A medida que se generaliza el aprendizaje en línea, los sistemas educativos y los datos de los estudiantes corren más riesgos debido a que, en los últimos años, las instituciones educativas se han convertido en objetivos considerables de los ciberataques. Las instituciones educativas de cualquier nivel albergan gran cantidad de datos valiosos, incluidos datos personales y financieros, y las brechas pueden provocar trastornos significativos.
Cuando una escuela o universidad es objeto de una brecha, puede haber numerosas consecuencias, incluyendo interrupciones continuas en el aprendizaje, exámenes comprometidos, investigación y propiedad intelectual filtrada, plataformas de pago comprometidas; seguridad comprometida en las instalaciones y sistemas de biblioteca a través de dispositivos conectados; y lo más consecuente, datos personales y financieros de los estudiantes violados. Las instituciones educativas deben dar prioridad a la creación de una infraestructura de seguridad digital robusta para evitar trastornos significativos y pérdidas financieras.
¿Por qué el sector educativo es un objetivo creciente de los ciberataques?
Los riesgos de ciberseguridad están aumentando en el sector educativo, pero muchas instituciones carecen de los recursos necesarios para cerrar las brechas de vulnerabilidad existentes en sus infraestructuras. Las instituciones de educación superior se consideran un objetivo prioritario para los atacantes, con un aumento del 70%, mientras que las instituciones de educación primaria y secundaria parecen ser un objetivo menor para los atacantes. Sin embargo, las instituciones educativas en general han visto un aumento del 105% en los ataques de ransomware.
Hay varias razones por las que están aumentando los ataques en el sector educativo, pero el principal atractivo parece ser simplemente que son más vulnerables. Las instituciones educativas disponen de presupuestos más reducidos para asignar a personal e infraestructuras de seguridad, lo que significa que sus sistemas suelen estar anticuados y ser insuficientes, además de no contar con los recursos humanos necesarios para responder a las vulnerabilidades antes de que se conviertan en un incidente en toda regla.
El crecimiento del aprendizaje digitalizado agrava este problema a medida que las instituciones aplican políticas de «traer su propio dispositivo» (BYOD) y dispositivos conectados, como pizarras interactivas y tabletas. Un enfoque accesible y más digital del aprendizaje no es un problema en sí mismo, pero la dependencia de sistemas híbridos y heredados vulnerables significa que no disponen de la infraestructura necesaria para proteger estos puntos de acceso vulnerables frente a posibles atacantes.
Sin embargo, aunque las limitaciones presupuestarias pueden ser difíciles de gestionar, pasar por alto la ciberseguridad en la educación puede tener efectos devastadores. Parte de la razón por la que son tan atractivos para los ciberatacantes es el gran número de vectores de datos valiosos que poseen, desde la propiedad intelectual hasta los datos personales de los estudiantes y el personal, por no mencionar los datos financieros en las instituciones de educación superior en particular.
Tipos de ataques contra el sector educativo:
En el sector de la educación existen varias vías que los malintencionados pueden explotar, aprovechándose tanto de las vulnerabilidades de la red como de los errores humanos:
- Phishing: El principal tipo de ataque que afectará al sector educativo en 2024, utiliza enlaces maliciosos e ingeniería social para atacar los datos de los estudiantes y los servicios educativos. Microsoft también ha advertido sobre el creciente uso de códigos QR disfrazados de folletos que ofrecen información sobre el campus o eventos escolares para atacar dispositivos móviles.
- Ransomware y malware: Utilizado por los atacantes para tomar sistemas como rehenes y retirar el acceso al sistema mediante acceso remoto y cifrado hasta que se efectúe el pago.
- Denegación de servicio distribuida (DDoS): Utiliza software para enviar tráfico de alta intensidad para saturar los servidores de la institución con el fin de colapsarlos, dejándolos inutilizables hasta que se efectúe el pago.
-
Marcos normativos para la ciberseguridad en la educación
Aunque el riesgo de ciberataques es cada vez mayor, el sector educativo no está indefenso. Existen diversos marcos normativos en todo el mundo que sirven de apoyo a la búsqueda de una seguridad digital más sólida para el sector educativo. Veamos algunos ejemplos de estos marcos.
