Aumentan los ataques al sector educativo: ¿Cómo defenderse?

Siguiente

Buenos Aires, Argentina ­– Las instituciones educativas se transformaron en un objetivo popular para los ataques, debido a una combinación de redes porosas, gran número de usuarios, datos altamente monetizables y debido a sus conocimientos y presupuestos de seguridad limitados. El equipo de investigación de ESET, compañía líder en detección proactiva de amenazas, observó sofisticados grupos APT (Amenaza Persistente Avanzada) atacando instituciones en todo el mundo.

Los agentes patrocinados por estados-nación y los ciberdelincuentes se encuentran entre las mayores amenazas actuales para escuelas, institutos y universidades. En el período de abril a septiembre de 2024, el sector educativo estuvo entre las tres industrias más atacadas por grupos APT alineados con China, entre las dos primeras por Corea del Norte y entre las seis primeras por actores alineados con Irán y Rusia.

En el Reino Unido, el 71% de los centros de enseñanza secundaria y casi todas las universidades (97%) sufrieron un ataque o fallo de seguridad grave el año pasado, frente a solo la mitad (50%) de las empresas, según datos del Gobierno. En Estados Unidos, las cifras más recientes disponibles del K12 Security Information Exchange (SIX) revelan que, entre 2016 y 2022, la nación experimentó más de un ciberincidente por día escolar.

En cuanto a las tácticas, técnicas y procedimientos utilizados para atacar instituciones del sector educativo, desde ESET aclaran que depende del objetivo final y del actor de la amenaza. En este sentido, ESET analiza los puntos que hacen atractivos a los establecimientos educativos para los ciberatacantes:  

  • Presupuesto y conocimientos limitados: El sector educativo suele estar bajo una mayor presión presupuestaria que las empresas privadas y suele estar más limitado para la contratación de talentos en ciberseguridad y a la adopción de herramientas de seguridad. Esto puede crear peligrosas lagunas de cobertura y capacidad.
  • Uso de dispositivos personales sin seguridad adecuada: Según Microsoft, BYOD (Bring Your On Device) es muy común entre quienes estudian en instituciones estadounidenses. El uso las redes escolares con los dispositivos personales puede proporcionar una vía de acceso a datos y sistemas sensibles si no se acompaña con una política de seguridad adecuada.
  • Bajo nivel de concientización de usuarios: El factor humano sigue siendo uno de los mayores retos para el personal de seguridad. El personal y quienes estudian en entornos educativos, son un objetivo buscado para el phishing, por lo que implementar programas de concientización es fundamental. Pero, por dar un ejemplo, solo el 5% de las universidades del Reino Unido, realiza este tipo de actividades destinadas a estudiantes.
  • Cultura de intercambio de información y colaboración externa: La cultura de intercambio de información y de apertura a la colaboración externa suele acrecentar los riesgos. Se hace necesario un control estricto, especialmente en las comunicaciones por correo electrónico, y esto puede volverse difícil cuando hay tantas terceras partes conectadas, desde antiguos alumnos y donantes hasta organizaciones benéficas y proveedores.
  • Una amplia superficie de ataque: La superficie de ciberataques se amplió con la llegada del aprendizaje virtual y el trabajo a distancia. Desde los servidores en la nube hasta los dispositivos móviles personales, hasta las redes domésticas y el gran número de empleados y estudiantes, hay muchos objetivos a los que pueden apuntar las amenazas.
  • Grandes cantidades de información personal identificable: Las escuelas y universidades almacenan, gestionan y procesan grandes volúmenes de información personal identificable (IPI) sobre el personal y estudiantes, incluidos datos sanitarios y financieros. Esto las convierte en un objetivo atractivo para los estafadores y los autores de ransomware con motivaciones económicas. Además, muchas instituciones llevan adelante investigaciones sensibles que también las convierte en objetivo de los estados-nación.

En el Reino Unido, las universidades consideran el ransomware como la principal ciberamenaza para el sector, seguido de la ingeniería social/phishing y las vulnerabilidades sin parchear. Y en Estados Unidos, un informe del Departamento de Seguridad Nacional afirma que: «Los distritos escolares K-12 han sido un objetivo casi constante del ransomware debido a las limitaciones presupuestarias de IT de los sistemas escolares y a la falta de recursos dedicados, así como al éxito de los cibercriminales a la hora de extraer el pago de algunas escuelas a las que se exige que funcionen en determinadas fechas y horas».

