Ciberataques contra el sector educativo. Cuando los delincuentes van a la Universidad
Tabla de contenidos
Los ciberataques contra el sector educativo pueden provocar la parálisis de universidades y centros de investigación y el robo de datos personales y propiedad intelectual
A mediados de junio, justo en el final del curso y en plenos exámenes, la Universitat Pompeu Fabra de Barcelona sufrió un ciberataque que le obligó a desconectar sus sistemas de internet para evitar que se propagara. Unas semanas antes, hasta seis centros de formación profesional del País Vasco sufrieron un ataque de ransomware que provocó la encriptación de su información. Al otro lado del Atlántico, durante los últimos meses se han producido ciberataques contra el sector educativo que han afectado a instituciones como la Standford University o la Universidad de Buenos Aires.
Este goteo de incidentes de seguridad evidencia que las organizaciones del sector de la educación se encuentran en el punto de mira de los ciberdelincuentes.
Según un estudio elaborado por el gobierno de Reino Unido, el 85% de las universidades de este país han identificado ataques o brechas de seguridad a lo largo del último año. Aunque las instituciones universitarias sean el principal target de los delincuentes, el estudio también revela que el 82% de los centros de formación superior tuvieron que hacer frente a ataques. Así como el 63% de las escuelas de secundaria y el 41% de los centros de primaria.
A continuación, vamos a explorar los factores que incentivan los ciberataques contra el sector educativo, así como su tipología y objetivos. Además, vamos a poner en valor la importancia de que las organizaciones, tanto privadas como públicas, dispongan de servicios de ciberseguridad que les permitan prevenir los incidentes de seguridad y responder de manera eficaz ante los ataques.
1. Factores que incentivan los ciberataques contra el sector educativo
El mundo de la educación ha estado a la vanguardia de la digitalización de la sociedad y la economía. Sobre todo, las universidades y los centros de investigación.
Hoy en día, la gran mayoría de las organizaciones educativas operan de manera digital. Desde los docentes de una academia de formación que imparten clases de manera online, hasta los profesores de una escuela de primaria que pasan lista desde una tablet usando una aplicación, pasando por el alumno que entra al campus virtual de su instituto desde su ordenador personal.
Este elevado nivel de digitalización, trae consigo un incremento de la exposición de las organizaciones y amplía los vectores de ataque que pueden emplear los delincuentes para amenazar su continuidad de negocio o sustraer información crítica como propiedad intelectual o datos financieros.
¿Qué factores contribuyen a que los delincuentes diseñen e implementen ciberataques contra el sector educativo?
1.1. Auge de la teleducación y del nivel de ciberexposición
La pandemia provocada por el covid generó profundas transformaciones en el tejido productivo y en la sociedad. Uno de los ámbitos más afectados por esta crisis fue la educación. En cuestión de días, las universidades, los institutos y los colegios tuvieron que poner en marcha estrategias de teleducación para posibilitar que millones de alumnos pudieran terminar el curso académico con normalidad. Esto supuso la implementación de herramientas y software y multiplicó el número de dispositivos desde los que se accede a la infraestructura IT de las organizaciones.
Si bien la crisis sanitaria provocó una extensión sin precedentes de la educación a distancia, esta ha experimentado un crecimiento sostenido en el tiempo desde la irrupción del mundo digital. Así, han proliferado en todo el mundo universidades, academias de formación y demás entidades que ofrecen cursos, preparación de oposiciones, carreras universitarias y masters de manera no presencial. En este sentido, la Universitat Oberta de Catalunya, una de las universidades a distancia más importantes de España, sufrió un ataque que imposibilitaba el acceso a su campus virtual en un momento crítico como el final del cuatrimestre, cuando los alumnos tenían que entregar numerosos trabajos.
Hoy en día, docentes, investigadores, alumnos o padres pueden acceder a aplicaciones web y aplicaciones móviles esenciales para trabajar, evaluar a los alumnos, realizar pruebas educativas o consultar la evolución académica de los estudiantes. Esto implica que se pueden llevar a cabo ataques para vulnerar dispositivos personales que escapan al control de las organizaciones. Por ejemplo, el portátil de un profesor universitario o el móvil de un estudiante. Lo que dificulta la detección temprana de los incidentes de seguridad y su remediación.
