La ciberseguridad del campus en la era del ransomware

Greg Kovich

mayo 09, 2022

El uso de estrategias para reducir las amenazas a la ciberseguridad del campus puede ayudar a limitar el acceso a actores perniciosos y reducir su exposición.

Mucho antes de que se acuñara el término "piratas informáticos de nación-estado", el sector educativo había estado en el punto de mira de las ciberamenazas oportunistas. Según el más reciente informe de Verizon sobre las filtraciones de datos, estos ataques han pasado de ejecutar una molesta denegación de servicios y de acceso a la información sensible, a estar motivados por el beneficio económico, la mayoría de las veces por parte de piratas informáticos que piden un rescate por los datos cifrados de la institución o el distrito. Los ataques de esta naturaleza pueden interrumpir las operaciones durante meses, y llevarse el dinero que tanto se necesita para los programas y las misiones educativas. Afortunadamente, hay estrategias que pueden adoptarse para reducir su alcance de amenaza.

Al analizar cómo los atacantes entraron en las redes educativas, el informe de Verizon identifica la "ingeniería social" (46 %) como el principal vector. A continuación están los "Errores varios" y la "Intrusión en el sistema" (20 % cada uno). La ingeniería social se explotó mediante el uso de "pretextos", principalmente para realizar pagos fraudulentos o transferencias de fondos, y la suplantación de identidad ("phishing"), que trata de adquirir credenciales o acceso al sistema donde se puede instalar el malware. Los errores varios se debieron a una mala configuración de los servidores sin los debidos controles de acceso. En los casos de intrusión del sistema, se trataba principalmente de ataques de piratas informáticos y malware utilizando credenciales que habían sido expuestas en la Dark Web y que nunca se cambiaron o se adquirieron mediante ingeniería social.

Con estos conocimientos, a continuación se presentan cuatro estrategias que podemos emplear para ayudar a limitar el acceso o la exposición.

1. Formación: aunque el mes de octubre ha sido designado como el mes de la concienciación sobre la ciberseguridad, la diligencia no debe detenerse ahí. Educar a los estudiantes, al profesorado, al personal y a la administración sobre cómo reconocer el phishing ha sido extremadamente eficaz. Sin embargo, debería haber más formación para quienes sigan dejándose "engañar" por correos electrónicos cada vez más sofisticados y profesionales. Además de la formación en materia de phishing, los empleados encargados de gestionar los pagos o las transferencias de fondos deben recibir una formación especial sobre los ataques con fines financieros. Además, debe realizarse una auditoría del flujo de trabajo y de las credenciales necesarias para transferir fondos. Hablando de flujo de trabajo, con la configuración errónea de los servidores clasificada como la segunda más alta en términos de superficie de ataque, la implementación de los controles de acceso correctos debe ser una prioridad principal para los ingenieros de operaciones del centro de datos y los equipos de investigación de TI.

2. Autenticación multifactor (MFA, Multi-Factor Authentication): la MFA se está convirtiendo en un requisito estándar de las compañías de seguros de ciberseguridad. Casi todo el mundo ha utilizado la MFA al acceder a una cuenta en línea y, en el caso de las universidades y los distritos escolares, su licencia de Microsoft® o Google debería incluir esta característica. Para funciones de MFA más avanzadas, como el acceso condicional, es posible que tenga que pagar una licencia adicional.  El uso de la MFA crea una barrera adicional que los agentes perniciosos deben superar. Por suerte para los usuarios finales, la prevalencia de los teléfonos inteligentes y las tabletas facilitan su aplicación a los usuarios finales.

3. Privilegios: en muchos casos, una vez que se autentifica en la red, se le coloca en una VLAN y se espera que el cortafuegos le proteja contra el acceso no autorizado. Esta construcción es problemática y debería sustituirse por estrategias de microsegmentación que permitan al usuario acceder a todos los contenidos y recursos necesarios para su función, y nada más. De forma similar a como se compartimenta un crucero para que una brecha en el casco no llene todo el barco de agua, la microsegmentación de los usuarios puede limitar los daños ocasionados por una cuenta comprometida. La implementación de políticas de red unificadas que apliquen reglas de microsegmentación al usuario, independientemente de que su acceso sea desde la Wi-Fi del campus, Ethernet o VPN, reducirá la carga de administración de la red.

4. Arquitectura de seguridad: tradicionalmente, una arquitectura de defensa en profundidad es el paradigma más popular para proteger los activos digitales. El diseño "castillo y foso" es aquel en el que todos los que están en el "castillo" se consideran "de confianza" y los que están fuera se mantienen fuera gracias al "foso", que podría incluir cortafuegos, VPN y otras tecnologías. Por desgracia, con el aumento y la sofisticación del phishing, estas personas de confianza podrían ser en realidad el vector de la amenaza involuntaria. Otra arquitectura que está siendo objeto de renovado debate y popularidad es la de "confianza cero". El Instituto Nacional de Normas y Tecnología (NIST) de Estados Unidos ha publicado varios documentos sobre la confianza cero y cómo aplicarla. La arquitectura de confianza cero se alinea con los consejos anteriores sobre los privilegios y el acceso, y básicamente se trata de verificar la necesidad de un dispositivo o usuario para acceder a los recursos o segmentos de la red.

Otros recursos que puede consultar

Hay muchos recursos disponibles para los educadores dentro de sus comunidades y de las organizaciones que los apoyan. EDUCAUSE es un ejemplo de asociación sin ánimo de lucro cuya misión es hacer progresar la enseñanza superior utilizando las tecnologías de la información. Esta asociación cuenta con grupos comunitarios que permiten conversaciones entre pares sobre ciberseguridad, gestión de redes, privacidad y redes inalámbricas. El grupo proporciona información sobre cómo suscribirse a un servicio gratuito (para educadores, organizaciones sin ánimo de lucro y gobiernos) llamado Dorkbot que puede ayudar a identificar las vulnerabilidades de alto riesgo en sus aplicaciones web.

Otro recurso valioso es el Centro de Análisis e Intercambio de Información de las Redes de Investigación y Educación (REN-ISAC), que presta servicio a más de 650 instituciones miembros de la comunidad de investigación y educación superior promoviendo las protecciones operativas y la respuesta en materia de ciberseguridad.

El Consejo de Directores Universitarios de Tecnología de la Información de Australasia (CAUDIT) es otra organización que ofrece liderazgo a los educadores. Su modelo de referencia para la educación superior es un valioso documento a tener en cuenta a la hora de emprender una transformación digital. Además, su iniciativa de ciberseguridad ayuda a los miembros a adoptar perfiles de riesgo adecuados y a contrarrestar las crecientes amenazas a la ciberseguridad, contribuyendo así a salvaguardar la propiedad intelectual y la reputación de las universidades de Australasia.

Para obtener más información sobre este tema, manténgase al día con mi próximo artículo técnico que presentará información sobre cómo Alcatel-Lucent Enterprise puede formar parte de sus planes de seguridad de defensa en profundidad. Se centrará en habilitar una arquitectura de confianza cero hasta el límite de la red, incluidos los dispositivos de la Internet de las cosas (IoT), los invitados y el BYOD.