“No permito que nada quede expuesto a Internet en mis entornos de desarrollo inferiores, e incluso con los entornos de producción, tenemos especial cuidado para asegurarnos de que utilizamos un grupo de seguridad de red que protege los servicios de aplicaciones”, afirma Chris Henry, director de infraestructura del ADE.

Three icons on a whiteboard background, each beside a text bubble containing information on defending against cyberattacks.

Recomendaciones:

  • La mejor defensa contra los ataques de códigos QR es ser consciente y prestar atención. Haz una pausa, inspecciona la URL del código antes de abrirlo y no abras códigos QR de fuentes desconocidas, sobre todo si el mensaje utiliza un lenguaje urgente o contiene errores.
  • Considera la posibilidad de implantar el “servicio de nombre de dominio protector”, una herramienta gratuita que ayuda a prevenir el ransomware y otros ciberataques, al bloquear la conexión de los sistemas informáticos a sitios web dañinos. Prevé los ataques de password spraying con una contraseña potente e implante la autenticación multifactor.
  • Educa a los estudiantes y al personal de tu organización sobre la importancia de la higiene de seguridad y anímales a utilizar la autenticación multifactor o las protecciones sin contraseña. Los estudios han demostrado que una cuenta tiene más de un 99,9% menos de probabilidades de verse comprometida cuando se utiliza la autenticación multifactor.
  • Microsoft ha lanzado formaciones para líderes, educadores, estudiantes, padres y profesionales de TI alineadas con las recomendaciones de la Agencia de Ciberseguridad y Seguridad de Infraestructuras de Estados Unidos.

Section header with the text “Expert profile”

A Corey Lee siempre le ha interesado resolver enigmas y delitos. Comenzó su carrera universitaria en la Penn State University en justicia penal, pero pronto se dio cuenta de su pasión por el análisis forense digital, tras asistir a un curso sobre investigación de robos en ordenadores de sobremesa.

Tras completar su licenciatura en seguridad y análisis de riesgos, Corey llegó a Microsoft centrado en adquirir experiencia en distintos sectores. Ha trabajado en la seguridad de organismos federales, estatales y locales, así como de empresas, pero en la actualidad se centra en el sector educativo.

Headshot of Corey Lee next to his quote.

Tras pasar tiempo trabajando en distintos sectores, Corey ve la educación a través de un prisma diferente: el sector de los sectores, que es significativamente único. La dinámica de la industria educativa incluye instituciones académicas, servicios financieros, infraestructuras críticas como hospitales y transportes, y colaboraciones con organismos públicos. Según Corey, trabajar en un campo tan amplio le permite aprovechar las habilidades de múltiples industrias para abordar problemas específicos.

El hecho de que la educación también pueda considerarse desatendida desde el punto de vista de la ciberseguridad es otro gran reto, y parte de la misión personal de Corey. El sector educativo necesita expertos en ciberseguridad. Corey trabaja por el diálogo público-privado, en programas de formación y preparación, respuesta a incidentes y la defensa general para proteger no sólo la infraestructura de las organizaciones educativas, sino también a los estudiantes, padres, profesores y personal.

En la actualidad, Corey está centrado en reimaginar los centros de operaciones de seguridad de los estudiantes, como la forma de utilizar la IA y llevar el binomio tecnología y formación al más alto nivel de innovación. Incrementando el personal de ciberseguridad en educación y dotándoles de nuevas herramientas, el directivo está trabajando para elevar la seguridad en el sector de una manera acorde con lo crítico que es la industria para el futuro.

Próximos pasos con Microsoft Security

Para obtener más información sobre las soluciones de Microsoft Security, visita nuestra web. Entra en el blog de Seguridad para mantenerte al día sobre nuestra oferta en temas de seguridad. Asimismo, puedes seguirnos en LinkedIn (Microsoft Security) y X (@MSFTSecurity) para conocer las últimas noticias y actualizaciones sobre ciberseguridad.

Metodología: Los datos de instantáneas y estadísticas de portada representan la telemetría de Microsoft Defender para Office 365, que muestra cómo un ataque de phishing de código QR fue interrumpido a través de la tecnología de detección de imágenes y cómo los equipos de Operaciones de Seguridad pueden responder a esta amenaza. Azure Active Directory proporcionó datos anónimos sobre la actividad de las amenazas, como cuentas de correo electrónico maliciosas, mails de phishing y movimientos de los atacantes dentro de las redes. Otros datos proceden de los 78 billones de señales de seguridad que procesa Microsoft cada día, incluyendo cloud, endpoints, intelligent edge y la telemetría de las plataformas y servicios de Microsoft, incluido Microsoft Defender. Microsoft clasifica a los actores de amenazas en cinco grupos clave: operaciones de influencia; grupos en desarrollo; y actores ofensivos del estado-nación, con motivación financiera y del sector privado. La nueva taxonomía de denominación de los actores de amenazas se alinea con el tema del clima.

 

Tags: , , ,

Posts relacionados

Actualización sobre el progreso de la Iniciativa de Futuro Seguro (SFI) de Microsoft

Microsoft ha creado un nuevo Consejo de Gobernanza de Ciberseguridad y ha nombrado directores adjuntos de Seguridad de la Información, destacando la seguridad como prioridad para todos los empleados. Además, ha lanzado la Security Skilling Academy para capacitar a su personal en temas de seguridad y ha actualizado seis pilares clave de ciberseguridad, incluyendo la protección de identidades y la mejora en la detección de amenazas. Microsoft sigue comprometido con la mejora continua y la transparencia en ciberseguridad, adaptándose a nuevas amenazas y perfeccionando sus prácticas.