«Queso suizo por diseño»: por qué las escuelas y universidades son un objetivo principal para los ciberdelincuentes
Por: Deborah Bach.
Durante las vacaciones de invierno de diciembre de 2023, Tam Nguyen recibió una llamada de una fuente inesperada: el Departamento de Seguridad Nacional.
Como director de tecnología del Distrito Escolar Unificado de Orange en California, Nguyen se mostró escéptico. Pero el hombre proporcionó detalles que verificaron que llamaba por teléfono sobre una computadora propiedad del distrito escolar. Y esa computadora, utilizada por un estudiante en casa, interactuaba en la web oscura con una red de comando y control, un sistema utilizado por piratas informáticos maliciosos para comunicarse y controlar dispositivos comprometidos.
Por fortuna, la computadora no estaba conectada a la red del distrito escolar y un administrador pudo borrar sus datos de forma remota por medio de una aplicación de seguridad de Microsoft. Pero estuvo muy cerca. Nguyen sabía que, si los piratas informáticos habían ingresado a la red del distrito, podrían haber accedido a datos personales o financieros confidenciales o incluso lanzar un ataque de ransomware que podría cerrar la red del distrito y causar estragos operativos.
«Es una amenaza muy real», dice Ngyuen. «¿Quién sabe lo que podría haber hecho?»
Sus preocupaciones están bien fundadas. El sector de la educación es la tercera industria más atacada a nivel mundial, según un informe de Microsoft Cyber Signals, y Estados Unidos es el país con mayor actividad de amenazas cibernéticas. Las organizaciones educativas tienen características que las hacen vulnerables, y en especial atractivas, para los ciberdelincuentes, que a menudo prueban sus estrategias en los sistemas educativos antes de pasar a objetivos más grandes, como agencias gubernamentales o corporaciones.
Las instituciones educativas manejan con frecuencia datos financieros, registros de salud e información personal sobre el personal y los estudiantes. Por lo general, tienen pequeños departamentos de TI, empleados en una amplia gama de operaciones y redes abiertas utilizadas por estudiantes de tan solo 6 años, una edad en la que es poco probable comprender las contraseñas, y mucho menos la autenticación multifactor.
—¿Cómo se asegura a ese estudiante? Dice Nguyen. «Tenemos 23 mil niños que tienen que poder traer sus propios dispositivos, conectarse a la red y acceder a los recursos. Es una red abierta. Tenemos que permitir todo este acceso y potenciar el aprendizaje, y al mismo tiempo mantener la red segura.
«Es en extremo desalentador. Es un queso suizo por diseño», dice. «Es una locura».
Anne Pasco es la superintendente adjunta de información, sistemas y tecnología de las Escuelas Públicas del Condado de Polk en el centro de Florida. Uno de los mayores desafíos de ciberseguridad que enfrentan los distritos escolares, dice, es equilibrar el uso generalizado de herramientas educativas en línea con sus posibles riesgos de seguridad.
«Queremos que nuestros estudiantes conozcan bien las herramientas digitales, y hay una infinidad de herramientas digitales. Los maestros sienten que tienen que hacer todo lo posible para hacer lo que puedan por los estudiantes y quieren usar todas las herramientas que creen que podrían ayudarlos», dice Pasco.
«Pero cada una de estas herramientas puede ser un riesgo de seguridad para la privacidad de los datos y, de manera potencial, para el cibercrimen».
Las Escuelas Públicas del Condado de Polk, el segundo empleador más grande del condado, tiene alrededor de 14 mil empleados y 115 mil estudiantes en 130 escuelas. Pasco a menudo se pregunta cómo, y qué tan rápido, el distrito podría recuperarse de un ataque cibernético catastrófico.
«La pregunta es, si te derriban, ¿qué tan rápido puedes levantarte?», dice. «Porque al final del día, los estudiantes necesitan aprender. Eso es lo que más me preocupa».