1.2. La información que almacenan los sistemas educativos
Los ciberataques contra el sector educativo resultan muy atractivos para los delincuentes no solo porque la superficie de ataque es cada vez más amplia, sino, también, porque los sistemas de las organizaciones educativas almacenan información de enorme valor:
- Propiedad intelectual e industrial generada por los investigadores.
- Datos personales de profesores, personal no docente, alumnos, exalumnos, donantes, proveedores…
- Datos de contacto y direcciones.
- Documentos oficiales como DNI, NIE, número de la Seguridad Social o pasaporte.
- Información financiera: cuentas bancarias, números de tarjeta, facturas, recibos, préstamos educativos…
- Información educativa: estudios, calificaciones…
Esta información puede emplearse para extorsionar a las organizaciones y a sus alumnos o lanzar nuevos ataques para cometer fraudes económicos. Además, también es fácil de monetizar a través de su venta en la Dark Web.
1.3. Existencia de periodos críticos para la actividad
Para los e-commerce las semanas del Black Friday o la campaña navideña son fundamentales, porque durante estos días generan un enorme volumen de ventas e ingresos. Pues bien, las organizaciones educativas también tienen periodos temporales críticos como el inicio del curso y, sobre todo, la finalización de los trimestres, cuatrimestre o semestres. Es decir, las semanas en las que se llevan a cabo los exámenes, finaliza la entrega de trabajos y los docentes deben notificar las calificaciones.
Los ciberdelincuentes aprovechan estos periodos para lanzar ciberataques contra el sector educativo y generar más daño en las organizaciones.
Como señalamos antes, hace un mes, la Universidad de Buenos Aires, una de las instituciones educativas de mayor tamaño y relevancia de Latinoamérica, sufrió un ataque de ransomware durante el final del semestre. En el transcurso del incidente se vieron comprometidos los servidores de la institución y provocó que docentes y alumnos no pudieran acceder a sistemas críticos como el programa de educación a distancia. De tal manera que los profesores no podían subir las notas, los alumnos eran incapaces de acceder a la herramienta a través de la que gestionan sus materias e, incluso, se retrasó el pago de los aguinaldos al personal.
1.4. Falta de concienciación y de financiación
Como sucede en otros ámbitos, uno de los motivos por los que se producen ciberataques contra el sector educativo es por la falta de concienciación y formación de las personas que forman parte de él. Desde el profesorado, hasta el alumnado, pasando por los investigadores e, incluso, los proveedores de las organizaciones.
A ello debemos sumar el hecho de que la mayoría de los cargos directivos de las entidades educativas carece de conocimientos sobre ciberseguridad y que, a la hora de administrar el presupuesto, no se destinan los recursos económicos suficientes a la protección de sus infraestructuras tecnológicas.
El uso de software desfasados y de equipamientos anticuados puede conllevar la aparición de vulnerabilidades explotables por los actores maliciosos. Asimismo, la ausencia de buenas prácticas en materia de ciberseguridad facilita el éxito de campañas de ingeniería social.
1.5. Proliferación de los modelos as-a-Service y del número de atacantes potenciales
Si hasta ahora hemos abordado los factores que incentivan los ciberataques contra el sector educativo desde el punto de vista de las organizaciones, ahora debemos tener en cuenta una tendencia clave en el ámbito de la ciberseguridad y que afecta a todos los sectores: los programas as-a-Service.
Decenas de grupos delictivos ofrecen en la Dark Web programas de Ransomeware-a-a-Service (RaaS) o de DDoS-as-a-Service. Estos modelos de negocio criminal consisten en la comercialización de las técnicas y los medios para llevar a cabo ataques de ransomware o DDoS. De tal forma que se multiplica el número de posibles atacantes, ya que los actores maliciosos no necesitan tener ni los conocimientos ni los recursos para desarrollar un malware o implementar la infraestructura necesaria para realizar un ataque DDoS.
