Ciberseguridad en la Educación Superior: Problemas y Soluciones
Publicado: 2022-03-11Las instituciones de educación superior se enfrentan a una avalancha constante de ciberataques. Después de un incidente en 2015, Kevin Morooney, ex vicerrector de tecnología de la información en la Universidad Estatal de Pensilvania, le dijo a The New York Times que Penn State enfrentaba un promedio de 20 millones de ataques por día, una cantidad “típica para una universidad de investigación”.
Comenzando con una pequeña muestra de los efectos financieros que tales amenazas pueden tener, la firma de ciberseguridad y forense digital LIFARS estimó en un informe de 2016 que los ataques Spear Phishing, diseñados para infiltrarse en una organización y robar información confidencial, a menudo a través de correo electrónico, cuestan a las empresas un promedio de $1.8 millones por incidente. En un informe de 2017, Cybersecurity Ventures predijo que los ataques que involucran Ransomware, que amenazan con robar, bloquear o publicar los datos de una víctima a menos que se pague un rescate, causarán daños por aproximadamente $ 5 mil millones en 2017, frente a $ 325 millones en 2015.
La educación superior tuvo la tasa más alta de ataques de ransomware entre todas las industrias encuestadas en un informe de 2016 publicado por BitSight (una empresa de gestión de riesgos cibernéticos) y la segunda tasa más alta en el informe de BitSight de 2017. En consecuencia, las universidades están trabajando las 24 horas del día para reforzar sus defensas contra estas grandes pérdidas potenciales. Como dijo Kim Milford, directora ejecutiva del Centro de Análisis e Intercambio de Información de Redes de Investigación y Educación de la Universidad de Indiana en un artículo de 2016 escrito por el Centro para la Educación Digital, las universidades ahora están "atrapadas en una costosa carrera armamentista" a medida que exploran nuevas formas de tanto para combatir los ataques actuales como para tratar de mantenerse un paso por delante de los ataques por venir. Independientemente de si los ciberataques tienen éxito, dice Milford, representan un problema costoso y siempre presente que las universidades se ven obligadas a abordar.
Quizás incluso más significativos que las posibles pérdidas financieras, los ataques cibernéticos representan una grave amenaza para la reputación de una universidad y la seguridad de sus estudiantes.
Pero los riesgos que plantean los ataques cibernéticos se extienden más allá de las pérdidas financieras para el mundo de la educación superior. De hecho, los colegios y universidades albergan un gran volumen de datos confidenciales, desde números de seguridad social de los estudiantes hasta propiedad intelectual valiosa, que, si son robados o comprometidos, podrían causar daños significativos mucho más allá de las paredes de la academia. Quizás incluso más significativos que las pérdidas financieras potenciales antes mencionadas, los ataques cibernéticos representan una grave amenaza para la reputación de una universidad y la seguridad de sus estudiantes.
Si bien las amenazas están en constante evolución, los colegios y universidades deben continuar invirtiendo tanto en el talento como en la infraestructura necesaria para enfrentar los desafíos de seguridad cibernética en el futuro. Este artículo iluminará aún más la importancia de desarrollar experiencia en seguridad cibernética para las instituciones de educación superior y ofrecerá estrategias para abordar estos desafíos. Comenzando con un examen de por qué los colegios y universidades son especialmente vulnerables a los ataques cibernéticos, buscaremos comprender las estrategias que utilizan los atacantes para explotar estas vulnerabilidades y llegar a un conjunto de recomendaciones diseñadas para equipar mejor a los colegios y universidades para abordar las amenazas cibernéticas en el futuro.
¿Por qué es vulnerable la educación superior?
Si bien prácticamente todas las industrias importantes enfrentan importantes desafíos de seguridad cibernética, la educación superior es particularmente vulnerable por varias razones clave.
Uno tiene que ver con la cultura única de la academia, que se enorgullece de un grado de apertura y transparencia del que carecen la mayoría de las industrias. Como Fred Cate, director del Centro de Investigación de Ciberseguridad Aplicada de la Universidad de Indiana, articuló en un artículo de UniversityBusiness de 2013, los colegios y universidades históricamente han centrado sus esfuerzos en asegurarse de que “nuestro cuerpo docente y nuestros estudiantes y nuestro público y nuestros donantes [puedan] conectarse bastante fácilmente para nosotros.” Esto ha hecho que las redes informáticas de colegios y universidades, dice el artículo, sean “tan abiertas y atractivas como sus campus”.