Si bien el Distrito Unificado de Orange escapó de su difícil decisión, otros objetivos no han tenido tanta suerte. El Distrito Escolar Unificado de la Ciudad de San Bernardino sufrió un ataque de ransomware en 2019 que hizo que sus servidores fueran inaccesibles y apagó su Internet durante semanas, lo que bloqueó al personal sus correos electrónicos y dejó las clases sin Wi-Fi ni herramientas en línea.
En un ataque de ransomware, el malware se utiliza para cifrar los datos de un objetivo, luego el atacante por lo general exige el pago de la clave de descifrado necesaria para restaurar el acceso a los datos. En 2020, los piratas informáticos extorsionaron más de 1 millón de dólares de la Facultad de Medicina de la Universidad de California en San Francisco para que los investigadores pudieran recuperar el acceso a los datos que los atacantes habían cifrado.
Los ciberdelincuentes también se dirigen a las instituciones educativas para acceder a información personal que puede venderse o utilizarse para el robo de identidad y el fraude. Los datos robados de los estudiantes de K-12, dice Nguyen, se han utilizado para abrir líneas de crédito que pueden pasar desapercibidas, lo que crea problemas futuros para la víctima desprevenida.
«Durante un tiempo fue muy lucrativo para los malos actores robar las identidades de los estudiantes o de los menores, porque se pueden utilizar durante muchos años antes de que alguien se dé cuenta», dice. «Un estudiante puede graduarse, ir a buscar una tarjeta de crédito y ser denegada porque su crédito ha sido arruinado durante muchos años».
«Todo un ecosistema»
Las universidades se enfrentan a sus propios desafíos de ciberseguridad. Su cultura hace hincapié en la apertura y el intercambio de información, pero las universidades a menudo poseen propiedad intelectual muy sensible y trabajan con el gobierno y la industria en proyectos de investigación en áreas como la tecnología, la ingeniería y la ciencia nuclear.
Los piratas informáticos a veces usan las cuentas comprometidas de los empleados de la universidad como «trampolín» hacia campañas más amplias contra objetivos gubernamentales y de la industria, señala el informe de Microsoft. Los ataques patrocinados por el Estado también se han dirigido contra universidades. El Instituto Mabna iraní hackeó 320 universidades de todo el mundo durante varios años, para robar credenciales, propiedad intelectual y datos.
Los presidentes de las universidades son, en efecto, directores ejecutivos de organizaciones financieras, proveedores de vivienda y entidades de atención médica, señala el informe de Microsoft, lo que los convierte en objetivos potenciales para los atacantes enfocados en esos sectores. Y los estudiantes universitarios, muchos de los cuales viven lejos de la atenta mirada de sus padres por primera vez, son los principales objetivos de los ciberdelincuentes.
Los estudiantes a menudo usan sus cuentas de correo electrónico y contraseñas universitarias para otros fines, como las redes sociales o la banca, dice Jay James, líder senior de operaciones de ciberseguridad en la Universidad de Auburn en Alabama.
Una vez que un pirata informático ingresa a la cuenta de un estudiante, dice, podría intentar acceder a información confidencial en la red de la universidad y otras aplicaciones que usa el estudiante.
«Ahora tienen mucho que hacer», dice James. «Cuando tienes estas credenciales de sitios web y aplicaciones que podrían haberse visto comprometidas, eso es un gran problema».
En la Universidad Estatal de Oregón, los estudiantes han sido estafados con hasta 5.000 dólares por falsas ofertas de empleo, dice David McMorries, director de seguridad de la información de la universidad. La estafa suele funcionar así: un ciberdelincuente que se hace pasar por un empleado de OSU envía un correo electrónico a los estudiantes con una oferta de trabajo, pidiéndoles que se conecten a través de una dirección de correo electrónico personal o un número de celular si están interesados.
Una vez fuera de la red de OSU, dice McMorries, el estafador podría pedirle al estudiante que compre tarjetas de regalo y prometer reembolsarles con dinero extra, o depositar un cheque falso en la cuenta bancaria del estudiante, y luego hacer un retiro. McMorries sabe de alrededor de una docena de estudiantes de OSU que han sido víctimas de la estafa en los últimos 18 meses y cree que hay más.