El tamaño cada vez mayor de la superficie de ataque, incluidos los dispositivos personales, la tecnología heredada, el gran número de usuarios y las redes abiertas, facilita enormemente el trabajo del actor de la amenaza. Si bien puede haber un conjunto único de razones por las que los actores de amenazas atacan a escuelas, colegios y universidades, en términos generales, las técnicas que utilizan para ello son de probada eficacia. Esto significa que para la protección, se aplican las normas de seguridad habituales.”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Seguridad informática de ESET Latinoamérica.

En términos de cuidados, protección y seguridad, ESET sugiere a las instituciones educativas centrarse en las personas, los procesos y la tecnología para mitigar el riesgo cibernético:

  • Aplicar contraseñas seguras y únicas y la autenticación multifactor (AMF) para proteger las cuentas
  • Practicar la ciberhigiene con parches inmediatos, copias de seguridad frecuentes y cifrado de datos
  • Desarrollar y poner a prueba un sólido plan de respuesta a incidentes para minimizar el impacto de una brecha
  • Educar al personal, estudiantes y equipo de administración sobre las mejores prácticas de seguridad, con foco en la detección de los correos electrónicos de phishing
  • Elaborar y compartir una política detallada de uso aceptable con los estudiantes, incluida la seguridad que espera que preinstalen en sus dispositivos
  • Asociarse con un proveedor de ciberseguridad de confianza que proteja los terminales, los datos y la propiedad intelectual de la organización
  • Considerar el uso de detección y respuesta gestionadas (MDR) para supervisar la actividad sospechosa 24 horas al día, 7 días a la semana, y ayudar a detectar y contener las amenazas antes de que puedan afectar a la organización

Los educadores de todo el mundo ya tienen muchos problemas con los que lidiar, desde la escasez de personal cualificado hasta los problemas de financiación. Pero ignorar la ciberamenaza no hará que desaparezca. Si se dejan escalar, las brechas pueden causar enormes daños financieros y de reputación que, para las universidades en particular, podrían ser desastrosos. En última instancia, las brechas de seguridad merman la capacidad de las instituciones para ofrecer la mejor educación posible. Es algo que debería preocuparnos a todos.”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Seguridad informática de ESET Latinoamérica.

Para conocer más sobre seguridad informática visite el portal de noticias de ESET:https://www.welivesecurity.com/es/seguridad-digital/aumentan-ataques-sector-educativo-como-defenderse/

Por otro lado, ESET invita a conocer Conexión Segura, su podcast para saber qué está ocurriendo en el mundo de la seguridad informática. Para escucharlo ingrese a: https://open.spotify.com/show/0Q32tisjNy7eCYwUNHphcw

Pie de imagen: Ejemplo de correo electrónico malicioso con enlace que lleva a login falso.

¿Cómo evitar caer en estafas si se compra utilizando Google? 

  • Comprender que no todo lo que aparece en los resultados de Google es confiable.   
  • Revisar si el resultado mostrado es un anuncio o un sitio que aparece de manera natural.  
  • Prestar atención detenidamente a la URL, verificarla y compararla con el resto de las opciones que aparecen en los resultados, en caso de que haya más de una URL para el mismo sitio.   
  • Desconfiar de aquellos precios u ofertas demasiado buenos.  
  • Buscar opiniones y comentarios de otros usuarios. A veces basta con buscar en redes sociales para encontrar personas que ya han denunciado el sitio. 

Plataformas de comercio electrónico: En las plataformas como Mercado Libre, Amazon, Temu, AliExpress o eBay, uno de los riesgos que se comparten son los correos de phishing, en los cuales los cibercriminales intentan hacerse pasar por ellas, con el objetivo de que las víctimas entreguen sus datos personales e información bancaria. Los motivos o señuelos pueden ser variados: desde un problema de seguridad o movimiento sospechoso en la cuenta, hasta un regalo, un sorteo o una oferta muy difícil de rechazar. 

Pie de imagen: Correo fraudulento que simula ser Mercado Pago y pide completar datos por un supuesto problema en la cuenta.

Otro engaño muy común es aquel en el que se invita a la víctima a seguir la conversación por fuera de la plataforma (ya sea por tema de pagos o de envíos). Como señuelo, se suelen ofrecer artículos de gran valor y alta demanda (como celulares, computadoras) por precios muy bajos, y sugerir hacer el envío de manera particular, con un precio más costoso de lo normal. El resultado es que el ciberatacante se queda con el dinero del envío y el supuesto producto nunca llega al comprador.