Otra razón se relaciona con la historia, específicamente, cuánto tiempo han estado en línea los colegios y universidades. Alex Heid, director de investigación de SecurityScorecard (una empresa de gestión de riesgos de terceros) dijo en un artículo de EducationDIVE de 2016 que las universidades siempre han sido los principales objetivos de los ataques cibernéticos, en gran parte porque "las universidades fueron uno de los primeros lugares que tuvieron acceso a Internet, y con acceso a internet tienes gente tratando de ver hasta dónde puede llegar”. En virtud de haber tenido acceso a Internet durante un tiempo relativamente largo, los colegios y universidades han sido objetivos visibles durante mucho tiempo y, por lo tanto, es probable que los atacantes cibernéticos conozcan y entiendan muy bien sus debilidades.
Los atacantes cibernéticos utilizan tecnologías y métodos de vanguardia para explotar los sistemas universitarios que, en algunos casos, están lamentablemente desactualizados y superados.
Debido a que los colegios y universidades adoptaron tan pronto las herramientas e interfaces digitales (y como resultado de preocupaciones financieras y prácticas), muchas instituciones de educación superior aún dependen de sistemas heredados que son particularmente vulnerables a los ataques. “Muchas de las universidades usan cosas que se escribieron hace años”, dijo Heid en el artículo antes mencionado. En pocas palabras, los atacantes cibernéticos utilizan tecnologías y métodos de vanguardia para explotar los sistemas universitarios que, en algunos casos, están lamentablemente desactualizados y superados.
Más específicamente, los sistemas de TI universitarios a menudo se caracterizan por una construcción descentralizada y, en opinión de Heid, desordenada que los atacantes pueden explotar fácilmente. En una publicación de blog de 2017 para la empresa de software y gestión de riesgos de datos Code42, Ashley Jarosch señala que si bien puede tener sentido desde una perspectiva operativa que los departamentos individuales operen bajo sus propias estructuras de TI (el departamento de astrofísica de una universidad probablemente tendrá, escribe, diferentes necesidades tecnológicas que el departamento de literatura de una universidad, por ejemplo), este tipo de configuración fragmentada crea claras vulnerabilidades de seguridad de la información. “En una docena (o docenas de) departamentos, es muy probable que al menos uno tenga una combinación de dispositivos obsoletos y un sistema operativo sin parches, filtrado de correo electrónico y AV inadecuados, copia de seguridad de datos defectuosa o capacitación y políticas de usuario insuficientes”, escribe Jarosch.
Aunque no es un problema específico de la educación superior, la escasez de talento en seguridad cibernética representa un obstáculo importante que los colegios y universidades deben superar para abordar los problemas mencionados anteriormente. Un estudio reciente realizado por la consultora Frost & Sullivan proyecta que habrá 1,8 millones de puestos de trabajo de seguridad cibernética vacantes para 2020, y que esta escasez de talento existe a escala mundial, con casi el 70 por ciento de los profesionales a nivel mundial que dicen que hay muy pocos trabajadores de seguridad cibernética en el personal. . Dado que la demanda de talento en seguridad cibernética supera con creces la oferta, las empresas a menudo pagan mucho dinero por la experiencia en seguridad cibernética. Es probable que esto ponga a los colegios y universidades en una seria desventaja cuando intentan atraer a ese talento lejos de los trabajos bien remunerados del sector privado en Alphabet, Facebook y similares.
Con una comprensión de las razones que subyacen a las vulnerabilidades de seguridad cibernética de la educación superior, ahora podemos explorar las formas en que se explotan estas vulnerabilidades.
Cómo explotan los atacantes las vulnerabilidades
Los actores nefastos emplean una amplia gama de tácticas y herramientas cuando lanzan ataques cibernéticos. Dos de los métodos más comunes se describen a continuación. Si bien esta lista de ninguna manera es exhaustiva, ni exclusiva de colegios y universidades, proporcionará una mayor comprensión de cómo los piratas informáticos pretenden explotar las brechas en la seguridad cibernética y resultará útil para considerar la mejor manera de detener tales ataques en el futuro.
Inyecciones de SQL: descritas por algunos como "posiblemente el problema más grave que enfrentan las aplicaciones web", las inyecciones de SQL (SQLi) son, en términos simples, ataques diseñados para eludir las protecciones de contraseña mediante la explotación de las bases de datos que subyacen en ciertas aplicaciones. SQL (Standard Query Language) es un lenguaje que gestiona y se comunica con bases de datos. Las inyecciones de SQL funcionan explotando las debilidades en el código subyacente a las páginas de entrada (como las páginas de inicio de sesión de nombre de usuario y contraseña, por ejemplo) y obligando a una base de datos determinada a devolver información confidencial. Por ejemplo, cuando se enfrenta a una página de inicio de sesión con nombre de usuario y contraseña, un atacante puede ingresar ("inyectar") una parte del código SQL en la sección de contraseña. Si el código de la base de datos subyacente es vulnerable, este código SQL podría modificar la base de datos subyacente y obligar a la aplicación que controla la base de datos a permitir el acceso del hacker.
