Durante las vacaciones de invierno de diciembre de 2023, Tam Nguyen recibió una llamada de una fuente inesperada: el Departamento de Seguridad Nacional.
Como director de tecnología del Distrito Escolar Unificado de Orange en California, Nguyen se mostró comprensiblemente escéptico. Pero el hombre proporcionó detalles que confirmaban que llamaba por una computadora propiedad del distrito escolar. Y esa computadora, usada por un estudiante en casa, interactuaba en la red oscura con una red de comando y control, un sistema utilizado por hackers maliciosos para comunicarse con dispositivos comprometidos y controlarlos.
Afortunadamente, la computadora no estaba conectada a la red del distrito escolar, y un administrador pudo borrar sus datos remotamente con una aplicación de seguridad de Microsoft . Pero estuvo a punto de perderse. Si los hackers hubieran accedido a la red del distrito, Nguyen lo sabía, podrían haber accedido a datos personales o financieros confidenciales, o incluso haber lanzado un ataque de ransomware que podría bloquear la red del distrito y causar estragos operativos.
«Es una amenaza muy real», dice Ngyuen. «¿Quién sabe qué podría haber hecho?»
Sus preocupaciones están bien fundadas. El sector educativo es el tercer sector más atacado a nivel mundial, según un informe de Microsoft Cyber Signals , y Estados Unidos es el que registra la mayor actividad de ciberamenazas. Las organizaciones educativas tienen características que las hacen vulnerables, y especialmente atractivas, para los ciberdelincuentes, quienes suelen probar sus estrategias en los sistemas educativos antes de pasar a objetivos más grandes, como agencias gubernamentales o corporaciones.
Las instituciones educativas manejan con frecuencia datos financieros, historiales médicos e información personal del personal y los estudiantes. Suelen contar con departamentos de TI pequeños, empleados en una amplia gama de operaciones y redes abiertas utilizadas por estudiantes de tan solo 6 años, una edad en la que comprender contraseñas, y mucho menos la autenticación multifactor, es improbable.
«¿Cómo se protege a ese estudiante?», pregunta Nguyen. «Tenemos 23,000 niños que necesitan poder traer sus propios dispositivos, conectarse a la red y acceder a los recursos. Es una red completamente abierta. Tenemos que facilitar todo este acceso y potenciar el aprendizaje, a la vez que mantenemos la red segura».
«Es extremadamente desalentador. Es como un queso suizo por diseño», dice. «Es una locura».
Anne Pasco es la superintendente adjunta de información, sistemas y tecnología de las Escuelas Públicas del Condado de Polk, en Florida Central. Uno de los mayores desafíos de ciberseguridad que enfrentan los distritos escolares, afirma, es encontrar un equilibrio entre el uso generalizado de herramientas educativas en línea y sus posibles riesgos de seguridad.
Queremos que nuestros estudiantes dominen las herramientas digitales, y existe una infinidad de ellas. Los docentes sienten que deben esforzarse al máximo para hacer todo lo posible por sus estudiantes y desean usar todas las herramientas que consideren que pueden ayudarles, dice Pasco.
“Pero cada una de estas herramientas puede representar un riesgo para la seguridad de la privacidad de los datos y, potencialmente, para el ciberdelito”.
Las Escuelas Públicas del Condado de Polk, el segundo empleador más grande del condado, cuentan con alrededor de 14,000 empleados y 115,000 estudiantes en 130 escuelas. Pasco se pregunta a menudo cómo, y con qué rapidez, podría recuperarse el distrito de un ciberataque catastrófico.
“La pregunta es, si te derriban, ¿cuánto tiempo te puedes levantar?”, dice. “Porque al fin y al cabo, los estudiantes necesitan aprender. Eso es lo que más me preocupa”.
Si bien el Distrito Escolar Unificado de Orange evitó el ataque, otros no han tenido la misma suerte. El Distrito Escolar Unificado de la Ciudad de San Bernardino sufrió un ataque de ransomware en 2019 que inaccesió sus servidores y desconectó su internet durante semanas, impidiendo el acceso al correo electrónico del personal y dejando a las clases sin wifi ni herramientas en línea.
En un ataque de ransomware, se utiliza malware para cifrar los datos del objetivo. Posteriormente, el atacante suele exigir el pago de la clave de descifrado necesaria para restaurar el acceso a los datos. En 2020, hackers extorsionaron a la Facultad de Medicina de la Universidad de California en San Francisco por más de un millón de dólares para que los investigadores pudieran recuperar el acceso a los datos cifrados.
Los ciberdelincuentes también atacan a las instituciones educativas para acceder a información personal que puede venderse o utilizarse para el robo de identidad y el fraude. Nguyen afirma que los datos robados a estudiantes de primaria y secundaria se han utilizado para abrir líneas de crédito que podrían pasar desapercibidas, lo que crea problemas futuros para la víctima desprevenida.
“Durante un tiempo, robar la identidad de estudiantes o menores resultó muy lucrativo para los delincuentes, ya que podía utilizarse durante muchos años antes de que alguien se diera cuenta”, afirma. “Un estudiante puede graduarse, solicitar una tarjeta de crédito y que se la denieguen porque su historial crediticio lleva años arruinado”.
‘Todo un ecosistema’
Las universidades se enfrentan a sus propios desafíos de ciberseguridad. Su cultura prioriza la transparencia y el intercambio de información, pero a menudo poseen propiedad intelectual altamente sensible y colaboran con el gobierno y la industria en proyectos de investigación en áreas como la tecnología, la ingeniería y la ciencia nuclear.