“Estos son solo algunos escenarios entre tantísimos otros, como el que involucra un llamado telefónico, por parte del atacante con la excusa que existe algún problema con la cuenta. Y también aquel apuntado a vendedores, en el cual estafador realiza la compra y una vez recibida, la declara como defectuosa y solicita el reembolso: el dinero es devuelto, pero el supuesto producto defectuoso nunca llega de regreso al vendedor.”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

Tiendas ecommerce independientes: Muchos usuarios eligen comprar a emprendedores o pequeños comercios que venden desde su propia tienda online utilizando alguna herramienta para sumar un carrito de compras y la posibilidad de realizar pagos. También hay grandes marcas que comercializan sus productos en tiendas integradas en sus propios sitios. En estos casos, el mayor peligro es que una tienda, aún con buena intención, haya sido comprometida sin saberlo. Ya sea por vulnerabilidades en los sitios, plugins y complementos instalados, así como por errores de configuración o incluso por la infección con malware del tipo skimmers, los cibercriminales obtienen así información personal de clientes e incluso logran robar los números de las tarjetas de crédito de las personas que compran.

¿Cómo evitar caer en estafas comprando en tiendas ecommerce independientes?

  • Analizar la página y buscar información de la tienda: ver comentarios en redes sociales, reseñas fuera del sitio, conocer quienes están detrás.  
  • Revisar la URL en detalle, ya que muchas veces los sitios maliciosos imitan a tiendas reales cambiando una letra o el dominio (.shop en lugar de .com, por ejemplo).
  • Antes de pagar, revisar si la conexión es HTTPS. Si bien esto no esgarantía de que el sitio sea seguro, es un primer filtro.  
  • Usar una tarjeta virtual o prepaga, especialmente para compras puntuales. Esto principalmente para evitar mayores consecuencias en caso de que la tienda haya sido comprometida con un web skimmer o que haya explotado alguna vulnerabilidad en el sitio que permita robar datos sensibles de las personas que compran.

Facebook Marketplace: Si bien tener acceso a los perfiles de los vendedores da una sensación de seguridad, la misma a menudo es falsa: ya que es común escuchar de estafas y engaños que circulan en esta plataforma. Una de las estafas más comunes involucra productos defectuosos o que no existen. Puede pasar que el vendedor muestra un producto impecable en fotos, pero al recibirlo está dañado o no existe. Por eso siempre es importante verificar las reseñas y, en la medida de lo posible, probar las funcionalidades.

En MarketPlace también hay ofertas que son demasiado buenas para ser verdad. Aquí desde ESET aconsejan aplicar la regla de oro: si un producto es extremadamente barato, probablemente más que una ganga se trate de un engaño. La recomendación: comparar el precio del mismo producto en otras plataformas para tener un precio de referencia real. 

Por último, los falsos sorteos y el phishing. Se trata de correos falsos con ofertas de Facebook Market Place que pueden parecer irresistibles. Lo que se esconde detrás es el intento que hacer clic y dirigir a formularios engañosos donde solicitan información personal.

“Las ventajas de comprar online están fuera de discusión, pero también es cierto que al comprar online podemos encontrarnos con diversas formas de engaño que buscan robar el dinero de las personas e incluso de quienes venden. Y como la idea es que todas las personas puedan disfrutar de los beneficios de comprar a través de Internet, estar informados nos permite estar más atentos y tomar los recaudos necesarios para evitar convertirnos en víctimas. Desde ESET también recomendamos el uso de una app o software de seguridad como ESET Home Security que detecta y bloquea sitios falsos y que incluye funcionalidades prácticas para la vida cotidiana, como “navegación segura y pagos seguros” que añade una capa adicional de seguridad en el dispositivo al realizar compras online o transacciones.”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Seguridad informática de ESET Latinoamérica.

Para conocer más sobre seguridad informática visite el portal de noticias de ESET:https://www.eset.com/latam/blog/cultura-y-seguridad-digital/compras-online-estafas-mas-comunes-manera-protegerse/

Por otro lado, ESET invita a conocer Conexión Segura, su podcast para saber qué está ocurriendo en el mundo de la seguridad informática. Para escucharlo ingrese a: https://open.spotify.com/show/0Q32tisjNy7eCYwUNHphcw