El gobierno de los Estados Unidos cuenta con marcos normativos que las instituciones educativas deben cumplir para proteger los datos financieros y de los estudiantes. La Ley de Derechos Educativos de la Familia (FERPA, por sus siglas en inglés) protege la privacidad de los expedientes de todos los estudiantes, desde el jardín de infancia hasta que terminan la enseñanza secundaria, y también se aplica a las instituciones de enseñanza superior, que reciben financiación del Departamento de Educación.
La Ley Gramm-Leach-Bliley (GBLA) también exige a las instituciones que ofrecen servicios financieros, incluidas las universidades que registran información sobre el pago de matrículas u ofrecen servicios de ayuda financiera, que protejan la información financiera de los consumidores. En el estado de California, la Ley de Protección del Consumidor de California (CCPA) ofrece a los consumidores el control sobre cómo se comparten sus datos y también se aplica a las instituciones educativas.
En el Reino Unido y la UE, el Reglamento General de Protección de Datos (RGPD) protege los datos garantizando que solo se recopilan los necesarios y que se ha dado el consentimiento, que están suficientemente protegidos y que tienen un periodo de conservación limitado. Esto abarca a todas las organizaciones en cualquier capacidad, incluidas las instituciones educativas.
Más información sobre los marcos normativos para las firmas digitales en tu región
Soluciones de seguridad digital para el sector educativo
- Automatización y gestión del ciclo de vida de los certificados: Los equipos de TI de las instituciones educativas suelen disponer de recursos limitados y pueden verse desbordados al gestionar los certificados manualmente, lo que desvía su atención de otros proyectos o vulnerabilidades de seguridad, especialmente en el caso de las instituciones de educación superior. La implementación de la gestión del ciclo de vida de los certificados y de soluciones automatizadas, como el Certificate Automation Manager, permite a los equipos de TI distribuir sus recursos y garantizar que los certificados se emiten, renuevan y revocan sin retrasos ni riesgo de errores humanos.
- Seguridad del correo electrónico y S/MIME: Aunque la mayor amenaza para la seguridad en las instituciones educativas se presenta en forma de phishing e ingeniería social, es extremadamente importante que las instituciones se aseguren de que sus sistemas de correo electrónico están protegidos. Los certificados S/MIME cifran el contenido de un correo electrónico para que sólo puedan acceder a él las partes a las que va dirigido, al tiempo que verifican la identidad del remitente, y pueden garantizar la autenticidad y privacidad de las comunicaciones escolares y universitarias.
- Firma de documentos: Los documentos académicos y de investigación, en particular, convierten a las universidades en un objetivo apetecible para los malintencionados; sin embargo, los documentos sobre datos financieros o personales y los expedientes de los estudiantes también hacen vulnerable a cualquier institución educativa. Las soluciones de firma de documentos ayudan a proteger los datos contenidos en estos documentos mediante el cifrado para crear una «huella digital» única, que verifica la identidad del firmante y la autenticidad del documento.
- Autenticación móvil: Con la enseñanza a distancia, remota e híbrida cada vez más común, puede presentar más vulnerabilidades para las instituciones que proporcionan este tipo de acceso a sus sistemas para los estudiantes. La autenticación móvil respalda el uso de políticas BYOD al permitir a estudiantes y empleados iniciar sesión en sistemas educativos como cuentas de estudiantes y exámenes en línea, limitando el acceso únicamente a usuarios verificados.
- Internet de las Cosas (IoT): El aprendizaje se ha vuelto más interactivo en las últimas tres décadas, incorporando el uso de dispositivos como pizarras inteligentes, ordenadores y tabletas. Muchos sistemas educativos también dependen del uso de IoT, incluidos los sistemas de seguridad, los dispositivos de catalogación de las bibliotecas y los sistemas financieros y de pago. Los dispositivos conectados hacen que el aprendizaje sea más accesible y atractivo, proporcionando experiencias de aprendizaje más personalizadas, pero pueden presentar otra vulnerabilidad que los atacantes pueden explotar. Es imperativo que las instituciones educativas protejan estos sistemas y dispositivos con la inscripción segura de dispositivos para evitar interrupciones en el aprendizaje y la extracción de datos personales y financieros.