Los hackers a veces utilizan cuentas comprometidas de empleados universitarios como trampolines para campañas más amplias contra objetivos gubernamentales e industriales, señala el informe de Microsoft. Los ataques patrocinados por estados también han tenido como objetivo universidades. El Instituto Mabna iraní hackeó 320 universidades de todo el mundo durante varios años, robando credenciales, propiedad intelectual y datos.
Los rectores universitarios son, en efecto, directores ejecutivos de organizaciones financieras, proveedores de vivienda y entidades de atención médica, señala el informe de Microsoft, lo que los convierte en objetivos potenciales para los atacantes centrados en esos sectores. Y los estudiantes universitarios, muchos de los cuales viven lejos de la vigilancia de sus padres por primera vez, son objetivos prioritarios para los ciberdelincuentes.
Los estudiantes a menudo usan sus cuentas de correo electrónico y contraseñas universitarias para otros fines, como redes sociales u operaciones bancarias, dice Jay James, líder de operaciones de ciberseguridad en la Universidad de Auburn en Alabama.
Una vez que un hacker ingresa a la cuenta de un estudiante, dice, podría intentar acceder a información confidencial de la red de la universidad y otras aplicaciones que utiliza el estudiante.
«Ahora tienen mucho que hacer», dice James. «Cuando se tienen credenciales de sitios web y aplicaciones que podrían haber sido comprometidas, eso es un gran problema».
En la Universidad Estatal de Oregón, estudiantes han sido estafados hasta por $5,000 mediante ofertas de empleo falsas, afirma David McMorries, director de seguridad informática de la universidad. La estafa suele funcionar así: un ciberdelincuente, haciéndose pasar por empleado de la OSU, envía un correo electrónico a los estudiantes con una oferta de trabajo y les pide que se pongan en contacto con ellos a través de su correo electrónico personal o número de celular si están interesados.
Una vez fuera de la red de OSU, dice McMorries, el estafador podría pedirle al estudiante que compre tarjetas de regalo y prometerle un reembolso con dinero extra, o depositar un cheque falso en su cuenta bancaria y luego retirarlo. McMorries sabe de una docena de estudiantes de OSU que han sido víctimas de la estafa en los últimos 18 meses y cree que hay más.
«Es bastante común», dice. «Y, por supuesto, no conozco todos los ataques exitosos. Solo conozco aquellos en los que alguien informa».
Los ciberataques se han vuelto cada vez más sofisticados y especializados durante la última década, dice McMorries, y los atacantes a menudo se centran en una táctica particular, ya sea vender credenciales robadas o lanzar ataques de phishing.
«Parece que se ha creado todo un ecosistema porque se puede ganar dinero con esto», dice. «Y eso ha incentivado a los atacantes a un nivel que no era así hace 10 años».
Los códigos QR se han convertido en otra herramienta valiosa para los hackers que atacan al sector educativo. Los ciberdelincuentes los incorporan en correos electrónicos, folletos y otras comunicaciones. Al escanearlos, pueden dirigir a sitios web de phishing o descargar malware en el dispositivo del usuario. Microsoft Defender para Office 365 bloquea diariamente más de 15 000 correos electrónicos dirigidos al sector educativo con códigos QR maliciosos, según Microsoft.
Ser más astuto que los adversarios
Muchas organizaciones educativas utilizan herramientas de seguridad como Microsoft Defender , Sentinel y Entra , así como medidas como la autenticación multifactor y las claves de acceso, para combatir a los ciberatacantes. Sin embargo, el 99 % de los ataques de identidad se basan en contraseñas, según el Informe de Defensa Digital de Microsoft de 2024 , lo que convierte a los usuarios informados en una primera línea de defensa crucial.
“Nos gusta decir que los cibercriminales no entran ilegalmente, sino que inician sesión”, afirma Corey Lee, director de tecnología de seguridad de Microsoft Education. “Iniciar sesión y acceder al entorno en línea es el primer paso para casi cualquier adversario”.
Lee afirma que el sector educativo puede protegerse adoptando un enfoque de “ confianza cero ”, priorizando la defensa basada en amenazas, reforzando las medidas de seguridad y aprovechando la inteligencia artificial para permitir una mejor supervisión.
Las organizaciones educativas están abordando la ciberseguridad de diversas maneras. Nguyen afirma que el Distrito Escolar Unificado de Orange aplica un enfoque de «seguridad por capas» que incluye la aplicación de herramientas de seguridad de Microsoft, la exigencia de que el personal utilice la identificación multifactor al conectarse a internet y la capacitación de los empleados en ciberseguridad.
«Podemos instalar tantos programas y equipos como queramos», afirma. «No será igual a lo que un empleado capacitado y atento puede prevenir».
La Universidad Estatal de Oregón y la Universidad de Auburn han aumentado el uso de herramientas de seguridad y han contratado a estudiantes para reforzar sus iniciativas de ciberseguridad . Las Escuelas Públicas del Condado de Polk prohíben al personal y a los estudiantes conectar sus propios dispositivos a la red del distrito y exigen que todas las nuevas herramientas digitales se sometan a un proceso de aprobación para garantizar que cumplan con los requisitos de seguridad.
El distrito escolar creó un currículo de ciberseguridad para estudiantes y desarrolló una guía para docentes con preguntas sobre ciberseguridad para los proveedores. Pasco afirma que se centran en integrar la ciberseguridad en las conversaciones diarias para integrarla en la filosofía organizacional.
“Abordamos la ciberseguridad asegurándonos de que forme parte de nuestra cultura”, afirma. “La ciberseguridad consiste simplemente en aprender que esta es la forma en que vemos el mundo y cómo lo abordamos”.
Foto superior: Estudiantes trabajan con computadoras en un aula de secundaria del Distrito Escolar Unificado de Orange. (Foto cortesía del Distrito Escolar Unificado de Orange )
Microsoft Blog. D. B. Traducido al español
Contacto