Los Ataques Informáticos en el Sector Educativo

El Cibercrimen en el Sector Educativo es más frecuentes de los que se piensa.

Casos como el de la Universidad de los Andes del 2015 en Bogotá1, donde un estudiante utilizando un software registrador de teclas (key loggers), capturó la contraseña de docentes para acceder al sistema de notas y poder alterarlas, suceden frecuentemente; prueba de ello es el reporte en vivo de ciberincidentes de la Policía Nacional de Colombia, el cual en un periodo de una media hora se evidencian 88 incidentes de seguridad para el Sector de la Educación. Ver imagen

Otros casos de Ciberataques los podemos ver referenciados en el artículo The Lucrative Rewards of Hacking Higher Education2 del portal UpGuard.com donde se mencionan los siguientes ataques a universidades de renombre en los Estados Unidos:

- Universidad de Yale, agosto de 2011: 43.000 nombres y números de seguridad social de personal, estudiantes y ex-alumnos, son robados por los piratas informáticos a través de un servidor FTP sin protección.
- Universidad de Stanford, julio de 2013: El sistema SUNet de Stanford se ve comprometida, dando a los hackers el acceso a todas las cuentas de usuario y contraseñas.
- Universidad de Berkeley, Diciembre 2014: 1.600 registros de los empleados y exempleados son robados de los servidores universitarios. Los datos comprometidos incluyen números de la Seguridad Social y de tarjetas de crédito.
- Universidad de Harvard, mayo de 2015: La página web del Instituto de Política es hackeada por el grupo AnonGhost Pro-Palestina.

La carencia o deficiencia de una Política de Seguridad Informática, así como controles de seguridad deficientes o inexistentes sobre los sistemas críticos de información en Colegios y Universidades, son un atractivo cada vez mayor para los atacantes informáticos. Como lo indica Megan Savage Knox de Bricker & Eckler LLP en su artículo Colleges and universities are prime cyber attack targets:3

Los colegios y universidades mantienen grandes depósitos de datos sensibles, incluyendo información financiera y estadística de investigación costosa, por lo son objetivos principales para los hackers de todo el mundo. Además, las universidades son a menudo incapaces de defender adecuadamente contra los intentos de hacking debido a las limitaciones presupuestales y la falta de personal. Como resultado de ello, las universidades son cada vez más vulnerables a los hackers informáticos, los cuales con anterioridad pueden haberse centrado en grandes corporaciones.

Entre los bancos de datos que pueden ser encontrados en las instituciones educativas encontramos el Sistema Financiero el cual almacena información de funcionarios como número de cedula, dirección de residencia, ingresos, número de cuenta bancaria y cargo, por nombrar algunos. Así mismo se registran los movimientos de ingresos y egresos de la institución.

Otra base de información la encontramos en el Sistema Académico, el cual cuenta con información de docentes y estudiantes incluyendo notas, numero de cedula, facultad, costos de la carrera, tipo de financiación de pago, entre otros.

Así mismo base de proyectos investigativos, son una gran fuente de información la cual es buscada por los ciberdelincuentes como parte del espionaje industrial, el cual busca vender las ideas investigativas a otras instituciones o compañías.

De acuerdo con el reporte Internet Security Threat Report4 de abril del 2016 de la compañía Symantec, en el año 2015 el sector educativo se encontraba en el tercer puesto en reportar mayor número de brechas de seguridad a nivel de subsectores y en noveno lugar de acuerdo con el número de entidades expuestas a estas brechas.

Protegiéndose de ataques

Como hemos visto el Sector Educativo es un blanco constante de ataques y es importante que se esté preparado para ello. Por lo anterior, se indican algunas recomendaciones expuestas por Megan Savage Knox de Bricker & Eckler LLP5.

Para evitar las consecuencias significativas que pueden resultar de un ataque cibernético, los colegios y universidades deberían tomar medidas para fortalecer sus redes y proteger su información personal.

- Ser consciente de la amenaza de ataques cibernéticos. No es una cuestión de si ocurrirá un ataque cibernético; es cuestión de cuándo. Al igual que las empresas, los colegios y las universidades harían bien en tener un plan de seguridad cibernética, ya sea para reforzar las medidas de seguridad cibernética actuales así como tener un plan para cuando se produce un ataque.
- Buscar fuera de su organización por ayuda para el fortalecimiento de su red y el sistema informático.
- Si su presupuesto es limitado, dar prioridad a la información más sensible. Gastar los fondos para proteger la información sensible o importante.
- Considere un seguro cibernético, que puede incluir servicios útiles como las notificaciones de violación de la privacidad, protección contra el fraude informático, y la preparación de ciberincidentes y planes de respuesta.

Por otro lado, el reporte de Symantec6 indica que un gran número de violaciones de datos también se podrían haber evitado con el uso del sentido común, incluyendo:

- Parcheo de vulnerabilidades.
- Desplegar eficaz de filtros de correo electrónico.
- Usar software de prevención y detección de intrusos.
- Restringir acceso de terceros a los datos de la empresa.
- Emplear encriptación cuando sea apropiado para asegurar los datos confidenciales.
- Implementar de la tecnología de prevención de pérdida de datos (DLP).

Por supuesto, todos ellos están relacionados con la prevención de ataques externos. Cuando se trata de mitigar el riesgo de amenazas internas maliciosas o accidentales, las organizaciones deben centrarse en la educación de los empleados y la prevención de pérdida de datos ... Los DLP pueden bloquear determinados tipos de datos para que abandonen una organización, como números de tarjetas de crédito y demás documentación confidencial.

Como reflexion final, es importante entender que la seguridad está en manos de cada uno de los empleados de la Institución y no en algunas áreas.

Fuentes
[1]El Espectador
Centro Cibernético Policial
[2]UpGuard
[3][5]Lexology
[4][6]Symantec


Mihdí Badí Talero Magnin
Profesional Especializado en Auditoría de Sistemas
Universidad Santo Tomás - Sede Principal

Auditoría Interna

Auditora Interna

Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.


Auxiliar

Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

Sedes y Seccionales