Mejores prácticas para implementar y mantener una infraestructura de seguridad digital sólida
El principal reto al que se enfrentan las instituciones educativas a la hora de crear una sólida postura de seguridad digital es equilibrar la gestión de los riesgos de seguridad con las limitaciones presupuestarias. Esto impide a menudo que la seguridad digital se considere una prioridad. Estas son algunas de las mejores prácticas para mantener una higiene de seguridad sólida y a largo plazo con el fin de distribuir los recursos y reducir los riesgos:
- Realizar evaluaciones de riesgos periódicas: Las instituciones deben asegurarse de que cuentan con una infraestructura sólida para la mitigación de riesgos, lo que significa llevar a cabo evaluaciones de riesgos periódicas para identificar y abordar las vulnerabilidades. Para las instituciones más grandes en particular, como universidades con múltiples escuelas, los sistemas tienen múltiples puntos de vulnerabilidad. Los riesgos deben analizarse periódicamente para asignar los recursos y soluciones adecuados con un enfoque adaptativo a las vulnerabilidades existentes y emergentes.
- Educación: El error humano es un factor de riesgo primario, siendo el phishing, la suplantación de identidad y los ataques de ingeniería social los principales riesgos en la educación. Las instituciones deben garantizar la implementación de programas de concientización exhaustivos tanto para los estudiantes como para el personal de todos los departamentos, con actualizaciones periódicas del material al tiempo que se refuerzan las mejores prácticas.
- Evaluar a los proveedores externos: Los proveedores externos que proporcionan servicios plantean riesgos significativos tanto para las escuelas más pequeñas como para las instituciones más grandes, ya que a menudo deben compartir datos personales y financieros de los estudiantes. Los proveedores externos pueden proporcionar cualquier cosa, incluidos programas informáticos de información de los alumnos, recursos en línea, dispositivos conectados a las aulas y plataformas de pasarela de pago. Incluso con la infraestructura de seguridad más completa, cada institución debe crear y adherirse a una política integral de seguridad de proveedores para evaluar periódicamente a los proveedores nuevos y existentes.
- Actualizaciones periódicas: Muchas instituciones educativas siguen confiando en sistemas, software y hardware obsoletos. La tecnología y los sistemas heredados e híbridos suelen ser incompatibles con la ciberseguridad moderna, lo que los hace vulnerables. Las instituciones deben asegurarse de que cualquier dispositivo o software educativo se actualiza regularmente para defenderse de las tácticas de ciberataque en evolución.
- Crear un plan de respuesta a incidentes: Es crucial que cada institución tenga un plan de respuesta a incidentes en caso de una vulnerabilidad aparente o una brecha. Podría surgir una vulnerabilidad en un sistema heredado débil u obsoleto que podría ser explotado, o podría haber un incidente en el que el correo electrónico de un miembro del personal se haya visto comprometido. Cada institución, o cualquier organización, debe tener una política para responder a cualquier escenario con el fin de limitar cualquier daño. Esto debería incluir una descripción general de cómo abordar incidentes comunes, un gestor y un equipo de respuesta a incidentes asignados, un plan de comunicación para notificar al personal y a cualquier persona afectada por el incidente, así como una retrospectiva del incidente y una actualización del plan de seguridad y la evaluación de riesgos.
Equilibrar los presupuestos con la planificación de la seguridad digital
Muchas instituciones educativas se enfrentan a retos presupuestarios que les impiden dar prioridad a la gestión de su infraestructura de seguridad. Sin embargo, las consecuencias de un incidente son de largo alcance y la seguridad digital debe ser una prioridad absoluta para el sector educativo.
Sin embargo, las instituciones educativas disponen de numerosas formas de mitigar estos retos. Todas las instituciones pueden crear un plan de seguridad integral que les permita gestionar los riesgos a largo plazo y garantizar que están preparadas para priorizar las necesidades de seguridad antes de que surjan.
Priorizar la seguridad de esta forma permite a las instituciones redistribuir los recursos de forma más eficaz. Trabajar con un socio PKI de confianza, con una solución integral y una oferta de automatización, permitirá a los departamentos de TI reducir el tiempo dedicado a la gestión manual de certificados y a la respuesta ante incidentes y, a su vez, centrarse en el mantenimiento y la actualización de los sistemas y plataformas educativos, prestando un mejor servicio a los estudiantes.
Con el sector educativo expuesto a grandes riesgos, las instituciones deben garantizar la protección de los datos de los estudiantes, personales, financieros, de investigación y de salvaguarda, centrándose en métodos de prevención que den prioridad a la seguridad antes de que surjan los riesgos, utilizando soluciones y prácticas seguras y de confianza.
