El sector educativo ha sido un objetivo persistente para los ciberdelincuentes durante los últimos cuatro o cinco años. A medida que las clases se trasladaron en línea en 2020 (después de que comenzara la pandemia de COVID-19) y los estudiantes, profesores y administradores tuvieron acceso a grandes cantidades de datos a través de Internet, la frecuencia y el daño de los ataques aumentaron. Incluso después de que pasó la peor fase de la pandemia, el ciberdelito en el sector educativo siguió aumentando.
Filtraciones de datos y ransomware en la educación
El Informe de investigaciones de violaciones de datos de 2024 de Verizon examinó 1.780 violaciones en el sector educativo y encontró que la intrusión en el sistema, la ingeniería social y otros errores fueron las causas principales en el 90% de los casos. La vulnerabilidad de transferencia de archivos MOVEit afectó a los servicios educativos a un ritmo desproporcionadamente alto, y el grupo de ransomware CL0P aprovechó este día cero en 2023 para robar millones de registros de estudiantes.
El coste medio de una filtración de datos en este sector fue de 3,5 millones de dólares en 2023-24. Un hecho interesante sobre el ransomware es que, a diferencia de la mayoría de los sectores donde la demanda de rescate inicial finalmente se negocia a la baja, en el sector educativo los atacantes de ransomware a menudo retiran rescates más altos de los exigidos originalmente. El estudio de Sophos State of Ransomware encontró que las instituciones de educación superior eran “más propensas a pagar más que el monto de la demanda de rescate inicial (el 67% pagó más) y menos que la cantidad de la demanda de rescate inicial eran las menos propensas a pagar (el 20% pagó menos”). ).
Por qué el sector educativo es un objetivo atractivo para los ciberdelincuentes
Entonces, ¿por qué las instituciones educativas son objetivos tan atractivos para los ciberdelincuentes?
Enorme conjunto de datos. Las instituciones educativas son frecuentemente atacadas debido a la enorme cantidad de datos que pasan por sus redes. Esto incluye información personal del estudiante, información financiera, información de salud, datos de los empleados, formularios de solicitud y admisión, información sobre ayuda financiera, destinatarios y donantes, trabajos de investigación, trabajos de curso y materiales de estudio, etc. Masu. Un ataque exitoso toma el control de todos estos datos y les brinda la oportunidad de retenerlos para pedir un rescate, venderlos o usarlos para futuros ataques. La superficie de ataque se está ampliando debido al progreso de la digitalización. Debido a la pandemia de COVID-19, las clases tuvieron que trasladarse en línea casi de la noche a la mañana. Las universidades, escuelas y colegios han tenido que construir y habilitar toda su infraestructura digital para que esto sea posible, pero a costa de aumentar significativamente su exposición a los ciberataques. Bajos presupuestos de seguridad para escuelas y colegios. Si bien todas las instituciones gestionaron la transición a la enseñanza en línea, no estuvo acompañada de un aumento correspondiente en los controles de seguridad para proteger los datos expuestos. Los departamentos de TI de las escuelas continúan luchando con la ciberseguridad debido a los altos costos y a que muchas instituciones carecen del presupuesto y la experiencia para construir ciberdefensas sólidas. Gran cantidad de dispositivos no monitoreados. Además, los estudiantes que acceden a los servicios escolares y a los materiales de los cursos en línea no dan prioridad a la seguridad y no tienen suficiente información ni conciencia sobre el acceso remoto seguro, lo que deja a sus dispositivos e instituciones vulnerables a las intrusiones. El hecho de que permanezca también es un problema. Software sin parches, con errores o al final de su vida útil. Es posible que las instituciones con presupuestos de ciberseguridad reducidos no cuenten con programas sólidos de gestión de parches o dependan de software al final de su vida útil que ya no cuenta con el soporte de sus proveedores, lo que deja grandes brechas de seguridad. Esto crea un punto de entrada fácil para los delincuentes. También puede utilizar software que no se haya creado teniendo en cuenta la seguridad (como algunas herramientas de videoconferencia y comunicación remota), lo que le expone a nuevos vectores de ataque sobre los que no tiene control.
¿Cuáles son las principales amenazas y riesgos cibernéticos en este sector?