A finales de 2023, la Standford University, una de las instituciones educativas más prestigiosas del mundo, sufrió un ataque que ha sido reivindicado por el grupo de Ransomware-as-a-Service Akira, que ya había pergeñado otros ciberataques contra el sector educativo.
2. Universidades, centros de investigación, academias, escuelas… Un ecosistema complejo
Aunque las universidades sean, desgraciadamente, las protagonistas de muchos de los ciberataques contra el sector educativo, no son el único objetivo de los delincuentes. De hecho, ninguna entidad relacionada con la educación puede considerarse a salvo.
2.1. Educación superior e investigación
- Universidades. Son un objetivo prioritario por sus dimensiones, su altísimo nivel de digitalización y porque un ataque exitoso puede conllevar la sustracción de propiedad intelectual de enorme valor, la vulneración de datos personales de miles de personas y la exigencia de rescates elevados. Nada más comenzar 2024, la Memorial University of Newfoundland tuvo que postergar una semana la vuelta a clases en su campus de Grenfell, después de que un incidente obligara a la institución a parar sus servicios tecnológicos para lograr contenerlo.
- Centros de investigación. De entre los ciberataques contra el sector educativo que se han registrado en España, destaca por la importancia del objetivo y su impacto el incidente que sufrió el Consejo Superior de Investigaciones Científicas (CSIC), durante el verano de 2022. El ataque, de origen ruso, provocó la parálisis del mayor centro de investigación del país, que tardó un mes en recuperar la normalidad, lo que causó un enorme daño a su reputación y cuantiosas pérdidas económicas.
- Centros de formación profesional. La formación profesional es cada vez más relevante en Europa. Además, los centros donde se prestan están cada vez más digitalizados, como evidenció el ataque contra los centros vascos. Asimismo, en los últimos años se ha extendido la formación profesional a distancia, cuyo modelo de negocio descansa por completo en el canal digital.
2.2. Educación primaria, secundaria y no reglada
- Academias y centros de formación. La teleducación se ha convertido en un subsector muy lucrativo en el que operan cientos de compañías que ofrecen toda clase de cursos a través de clases virtuales y contenidos digitales.
- Institutos y escuelas. Como evidencia el informe del Reino Unido al que aludimos al inicio del artículo, los institutos de educación secundaria y las escuelas de primaria no se libran de los ataques. Estas entidades, tanto públicas como privadas, disponen de una infraestructura tecnológica más compleja de lo que puede parecer a simple vista y manejan datos sensibles de menores de edad.
- Distritos escolares. En Estados Unidos o Canadá, las escuelas públicas se organizan en torno a distritos escolares. De ahí que muchos delincuentes no ataquen de manera directa a un solo colegio, sino que su objetivo sea un distrito escolar entero. Por ejemplo, en noviembre se hizo público un incidente de seguridad que afectó al distrito escolar del condado de Clark (Las Vegas). Gracias a un ataque de ransomware que comenzó con un alumno mostrando su cuenta de email del distrito y su fecha de nacimiento en TikTok. El resultado fue la filtración de los datos personales de 200.000 alumnos.
3. Tipologías de ataques más comunes
¿Qué técnicas emplean los actores maliciosos para perpetrar ciberataques contra el sector educativo? En esencia, las principales tipologías que se usan a la hora de atacar a compañías y administraciones públicas de otros sectores.
3.1. Ingeniería social
Las campañas de ingeniería social son protagonistas del panorama de amenazas contra empresas, ciudadanos y administraciones públicas desde hace muchos años. Con la irrupción de tecnologías como las IA generativas el diseño de campañas de phishing se ha sofisticado, con el objetivo de no levantar las sospechas de las víctimas e inducirlas a que aporten datos personales, realicen pagos, descarguen archivos infectados con malware o accedan a URL peligrosas.
En el terreno de la educación, las técnicas de ingeniería social pueden servir para acceder a equipos de profesores, investigadores o alumnos y robar información, tomar el control de los dispositivos y adentrarse en las redes de las organizaciones para cumplir los objetivos delictivos.
