Ataques democráticos:
La pandemia que azota al mundo instauró una nueva época. En la que el área de la seguridad informática inició una era signada por un asombroso crecimiento de los ataques a particulares y pequeñas empresas, grandes multinacionales, administraciones estatales e infraestructuras esenciales.[1] En otras palabras, nadie quedó afuera del riesgo.
En ese sentido, no deja de llamar la atención que no son las instituciones financieras, las de salud o las infraestructuras públicas las principales víctimas de las atenciones de los delincuentes. Las instituciones educativas también lo son. Lo cierto es que la oportunidad ofrecida por la pandemia fue muy generosa: sin presencialidad, con sistemas basados en la nube, las herramientas de videoconferencia y las actividades de aprendizaje remoto se volvieron invaluables[2]. En un principio, sin un acceso claramente establecido hacia los guardianes de la arquitectura de seguridad y con incontables usuarios que accedieron de modo inmediato y sin capacitación previa en seguridad, la vulnerabilidad se agigantó. Ir al ataque era casi un deber – inmoral.
Y así fue. Sólo en USA, en 2020, incluidos los costos de tiempo de inactividad, reparaciones y oportunidades perdidas, el ataque promedio de ransomware a 1.681 escuelas, colegio y universidades, costó a las instituciones educativas $ 2.73 millones
Más de $ 300,000 que el siguiente sector más alto: distribuidores y empresas de transporte.
Todo un cambio de paradigma y aún una situación no visualizada completamente dentro del sector afectado[3]. ¿Un mal lejano? No, para nada, a nivel mundial, fuera de USA, el 44% de las instituciones educativas fueron blanco de ataques.
El objeto del deseo:
El “atractivo” de las instituciones educativas está descrito, parcialmente, en un artículo aparecido en Research Information,[4]
“Una de las razones, dice, es que las universidades y facultades tienen bibliotecas con grandes cantidades de información de investigación no pública. Los delincuentes pueden ingresar a una red de investigación y ver qué está sucediendo, qué se está probando y cómo van esas pruebas. Este tipo de datos no solo es útil para los gobiernos para el espionaje, sino que también tiene un valor económico”.
Al ser digital, la información está almacenada o en movimiento. En ambas situaciones, en riesgo.
No solo es el espionaje científico o comercial, los atacantes también buscan dinero de otras fuentes y las instituciones educativas lo son: la Universidad de Stanford, California, estuvo entre varias universidades afectadas por un esquema de correo electrónico de phishing a principios de 2021 que vio a los depredadores cibernéticos usar los correos electrónicos de los estudiantes para solicitar préstamos fraudulentos[5].
El botín lo componen, por ejemplo, los secretos comerciales, la información crediticia de estudiantes y empleados y desde luego la información financiera sensible de los donantes. Este último aspecto aún no está suficientemente considerado. A pesar de que las relaciones financieras entre centros educativos y donantes privados y públicos es vital. Probablemente, esa data no se encuentra tan segura en una Universidad o una escuela como en un banco. Atacando las primeras, se abren las puertas de atrás de los segundos.
Con las defensas bajas:
A pesar de almacenar una impresionante cantidad de data financiera, los sistemas de protección de las instituciones educativas (sometidas a una larga crisis de atrición por la misma pandemia) no son comparables a los de las instituciones financieras. Los presupuestos en seguridad y capacitación son, sencillamente, muy diferentes. Ni hablaremos del software de prevención.
Por otra parte, el ambiente de funcionamiento de una institución educativa exige que los sistemas estén altamente distribuidos en varias instituciones del mismo distrito educativo. A veces, no corre una sola aplicación para administrar las identidades de los estudiantes y empleados — que tuvieron que abandonar el claustro de urgencia y en medio de un sentimiento de temor e inseguridad personal opresivo.
Además, los usuarios frecuentemente tienen múltiples roles dentro del sistema escolar, lo que complica la gestión de identidad.
Un venerable modo de vida y de trabajo — no siempre seguro.
Pero, en mi criterio al menos, la vulnerabilidad sistemática del área no sólo luce en materia de herramientas de defensa y capacitación. Es cultural.
La vida universitaria y el proceso de creación científico generan un ambiente de trabajo particular, sobre todo cuando el trabajo es investigar, cooperar, compartir y crear, en un ambiente multicultural y muy móvil. La investigación científica se basa en la apertura de los conocimientos, no es su almacenamiento en compartimentos estancos. La diferencia de culturas entre los miembros de la comunidad educativa es celebrada. Es difícil compaginarla con la uniformidad que exige, en un grado importante, el ejercicio del cuidado de la información electrónica.
Existe una gran diferencia conceptual entre los integrantes de una comunidad educativa o los que conforman una institución financiera, de seguros de salud o una agencia de seguridad nacional. Para poner tres ejemplos de víctimas de ataques informáticos muy visibles: cuando una institución prospera en el libre intercambio de datos e ideas, no puede aplicar fácilmente las mismas medidas de seguridad que son parte de la formación laboral en otros rubros.
La suma que resta:
Aún en la “antigua normalidad”, cada año – o semestre- se alienta un flujo permanente de estudiantes y académicos nacionales y extranjeros que tratan, migran y comparten datos a nivel mundial. Existe, además, una amplia tolerancia hacia infraestructuras de «traiga su propio dispositivo».