Phishing e ingeniería social. Muchos grupos de amenazas están llevando a cabo campañas organizadas dirigidas a instituciones de educación superior utilizando direcciones de correo electrónico que pueden haber estado expuestas en infracciones anteriores o obtenidas de fuentes disponibles públicamente para llevar a cabo una campaña de phishing. El phishing es a menudo el primer método de acceso utilizado en ataques a gran escala y, debido a las redes abiertas interconectadas en el campus, incluso un pequeño porcentaje de estudiantes o empleados cae en el anzuelo, lo que puede tener consecuencias negativas. Abuso de servicios de acceso remoto. Los actores de amenazas también pueden obtener acceso a la red de una institución explotando vulnerabilidades en el software de acceso remoto que a menudo es crítico para el funcionamiento de las instituciones de educación superior. Una vez que se establece una conexión, un atacante puede utilizar una variedad de técnicas para escalar privilegios y moverse lateralmente a través de la red para acceder a datos protegidos. ataque de ransomware. En mayo de 2022, el Lincoln College de Illinois se convirtió en la primera institución de educación superior de Estados Unidos en verse obligada a cerrar debido a los efectos debilitantes de un ataque de ransomware. De 2022 a 2023, la educación fue el sector más atacado por los actores del ransomware. Aunque el sector ya no registró las tasas más altas de ataques de ransomware en 2023-24, continuó pagando grandes rescates a los delincuentes, siendo el rescate medio pagado de 6,6 millones de dólares. Según el estudio panorámico de Sophos Ransomware de 2024, el 63 % de las instituciones de educación inferior y el 66 % de las instituciones de educación superior fueron atacadas en 2023-24. Violación de datos. Una de las principales razones por las que las instituciones educativas resultan tan atractivas para los delincuentes es que almacenan ricos conjuntos de datos. Si los datos no están protegidos adecuadamente y las defensas son débiles, se pueden producir filtraciones a gran escala, y los datos de escuelas y universidades se venden en la web oscura o se publican en línea. El FBI ha emitido un aviso sobre credenciales e información de acceso a la red para numerosas instituciones de educación superior vendidas en el mercado del cibercrimen. Apagado extendido de la red. Un ataque exitoso puede provocar un cierre de la red que dure días o semanas. Dependiendo del momento del ataque, las instituciones de educación superior pueden tardar meses en recuperarse del ataque, lo que interrumpe las operaciones, retrasa la finalización de los cursos y altera los procesos de admisión.
¿Cómo pueden las instituciones y universidades K-12 mantener la protección?
Parcheo oportuno. Un programa eficaz de gestión de parches que aplique parches oportunos a todo el software es una de las formas más rentables de prevenir ataques. Las vulnerabilidades explotadas conocidas deben repararse como prioridad. Descubra y proteja datos confidenciales. Las instituciones educativas deben aprovechar soluciones que ayuden a detectar datos confidenciales desprotegidos o no cifrados almacenados en sus sistemas y tomar las medidas adecuadas para proteger estos datos. Configuración segura. Todos los sistemas y aplicaciones deben configurarse de forma segura según los estándares y marcos de mejores prácticas. Puede evitar cambios en la configuración programando análisis periódicos. Simulación de phishing y concientización sobre seguridad. Introducir programas atractivos de concientización cibernética y ejercicios de simulación de phishing es otra manera fácil de construir una cultura que priorice la seguridad y prevenir malas prácticas de seguridad. Contraseñas seguras y MFA. Todos los estudiantes y profesores, así como los equipos de seguridad y TI, deben ser conscientes de la importancia de contraseñas seguras y únicas. La autenticación multifactor (MFA) también debe estar habilitada en todos los sistemas y servicios y ser requerida por la política. Fuertes políticas de control de acceso. Los controles de acceso deben monitorearse de cerca y diseñarse basándose en el principio de privilegio mínimo. Segmentación de la red. Las redes de campus deben segmentarse e implementarse microsegmentos para evitar el movimiento lateral si un atacante obtiene acceso a una parte de la red. Monitorear, detectar y responder. Las agencias también deben aprovechar las herramientas modernas de detección y respuesta para detectar patrones de actividad anómalos en tiempo real y neutralizar los ataques antes de que causen daños importantes.
Cómo puede ayudar CYRISMA
La versátil plataforma SaaS de CYRISMA permite a los MSSP y MSP que prestan servicios a instituciones educativas gestionar el riesgo de una manera integral y rentable. Al integrar herramientas críticas de gestión de riesgos cibernéticos, como escaneo de vulnerabilidades, descubrimiento de datos confidenciales, escaneo de configuraciones seguras y monitoreo de la web oscura en una sola plataforma, CYRISMA simplifica la prestación de servicios de ciberseguridad y reduce los costos, y puede aumentar el efecto.
Con CYRISMA podrás:
Encuentre, clasifique e identifique datos confidenciales que puedan quedar desprotegidos en sistemas institucionales, aplicaciones de Google Workspace y Office 365 sin el conocimiento de los propietarios de los datos (estudiantes, personal) o de los departamentos de TI. Descubra y mitigue las vulnerabilidades del sistema antes de que los ciberdelincuentes las descubran y exploten. Encuentre la causa raíz de las vulnerabilidades y abórdelas de manera efectiva. Monitoree Active Directory y Azure AD sin conocimientos especializados. Escanee y corrija las debilidades de configuración del sistema operativo para reducir el riesgo y ayudar a los clientes a cumplir con los requisitos de cumplimiento normativo. Realice evaluaciones de cumplimiento y ciberseguridad para evaluar la postura de seguridad de su institución y comunicar fácilmente los niveles de riesgo a los auditores y las juntas directivas. Cumpla con sus requisitos de cumplimiento táctico con los análisis básicos de vulnerabilidad y seguridad de CYRISMA.
Para obtener más información sobre el conjunto completo de funciones de CYRISMA, solicite una demostración hoy.
Blog cortesía de CYRISMA. Los blogs invitados que se contribuyen periódicamente son parte del programa patrocinado de MSSP Alert. Obtenga más información sobre las noticias y blogs de CYRISMA aquí.
https://www.msspalert.com/native/cybercrime-in-the-education-sector
