Las amenazas de seguridad que Microsoft ha detectado en distintos sectores tienden a aumentar en la educación. Los cibermalos se han percatado de que este ámbito es vulnerable de por sí. Las universidades, con una media de 2.507 intentos de ciberataque por semana, se han convertido en objetivo prioritario para actividades de malware, phishing y vulnerabilidades en dispositivos IoT.
Una nueva edición del informe Cyber Signals, que realiza Microsoft, profundiza en los desafíos de ciberseguridad que afrontan los centros educativos de todo el planeta y pone de relieve la necesidad crítica de disponer de sólidas soluciones de seguridad y medidas proactivas.
La huella digital de las instituciones escolares, colegios y universidades se ha multiplicado exponencialmente debido a la utilización de dispositivos tecnológicos personales, el aumento de las clases virtuales y la información y datos de investigación que se almacena en la nube.
Entorno que favorece las amenazas
Existen ciertos factores que contribuyen a acrecentar los riesgos. Colegios y universidades sufren una escasez de recursos informáticos y no siempre tienen en cuenta la seguridad. En Estados Unidos los dispositivos suelen pertenecer a los empleados. En cambio, los dispositivos que se utilizan en educación en Europa son, en su mayoría, propiedad de las entidades educativas.
Tampoco sirven de ayuda la diversidad de trabajadores y el entorno de actividades, anuncios, recursos de información, sistemas de correo electrónico de estudiantes de todo el mundo. Además, el aprendizaje virtual y a distancia dificultan la ciberseguridad.
La IA aumenta la importancia del control
Las ciberamenazas a la educación no son motivo de preocupación solo en Estados Unidos. La Encuesta sobre Infracciones a la Ciberseguridad 2024 del Departamento de Ciencia, Innovación y Tecnología del Reino Unido revela que el 43% de las instituciones de enseñanza superior británicas declaró haber sufrido una infracción o un ataque al menos una vez a la semana.
Los atacantes de la educación superior buscan entrar en los sistemas habilitados para IA. Si los sistemas no están protegidos con controles de acceso e identidad adecuados, se tornan vulnerables. Los centros que utilizan servicios cloud, dispositivos móviles, aprendizaje híbrido, nuevas identidades y privilegios, deben tener en cuenta la influencia de la IA en el ciberriesgo.
Actores contra la educación
Los agentes de naciones ‘enemigas’ buscan propiedad intelectual y contactos de alto nivel. Y para ello ponen el foco en universidades que llevan a cabo investigaciones financiadas con fondos públicos, o que trabajan en estrecha colaboración con empresas de defensa, tecnología y otras organizaciones del sector privado. Ámbitos como el sector aeroespacial, la ingeniería, la ciencia nuclear son asuntos sensibles al espionaje.
El informe contiene una relación de estos grupos que atacan el sector de la educación:
Peach Sandstorm. Utiliza ataques de pulverización de contraseñas contra el sector educativo para acceder a su infraestructura. Microsoft también ha observado que la organización emplea la ingeniería social contra objetivos en la educación superior.
Mint Sandstorm. La compañía ha detectado un subconjunto de este grupo de ataque iraní dirigido a expertos de alto perfil que trabajan en asuntos de Oriente Medio en universidades y organizaciones de investigación. Estos sofisticados ataques de phishing utilizaban ingeniería social para obligar a los objetivos a descargar archivos maliciosos, como un nuevo backdoor personalizado llamado MediaPl.
Instituto Mabna. En 2023, este grupo iraní realizó intrusiones en los sistemas informáticos de al menos 144 universidades estadounidenses y 176 universidades de otros 21 países. Las credenciales de acceso sustraídas se usaron en beneficio del Cuerpo de la Guardia Revolucionaria Islámica de Irán y también se vendieron en el interior del país a través de la web. Las credenciales robadas que pertenecían a profesores universitarios se utilizaron para el acceso directo a los sistemas de las bibliotecas universitarias.
Emerald Sleet. Este grupo norcoreano ataca principalmente a expertos en política de Asia Oriental o en relaciones entre Corea del Norte y Corea del Sur. En algunos casos, los mismos académicos han sido objetivo de Emerald Sleet durante casi una década. Utiliza Inteligencia Artificial para redactar scripts maliciosos y contenidos de ingeniería social, pero estos ataques no siempre consisten en la distribución de malware. También hay una tendencia en evolución que consiste simplemente en pedir a los expertos información sobre políticas que podría usarse para manipular negociaciones, acuerdos comerciales o sanciones.
Moonstone Sleet. Este actor norcoreano adopta innovadoras estrategias, como la creación de empresas falsas para entablar relaciones comerciales con instituciones educativas o con un profesor o estudiante en particular. Uno de los ataques más relevantes de Moonstone Sleet fue en la creación de un juego falso con temática de tanques que se empleó para atacar a personas en instituciones educativas, con el objetivo de desplegar malware y filtrar datos.
Storm-1877. Dedicado sobre todo al robo de criptomonedas mediante una familia de malware personalizada que despliega gracias a diversos medios. El propósito final de este malware es robar direcciones de monederos de criptomonedas y credenciales de inicio de sesión para plataformas de este tipo. Los estudiantes suelen ser el objetivo de los ciberataques, que comienzan principalmente en las redes sociales. Storm-1877 se dirige a los alumnos porque no son tan conscientes de las amenazas digitales como los profesionales del sector.
Consejos
Para una mejor ciberhigiene en el entorno educativo, la compañía ha compartido una serie de consejos:
La mejor defensa contra los ataques de códigos QR es ser consciente y prestar atención. Se debe inspeccionar la URL del código antes de abrirlo y no abrir códigos QR de fuentes desconocidas, sobre todo si el mensaje utiliza un lenguaje urgente o contiene errores.
Se tiene que considerar la posibilidad de implantar el “servicio de nombre de dominio protector”, una herramienta gratuita que ayuda a prevenir el ransomware y otros ciberataques, al bloquear la conexión de los sistemas informáticos a sitios web dañinos. Hay que prevenir además los ataques de password spraying con una contraseña potente e implante la autenticación multifactor.
Los centros deben educar a los estudiantes y al personal de la organización sobre la importancia de la higiene de seguridad y animar a utilizar la autenticación multifactor o las protecciones sin contraseña. Los estudios han demostrado que una cuenta tiene más de un 99,9% menos de probabilidades de verse comprometida cuando se utiliza la autenticación multifactor.