Los colegios y universidades tienen innumerables aplicaciones en línea protegidas con contraseña, desde informes de calificaciones de los estudiantes hasta información de empleo de la facultad, que teóricamente podrían ser vulneradas mediante inyecciones de SQL. Uno de esos ataques a la educación superior se produjo en febrero de 2017, cuando un pirata informático ruso o un grupo de piratas informáticos utilizó inyecciones de SQL para robar datos de docenas de colegios y universidades de EE. UU., incluidas la Universidad de Cornell y la Universidad de Nueva York. Mientras las instituciones de educación superior continúen teniendo debilidades escritas en sus bases de datos subyacentes, las inyecciones de SQL probablemente seguirán siendo comunes y muy fáciles de emplear para los piratas informáticos.
Phishing: como se mencionó al principio de este artículo, los ataques de phishing se caracterizan por correos electrónicos o páginas web que están diseñados para engañar a los usuarios para que ingresen datos confidenciales, como contraseñas o información de tarjetas de crédito. La Oficina de Seguridad de la Información de la Universidad de Princeton proporciona una descripción general útil de cómo se manifiestan normalmente estos ataques:
“Por lo general, el phisher envía un mensaje de correo electrónico a un gran grupo de personas cuyas direcciones ha capturado de libretas de direcciones y sitios web en Internet. El mensaje, por lo general bien redactado y de aspecto oficial, puede afirmar ser de una institución financiera, un proveedor de servicios o cualquier otra organización conocida por el destinatario... A menudo, se le pide al destinatario que proporcione la información haciendo clic en el enlace de un sitio web en el correo electrónico. Pero si bien el enlace al sitio web puede parecer legítimo, el enlace que se muestra no es necesariamente el sitio real que visitas cuando haces clic en él”.
El 30 por ciento de los usuarios en la industria de la educación han caído en estafas de phishing que se hacen pasar por comunicaciones corporativas, el doble de la tasa de la población general, en el último año.
Los ataques de phishing pueden tener una amplia gama de objetivos finales, desde robar datos de usuarios hasta instalar ransomware en la computadora de una víctima y extraer un pago financiero. Si bien estos ataques pueden parecer obvios y fáciles de evitar, los estudios han demostrado que una gran mayoría de las empresas han sido víctimas de estafas de phishing. La industria de la educación ha demostrado ser particularmente susceptible, ya que Wombat Security, una compañía de software dedicada a ayudar a las empresas a combatir los ataques de phishing, encontró en un informe de 2017 que el 30 por ciento de los usuarios en la industria de la educación han hecho clic en estafas de phishing que se hacen pasar por comunicaciones corporativas, el doble de tasa de la población general, en el último año.
Si bien las tácticas mencionadas anteriormente han demostrado ser efectivas, veremos que se pueden prevenir.
Cómo prevenir ataques: mejor código y mayor vigilancia
Existen varias estrategias para combatir los ciberataques descritos anteriormente. Algunos involucran estrategias que los profesionales de TI de la educación superior deben emplear por sí mismos, mientras que otros involucran estrategias que todos en la comunidad de la educación superior, incluidos los usuarios finales, deben implementar:
Detención de ataques SQLi a través de declaraciones preparadas, procedimientos almacenados y validación de entrada
Mucho se ha escrito sobre cómo prevenir los ataques de inyección SQL y el consenso es que hacerlo puede no ser realmente difícil. El Proyecto de seguridad de aplicaciones web abiertas (OWASP) proporciona una descripción general de cómo evitar los ataques de SQLi. OWASP cita tres estrategias principales para hacerlo:
Declaraciones preparadas: los colegios y universidades deben construir sus bases de datos subyacentes con declaraciones preparadas. Como dice OWASP, "las declaraciones preparadas aseguran que un atacante no pueda cambiar la intención de una consulta, incluso si un atacante inserta comandos SQL". Esencialmente, las declaraciones preparadas pueden hacer que los comandos SQL se hagan pasar por datos de entrada del usuario (nombres de usuario y contraseñas) sin poder.
Procedimientos almacenados: según OWASP, los procedimientos almacenados pueden tener el mismo efecto que las declaraciones preparadas, la principal diferencia es que "el código SQL para un procedimiento almacenado se define y almacena en la base de datos misma y luego se llama desde la aplicación". Como han escrito OWASP y otros, los procedimientos almacenados pueden no ser siempre apropiados para la defensa contra ataques SQLi, pero se presentan como una opción viable para colegios y universidades cuando se escriben e implementan correctamente.