Asimismo, también se pueden producir fraudes del CEO contra personal de las instituciones educativas para conseguir cometer cuantiosos fraudes económicos a través de pagos fraudulentos. Por ejemplo, el sistema universitario de Dakota del Norte estuvo a punto de sufrir un fraude de más de 5 millones de dólares a finales de octubre de 2023. Las transacciones fraudulentas se pudieron detener en el último momento.
Otra tendencia relacionada con el uso de técnicas de ingeniería social para realizar ciberataques contra el sector educativo es la generación de estudiantes fantasmas para acceder a becas. Solo en 2023, en los community colleges de California se detectaron miles de estudiantes fantasmas matriculados para conseguir las Pell grants que concede el Departamento de Educación de Estados Unidos. Para crear a estos estudiantes, los delincuentes proceden a robar las identidades de personas reales.
3.2. Ransomware y otros tipos de malware
Como hemos podido observar a lo largo de algunos de los ejemplos que hemos ido recopilando, los ataques de ransomware suponen una de las mayores amenazas a las que se enfrentan las organizaciones educativas. Desde las escuelas, hasta las universidades.
A menudo, los delincuentes combinan técnicas de ingeniería social y despliegue de malware como info-stealers para:
- Acceder a los sistemas de las organizaciones.
- Escalar y persistir en ellas.
- Obtener datos de alumnos, trabajadores o investigadores, así como información estratégica.
- Encriptarlos y amenazar a las entidades o a los ciudadanos con filtrarlos si no se abona el pago de un rescate.
3.3. Ataques DDoS
Aunque los ataques dirigidos de denegación de servicio son más habituales contra instituciones sanitarias, incluidos los hospitales de algunas universidades, también pueden ponerse en marcha para impedir el acceso a las webs y plataformas de las organizaciones del ámbito educativo.
De hecho, el año pasado, los grupos de delincuentes Killnet y AnonymousSudan, centrados en menoscabar a compañías y administraciones occidentales, lanzaron un ataque DDoS contra los sitos webs de aeropuertos, hospitales y universidades de Australia.
Pero no solo los grupos con experiencia y recursos pueden lanzar ataques de este tipo. Como señalamos antes, la proliferación de programas de DDoS-as-a-Service posibilita que miles de actores maliciosos lancen ataques de denegación de servicio contra los sistemas de los centros educativos. Tal es así, que incluso estudiantes menores de 12 años han sido capaces de paralizar la actividad de sus escuelas.
En el otro extremo de los ataques DDoS, el gran número de sistemas que forman parte de las redes educativos, y las conexiones de alta velocidad, hacen que estos sistemas sean atractivos para los ciberdelincuentes, infectando estas redes para lanzar ataques de DDoS desde ellas.
3.4. Ataques de cadena de suministro
Como resulta evidente, las organizaciones educativas no emplean única y exclusivamente software desarrollado por ellas, sino que trabajan con múltiples proveedores. Este hecho abre las puertas a que sean víctimas de ataques de cadena de suministro.
Anteriormente, mentamos un incidente reciente de la Standford University, pero esta institución también sufrió un ataque de cadena de suministro ejecutado por el célebre grupo delictivo Cl0p. Los criminales explotaron vulnerabilidades presentes en Accellion FTA, una aplicación de transferencia de archivos empleada por esta organización, así como por las universidades de Colorado, Miami, California o Maryland. Gracias a este ataque, los delincuentes pudieron robar datos y extorsionar a organizaciones y alumnos.
4. Objetivos de los ciberataques contra el sector educativo
Habida cuenta de lo que hemos tratado en este artículo, podemos concluir que los objetivos de los actores maliciosos que llevan a cabo ciberataques contra el sector educativo son:
- Paralizar o entorpecer la actividad de las organizaciones. Muchos ataques de ransomware fuerzan a las entidades a paralizar sus sistemas para evitar la expansión. Además, el secuestro de información crítica lastra las actividades académicas e investigadoras. En algunos casos, la normalidad se recupera en cuestión de horas. En otros, recuperar los sistemas puede conllevar una ingente cantidad de dinero y meses de trabajo.