«Es bastante común», dice. «Y, por supuesto, no estoy al tanto de todos los ataques exitosos. Solo conozco aquellos en los que alguien denuncia».
Los ciberataques se han vuelto cada vez más sofisticados y especializados en la última década, dice McMorries, y los atacantes a menudo se centran en una táctica en particular, ya sea a través de vender credenciales robadas o lanzar ataques de phishing.
«Parece que hay todo un ecosistema que se ha construido, porque se puede ganar dinero con esto», dice. «Y eso ha incentivado a los atacantes hasta un grado que no era así hace 10 años».
Los códigos QR se han convertido en otra herramienta valiosa para los piratas informáticos que tienen como objetivo el sector educativo. Los ciberdelincuentes incrustarán los códigos en correos electrónicos, folletos u otras comunicaciones. Cuando se escanean, los códigos pueden conducir a sitios web de phishing o descargar malware en el dispositivo del usuario. Microsoft Defender para Office 365 bloquea a diario más de 15 mil correos electrónicos dirigidos al sector educativo con códigos QR maliciosos, según Microsoft.
Burlar a los adversarios
Muchas organizaciones educativas utilizan herramientas de seguridad como Microsoft Defender, Sentinel y Entra, y medidas como la autenticación multifactor y las claves de acceso, para luchar contra los ciberatacantes. Pero el 99% de los ataques de identidad se basan en contraseñas, según el Informe de Defensa Digital de Microsoft 2024, lo que convierte a los usuarios informados en una primera línea de defensa crucial.
«Nos gusta decir que los malos no entran, sino que inician sesión», dice Corey Lee, director de tecnología de seguridad de Microsoft Education. «Iniciar sesión y obtener acceso al entorno en línea es el primer paso para casi todos los adversarios».
El sector educativo, dice Lee, puede protegerse si adopta un enfoque de «Confianza Cero«, donde se prioriza la defensa informada sobre amenazas, al endurecer las medidas de seguridad y aprovechar la IA para permitir una mejor supervisión.
Las organizaciones educativas abordan la ciberseguridad de muchas maneras. El Distrito Escolar Unificado de Orange, dice Nguyen, tiene un enfoque de «seguridad en capas» que incluye la aplicación de herramientas de seguridad de Microsoft, exigir que el personal use la identificación multifactor cada vez que inicie sesión en Internet y capacitar a los empleados en ciberseguridad.
«Podemos poner en marcha tantas piezas de software y equipos como queramos», afirma. «No va a igualar lo que un empleado capacitado y vigilante puede prevenir».
La Universidad Estatal de Oregón y la Universidad de Auburn han aumentado el uso de herramientas de seguridad y han contratado a estudiantes para reforzar sus esfuerzos de ciberseguridad. Las Escuelas Públicas del Condado de Polk prohíben que el personal y los estudiantes conecten sus propios dispositivos a la red del distrito y requieren que cualquier nueva herramienta digital pase por un proceso de aprobación para garantizar que cumpla con los requisitos de seguridad.
El distrito escolar creó un plan de estudios de ciberseguridad para los estudiantes y desarrolló una guía para los maestros sobre preguntas que deben hacer a los proveedores sobre seguridad cibernética. Hay un enfoque en hacer que la ciberseguridad sea parte de las conversaciones diarias, dice Pasco, como una forma de integrarla en el espíritu de la organización.
«Abordamos la ciberseguridad asegurándonos de que sea parte de nuestra cultura», dice. «La ciberseguridad es tan solo aprender que esta es la forma en que vemos el mundo y la forma en que nos acercamos al mundo».
Foto de portada: Los estudiantes trabajan en computadoras en un aula de secundaria en el Distrito Escolar Unificado de Orange. (Foto cortesía del Distrito Escolar Unificado de Orange)