Validación de entrada: los ataques de inyección SQL aprovechan las aplicaciones y bases de datos que no cruzan ni validan los datos ingresados. Por lo tanto, un paso lógico para prevenir estos ataques es asegurarse de que una base de datos que se está construyendo requiera validación de entrada. Microsoft también cita la validación de entrada como una técnica clave para evitar ataques SQLi dentro de su modelo de desarrollo web ASP.net.
Prevención del phishing a través de la capacitación y el aumento de la sospecha
A diferencia de la prevención de ataques SQLi, que se pueden realizar a través de soluciones técnicas internas, la prevención de estafas de phishing depende en gran medida de los usuarios finales: profesores, personal y estudiantes. Hay varios pasos que los colegios y universidades deben tomar para garantizar que todos los usuarios finales estén atentos:
Filtros de correo electrónico: como un paso inicial y simple, los colegios y universidades deben configurar filtros de correo electrónico que envíen correos electrónicos sospechosos que no pertenecen a la universidad a la carpeta de correo no deseado de un usuario. Si bien esto está lejos de ser una solución infalible, es un primer paso importante que puede evitar que los correos electrónicos maliciosos lleguen a sus objetivos.
Campañas de capacitación y concientización: los colegios y universidades deben exigir a los usuarios finales que realicen una capacitación que cubra qué es el phishing y cómo reconocerlo. Existen empresas dedicadas a brindar este servicio, y las instituciones de educación superior deben estar dispuestas a invertir el tiempo y los recursos necesarios para formar adecuadamente a sus facultades y personal. Como señala un artículo de Infosecurity Magazine, esta capacitación debe repetirse con relativa regularidad y debe exponer a los usuarios a una amplia gama de ataques de phishing. Brindar ejemplos de ataques reales y crear un repositorio para tales ataques, como lo ha hecho la Universidad de Princeton con su "Phish Bowl", también puede aumentar la conciencia.
“Educar a nuestros clientes en términos de informática segura genera uno de los mayores beneficios”.
Sasi Pillay, vicepresidente de servicios de tecnología de la información y director de información de la Universidad Estatal de Washington, dice que él y su equipo celebran un mes anual de concientización sobre seguridad cibernética y han buscado crear una "cultura de concientización cibernética" general para combatir el phishing, el número de la universidad. un problema de ciberseguridad. “Educar a nuestros clientes en términos de informática segura genera uno de los mayores beneficios”, dice Pillay.
Aunque las estrategias enumeradas anteriormente no son exhaustivas y es posible que no prevengan todos los ataques, representan pasos relativamente simples que pueden generar beneficios significativos en la lucha de la educación superior contra las posibles amenazas cibernéticas.
Las claves para un futuro seguro
Comprender las vulnerabilidades, cómo funcionan los ciberataques comunes y cómo prevenir tales ataques es fundamental para crear un futuro más seguro y económicamente estable para la educación superior. Sin embargo, las ciberamenazas están en constante evolución y no hay garantía de que las amenazas a las que se enfrenta hoy (y las estrategias para mitigarlas) se parezcan a las del futuro.
Para Sasi Pillay, la solución a largo plazo para la seguridad cibernética debe incluir cambios fundamentales en la forma en que se escribe y diseña el software.
“Mi sueño, mi visión a largo plazo, es poder hacer informática segura en un entorno comprometido”, dice Pillay. “Lo que debemos hacer es cambiar significativamente la forma en que escribimos software hoy. El desarrollo de software debe fortalecerse para que las personas tengan en cuenta los riesgos de seguridad y las exposiciones”.
Otra clave para enfrentar los futuros desafíos de ciberseguridad, mencionada brevemente en este artículo, es emplear un equipo sólido y estable de expertos en el campo. Por supuesto, esto es más fácil decirlo que hacerlo, ya que los presupuestos universitarios son ajustados y el talento es escaso. Aún así, hay varias formas de solucionar este problema, incluida la contratación de expertos independientes y aquellos que estén dispuestos a trabajar de forma remota.
Si bien los desafíos de seguridad cibernética que enfrenta la educación superior son grandes y el costo de resolverlos es elevado, los posibles riesgos financieros y de reputación que conlleva una defensa insuficiente probablemente sean aún mayores. Las instituciones en todo el panorama de la educación superior pueden encontrar que las soluciones de ciberseguridad efectivas pueden finalmente pagarse por sí mismas.