Y los usuarios, estudiantes y el personal, pueden ser poco sofisticados con la tecnología y tener habilidades técnicas limitadas. Incluso antes de la pandemia, pero sin excepciones luego, se requiere acceso remoto, con estudiantes y padres que acceden a los sistemas desde computadoras y teléfonos inteligentes muchas veces desde sus casas y con la suma de vulnerabilidades que frecuentemente esto trae aparejado. Asimismo, la sofisticación a veces, paradójicamente, suele ser un riesgo: los estudiantes con habilidades técnicas pueden intentar ataques solo para divertirse o jactarse de esas aptitud[6].
Luego y durante la pandemia, algunas nuevas vulnerabilidades “estallaron”. Al principio en muchos casos, los dispositivos que se prestaron a los profesores y estudiantes cuando fue necesario, eran vulnerables y durante la pandemia a menudo no tenían actualizaciones de seguridad. Además, el personal de ciberseguridad era escaso o estaba sobrepasado de tareas, las plataformas de educación en línea multiplicaron los problemas de seguridad, y como si fuera poco, en países como USA, que han designado universidades para distribuir fondos de ayuda COVID-19, para los delincuentes resulta un auténtico día de pesca.[7]
Una parte importante de este catálogo de inseguridades lo aporta el descuido en el tratamiento de los datos personales. Su vulnerabilidad es un riesgo que no califica entre los “aceptables” y no está demás recordar que las casas de estudio están alcanzadas, desde algún criterio, por el Reglamento General de Protección de Datos de la Unión Europea.
Conclusión:
En mi criterio, la vulnerabilidad de las instituciones no sólo se puede abordar desde el punto de vista de las herramientas de defensa. Es cultural y creo que el enfoque debe ir más allá de lo tecnológico y ser integral.
En este sentido, es necesario reconocer la importancia que el CISO tiene en la organización. Y esa importancia debe visualizarse desde el organigrama mismo.
Es este el funcionario que no solo puede adquirir herramientas y velar por el cumpmimiento de la normativa sino, en colaboración con las áreas de Recursos Humanos, Finanzas, Administración, Legales y desde luego con la alta gerencia o Directorio, impulsar un cambio en la cultura de seguridad de todos los integrantes de la institución. Al decir todos, comprendo a los profesores y a los estudiantes, desde luego.
Para ello es fundamental que todas esas áreas se involucren y participen en la implementación de las herramientas de seguridad y el monitoreo de uso constante. Buenas prácticas valen más que “parches”. Es más, las certificaciones como las ISO son importantes, pero si se convierten en manuales de uso que nadie lee o -menos aún, practica- no tienen un valor decisivo. En tal sentido, la práctica de una casa de estudios para impartir conocimiento puede ser puesta a disposición en este proceso tan crucial. Se puede empezar por lo más simple: ofrecer formación básica a todos los usuarios de su red es una forma de mitigar los efectos de la falta de financiación y recursos[8]. Pero ese es solo el principio.
El mayor desafío me parece entonces que es implementar, ejercitar y monitorear protocolos de seguridad robustos de común acuerdo y entendimiento. También capacitar permanentemente a los integrantes de la organización para formar una cultura de la seguridad colectiva – conservando a la vez la cultura de apertura que es vital para la educación.
Ese desafío no es simple, pero es indispensable aceptarlo.
Si estos temas te apasionan y te interesría ahondar en sus conocimientos te invitamos a estudiar la MAESTRÍA EN GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
Autor: Doctor Martín Elizalde, docente de la Maestría en Gestión de la Seguridad de la Información UDLA.
Referencias Bibliográficas:
[1] “Un informe de INTERPOL muestra un aumento alarmante de los ciberataques durante la epidemia de COVID-19”, ver: https://www.interpol.int/es/Noticias-y-acontecimientos/Noticias/2020/Un-informe-de-INTERPOL-muestra-un-aumento-alarmante-de-los-ciberataques-durante-la-epidemia-de-COVID-19
[2] “El sector educativo sufre una serie de ciberataques en 2021”, ver: https://www.openaccessgovernment.org/education-sector-suffers-series-of-cyber-attacks-in-2021/122465/
[3] CIfras provistas por Nir Kshetri en su artículo: “Los ciberdelincuentes utilizan la pandemia para atacar escuelas y universidades”, ver: https://gcn.com/articles/2021/09/15/k12-college-cyberattacks.aspx
Los valores están expresados en dólares estadounidenses.
[4] Ver en este sentido: https://www.researchinformation.info/viewpoint/why-academic-institutions-are-risk-cyber-attacks-and-library-s-role-cyber-security-and
[5] “Los piratas informáticos ven a los estudiantes que regresan a las clases virtuales como objetivos fáciles”, de Maggie Miller, ver:
[6] Un caso más bien patético es relatado en “11-Year-Old Hacked His School’s Internet For Months & Folks Want Him To Do The Same For Student Loans”, ver: https://afrotech.com/11-year-old-prodigy-elijah
[7] “Los ciberdelincuentes utilizan la pandemia para atacar escuelas y universidades”, por Nir Kshetri, ver https://gcn.com/Articles/2021/09/15/k12-college-cyberattacks.aspx?Page=1
[8] “Why Cybersecurity needs to be a Priority for the Education Sector”, ver: https://swivelsecure.com/solutions/education/why-cybersecurity-needs-to-be-a-priority-for-the-education-sector/
0 comentarios