Según cifras de ESET, y de distintos gobiernos, las instituciones académicas tienen características únicas que las hacen atractivas para los ciberdelincuentes.
Santiago, 12 de mayo de 2025.- La educación es la base de toda sociedad y elemental para el crecimiento y desarrollo de las personas, principalmente en los niños. Desde temprana edad, las familias se preocupan por entregar la mejor formación académica para sus hijos. Sin embargo, al ser uno de los cimientos más críticos de una sociedad, los ciberdelincuentes echaron el ojo y han aumentado sus ataques en este sector.
“En esta era digital, los niños y jóvenes están expuestos a ser víctimas de estos delitos, incluso en un ambiente seguro como lo son las escuelas, colegios o universidades. Según cifras de Microsoft, el sector educativo fue el tercero más atacado por los ciberdelincuentes en el segundo trimestre de 2024”, explica Mario Micucci, Investigador de Seguridad Informática de ESET.
En este contexto, una investigación realizada por ESET, compañía líder en detección proactiva de amenazas, arrojó que grupos APT se han establecido como un verdadero peligro para las instituciones educativas. Entre abril y septiembre de 2024, el sector se ubicó entre los tres más atacados por grupos APT alineados con China.
Asimismo, en el Reino Unido, el 71% de los centros de secundaria y casi la totalidad (97%) de las universidades identificaron una brecha o ataque de seguridad grave durante el último año, frente a solo la mitad (50%) de las empresas, según cifras oficiales del gobierno británico. En Estados Unidos el panorama no es mejor. Un estudio del K12 Security Information Exchange (SIX) reveló que entre 2016 y 202, el país experimentó más de un ciberincidente por día.
Números que preocupan y que provocan el llamado a la concientización desde ESET. “Si ya existe dificultad para los profesores a la hora de enseñar, se suman las ciberamenazas. Si no se hacen los esfuerzos por invertir en ciberseguridad, esto podría causar enormes daños financieros y a la reputación de los propios centros educativos. Sin duda, es algo que debería preocuparnos a todos”, indica Micucci de ESET Latinoamérica.
¿Cuáles son estas características que seducen al cibercrimen?
Las instituciones académicas tienen características únicas e inmejorables que las hacen atractivas para los ciberdelincuentes: desde el gran número de usuarios hasta sus datos altamente monetizables. A continuación, un detalle de cada una de ellas:
Presupuesto y conocimientos técnicos limitados. El sector educativo no puede competir con las empresas privadas adineradas en cuanto a la escasez de talento en ciberseguridad. Además, la misma presión presupuestaria implica que las instituciones no cuenten, en muchos casos, con los recursos económicos para invertir en herramientas de seguridad. Esto puede generar brechas peligrosas en la cobertura y la capacidad para atender cualquier ataque. Sin embargo, estas preocupaciones económicas hacen aún más importante mitigar el riesgo, ya que el costo de pérdidas tras una vulneración podría ser millonaria.
Dispositivos personales. Muchos estudiantes, tanto en escuelas como universidades, utilizan sus propios equipos tecnológicos para realizar tareas o navegar en Internet. Si se les permite acceder a las redes escolares sin las comprobaciones de seguridad adecuadas, estos dispositivos podrían, sin querer, proporcionar a los atacantes una vía de acceso a datos y sistemas confidenciales de la institución.
Usuarios inexpertos. Los humanos siguen siendo uno de los mayores desafíos. La gran cantidad de personal y estudiantes en las escuelas, las convierten en un blanco frecuente para el phishing, por ende, la formación en concientización sobre ciberseguridad es esencial. Sin embargo, en el Reino Unido, por ejemplo, solo el 5 % de las universidades lo exigen para los estudiantes.
Una cultura de apertura. Las instituciones académicas no son como las empresas tradicionales. Una cultura de intercambio de información y apertura a la colaboración externa puede generar riesgos y brindar oportunidades para que los actores maliciosos. Sería preferible contar con controles más estrictos, especialmente en las comunicaciones por correo electrónico. Sin embargo, esto resulta difícil cuando hay tantos terceros conectados, desde exalumnos y donantes hasta organizaciones benéficas y proveedores.
Una amplia superficie de ataque. La cadena de suministro educativa es solo una faceta de una creciente superficie de ciberataque que se ha expandido en los últimos años con la llegada del aprendizaje virtual y el teletrabajo. Desde servidores en la nube hasta dispositivos móviles personales, redes domésticas y grandes cantidades de personal y estudiantes, existen numerosos objetivos a los que pueden apuntar los actores de amenazas. No ayuda que muchas instituciones educativas utilicen software y hardware heredados que podrían no tener parches ni soporte.
Información personal identificable (PII) y propiedad intelectual. Las escuelas y universidades almacenan, gestionan y procesan grandes volúmenes de PII sobre el personal y el alumnado, incluyendo datos sanitarios y financieros. Esto las convierte en un objetivo atractivo para los actores de ransomware y estafadores.
Asimismo, la investigación sensible que gestionan muchas universidades también las convierte en blanco de atención de los estados-nación.En abril de 2024, el director general del MI5 advirtió precisamente sobre esto a los directores de las principales universidades del Reino Unido.
¿Cómo hacerle frente al riesgo en Chile?
Ante estas amenazas, las instituciones educativas han tenido que reforzar sus protocolos de seguridad, que toma en cuenta las siguientes recomendaciones:
-
Utilizar contraseñas seguras y únicas y autenticación multifactor (MFA) para proteger las cuentas con copias de seguridad frecuentes y cifrado de datos.
-
Desarrollar y probar un plan de respuesta a incidentes sólido para minimizar el impacto de una infracción
-
Educar al personal, estudiantes y administradores en las mejores prácticas de seguridad, incluido cómo detectar correos electrónicos de phishing.
-
Compartir una política detallada de uso aceptable y BYOD con los estudiantes, incluida la seguridad que espera que preinstalen en sus dispositivos.
-
Asociarse con un proveedor de ciberseguridad de buena reputación como ESET que proteja los puntos finales, los datos y la propiedad intelectual de su organización.
-
Considerar usar detección y respuesta administradas (MDR) para monitorear actividades sospechosas las 24 horas del día, los 7 días de la semana y ayudar a detectar y contener amenazas antes de que puedan afectar a la organización.
Para saber más sobre seguridad informática visite el portal corporativo de ESET: https://www.welivesecurity.
Por otro lado, ESET invita a conocer Conexión Segura, su podcast para saber qué está ocurriendo en el mundo de la seguridad informática. Para escucharlo ingrese a: https://open.spotify.com/show/