- Secuestrar datos personales. Una organización que padece una brecha de información personal de sus alumnos, trabajadores, donantes, proveedores o socios sufre una pérdida reputacional inmediata. Además, la imposibilidad de acceder a esta clase de datos puede paralizar actividades esenciales como el pago de las nóminas. Los actores maliciosos buscan hacer negocio a partir del miedo de las organizaciones a que los datos sean filtrados en la Dark Web. E, incluso, en algunos casos llegan a amenazar directamente a las personas afectadas.
- Usar o comercializar la información para lanzar nuevos ataques. La creación de identidades falsas o sintéticas gracias a datos como números de identificación personal, como el DNI, números de la Seguridad Social o carnets de conducir facilita la ejecución de fraudes financieros. Además, en algunos incidentes, como en el ciberataque que sufrió la University of Michigan este verano, los delincuentes pueden acceder a información financiera como cuentas bancarias o números de tarjeta. Estos datos pueden ser explotados directamente por los actores maliciosos o comercializados en la Dark Web.
- Robar y vender propiedad intelectual. Las universidades y los centros de investigación generan de forma continua patentes, propiedad intelectual y conocimiento de enorme valor. La venta de esta clase de información puede generar cuantiosos ingresos a los delincuentes.
5. Ciberseguridad, una cuestión estratégica para las organizaciones educativas
¿Qué pueden hacer las organizaciones educativas para fortalecer sus capacidades defensivas frente a unos ciberataques contra el sector educativo que van en aumento y generan graves consecuencias económicas y reputacionales? Disponer de servicios de ciberseguridad prestados por equipos de profesionales altamente cualificados. ¿Para qué? Optimizar las actividades de prevención, detección, mitigación, respuesta y recuperación e incrementar el nivel de capacitación de los equipos defensivos.
5.1. De las auditorías de seguridad hasta la respuesta a incidentes
- Auditorías de seguridad web, aplicaciones móviles, dispositivos IoT e infraestructuras en la nube de manera periódica para detectar cualquier debilidad que pueda poner en riesgo a la organización.
- Test de ingeniería social personalizados a las características y necesidades de la organización, con el objetivo de formar y concienciar al personal y evaluar su nivel de madurez frente a esta clase de amenazas.
- Test DoS para comprobar la capacidad de resiliencia de la organización ante ataques de denegación de servicio contra sus sistemas.
- Equipos de Red Team que realicen simulaciones de ransomware con el objetivo de mejorar la resiliencia de una universidad o un centro de investigación ante estos ataques.
- Gestión de vulnerabilidades en aplicaciones e infraestructura tecnológica, para reducir la ciberexposición de una organización y acometer la remediación de las vulnerabilidades encontradas.
- Detección proactiva de vulnerabilidades emergentes que pueden afectar a los activos digitales de la organización.
- Desplegar tecnología EDR o XDR que proporcione protección adicional a puestos de trabajo y servidores y realizar hunting proactivo sobre ellos.
- Servicio de respuesta a incidentes para identificar, contener y expulsar a los actores maliciosos, así como recuperar la normalidad en el menor tiempo posible y garantizar la continuidad de las actividades. En los ataques de ransomware, los profesionales identifican los datos secuestrados y proceden a contener cualquier fuga de información.
5.2. Protegerse frente al abaratamiento de los ataques
En definitiva, los ciberataques contra el sector educativo se han consolidado durante los últimos años como una de las tendencias más preocupantes en el terreno de la ciberseguridad.
Aunque las universidades y los centros de investigación son los objetivos más atractivos para los delincuentes, otras entidades públicas o privadas de menor tamaño y con menos recursos, como escuelas o academias, también están en la diana de los actores maliciosos.
Sobre todo, como consecuencia de la paquetización de los ataques a través de los programas as-a-Service, que han abaratado los ataques y facilitado que delincuentes sin conocimientos y recursos los puedan ejecutar.