¿Son seguros los entornos educativos?

El sector educativo ha acelerado su digitalización y por tanto, también ha aumentado sus posibilidades de sufrir ciberataques. Para tratar su situación Byte TI y Adjudicaciones TIC organizaron un encuentro que contó con la presencia de Didac López, CIO Universidad de Girona; Andrés Prado Domínguez, CIO Universidad de Castilla la Mancha; Miguel Angel Perote, Responsable de la Unidad de Seguridad y Protección de la información de la Universidad Complutense; José Carlos Gallego Cano, Jefe de la Unidad de Tecnologías de la Información y Comunicación en Consejería de Educación y FP – Gobierno de Cantabria; Carlos Canitrot, Director de Consultoría de Adjudicaciones TIC; David Sánchez, Sales Manager de Akamai; Alvaro Fernández, Enterprise Account Manager de Sophos y David Sánchez, Regional Account Manager Public Sector de Trend Micro

Fue Carlos Canitrot quien abrió el encuentro dando datos de la situación del entorno educativo: “La pandemia ha acelerado la digitalización y ha habido un cambio brutal en el sector educativo en el que la ciberseguridad cobra un papel muy importante. Es un sector estratégico para impulsar la digitalización. En el entorno educativo los ataques se han incrementado, y en el segundo semestre de 2020 estos han aumentado de forma sensible porque se manejan infinidad de datos susceptibles de recibir ataques, de phisihng, ransomware, accesos,… Se han invertido alrededor de 340 millones en el entorno educativo, de los que 10 millones se han correspondido a seguridad a fecha de septiembre de 2021.

Andrés Prado Domínguez, CIO Universidad de Castilla la Mancha, explicó que “en Abril de este año tuvimos un ataque de ransomware que nos ha hecho reflexionar y compartir experiencias para que el resto de universidades puedan ver cómo hay que atajar el problema de la seguridad. Creo que hay que cambiar el enfoque porque el enfoque preventivo no es suficiente. Hay que ver qué se puede hacer cuando suframos el siguiente ataque. En este contexto hemos cambiado la mentalidad con un elemento que es fundamental como es el de la continuidad. La seguridad no solo afecta al departamento TIC, hay que informar a todos de este problema para intentar paliar el problema. En el mecanismo más tradicional de los ámbitos donde actuar yo destacaría el concepto zero-trust como elemento esencial en la estrategia de ciberseguridad. También actuar sobre el perímetro y las zonas de seguridad bajo ese concepto. Otro aspecto es que las soluciones nativas de cloud nos han hecho ser más resilientes frente a ataques de ransomware. Todo ello debe ir acompañado de una cultura digital de la comunidad que no es posible sin conocimientos”

Situación del ransomware

La principal amenaza a la que se enfrentan las organizaciones de los entornos educativos es el ransomware, un malware que puede dejar fuera de juego a toda una universidad, por ejemplo. Álvaro Fernández, Enterprise Account Manager de Sophos explicó cuál es la situación del ransomware en el sector educativo: “Según nuestro estudio “El estado del ransomware en el sector educativo”, vemos que un 44% de las entidades educativas han sufrido un ataque ransomware. De esas compañías en un 58% de los casos, los ciberdelincuentes tuvieron éxito en el ataque y de esas, el 35% accedieron a pagar el rescate. Hay que destacar que solo el 60% de los datos fueron restaurados en el caso de las que pagaron. El 90% de las entidades tienen un plan de recuperación frente a ataques de malware. La factura promedio de pago del rescate, recuperación de datos, restauración del sistema etc. se situá en torno a los 2 millones de euros. En el caso de los pagos de ransomware la factura de un pago se situa en torno a los 95.000 euros”.

La principal amenaza a la que se enfrentan las organizaciones de los entornos educativos es el ransomware

Didac López, CIO Universidad de Girona, cree que “estamos viviendo en un punto intermedio entre la candidez y la paranoia. Los casos que estamos viendo nos están sirviendo para aprender. El primer problema es que de entrada la ciberseguridad no se ve como algo más productivo. Y en mi opinión tiene que ser estratégica por el impacto negativo que pueda tener. Pero, por mucho que invirtamos en seguridad también es un problema de cultura; podemos tener el mejor sistema de seguridad que si no hay esa concienciación, no sirve de nada. Hay que trabajar en la cultura integral de la seguridad y aquí nos encontramos con dificultades. Creo que en lo que se refiere al nivel directivo, que tener en cuenta el aspecto humano. Cuando hemos revisado nuestros análisis de riesgo lo que más nos preocupa es la seguridad del dato. Los ciberatacantes buscan las debilidades, no sólo técnicas, sino de ver quién está dispuesto a pagar”.

Las empresas de ciberseguridad tienen en el entrono educativo una de sus prioridades. Este es el caso de Trend Micro. Tal y como explicó David Sánchez, Regional Account Manager Public Sector de la compañía, “desde hace muchos años, nos enfocamos en el entorno educativo. Damos varias herramientas gratuitas, para que el alumnado vea cómo se puede manejar en un entorno digital seguro. También estamos enfocados en dar charlas en colegios y damos formación a los padres para que adquieran buenas prácticas. Unas buenas prácticas que no tienen que ser técnicas”. Y es que, desde esta multinacional, creen que la formación es esencial para el nuevo entorno digital y por ello, dentro de su portal Internet Safety for Kids & Families, ofrece un conjunto de herramientas, recursos, webinars, etc. con los que pretende inculcar en todos los miembros de una familia la importancia que tiene la ciberseguridad y cómo detectar un posible ataque con malware.

Nada es seguro

Miguel Ángel Perote, Responsable de la Unidad de Seguridad y Protección de la información de la UCM, destacó que lo que hay que tener claro es que no hay nada 100% seguro. Y destacó todo un conjunto de riesgos a los que están expuestos: “Tenemos un montón de factores de ciberataques. Estamos en el punto de mira por los recursos que los ciberdelincuentes pueden lograr poner a su disposición, para poner las máquinas como zombies, tenemos también muchos estudiantes románticos con ganas de cambiar notas, por ejemplo. También tenemos ataques de DDoS, que suelen ser mitigados por nuestros sistemas. También ataques orientados a obtener información sensible para extorsionar a un departamento o a un profesor y por supuesto, el ransomware, en el que prima el interés económico. Es decir, no estamos en un entorno inseguro, pero estamos en un entorno en el que los ataques están más dirigidos. Los recursos de las AAPP son limitados y eso es un problema, aunque en el caso de la UCM tenemos toda la seguridad dividida y las situaciones son más preventivas, ya que la gente está más formada en determinados temas. Lo que hace falta, además de la concienciación de los órganos de gobierno, es dedicar más recursos y poder diversificar más para poder afrontar los diferentes vectores de ataque que podamos sufrir”.

Una solución que puede paliar el reto de sufrir un ciberataque es la que proporciona Akamai. En este sentido, David Sánchez, Sales Manager de Akamai, explicó que cuentan con “una plataforma, Akamai Intelligent Edge Platform, que está desarrollada en el Edge porque creemos que es donde se solventan la mayoría de problemas. Tenemos una visibilidad muy clara en el tráfico tanto licito como malicioso,que hay en Internet. Gracias a ella solventamos problemas de rendimiento, escalabilidad bajo demanda, establecemos políticas de seguridad y analizamos la disponibilidad. Todos los servicios tienen una gestión integrada en el mismo panel de control. Gracias a esa visibilidad de las actividades maliciosas hemos construido aplicaciones, todas ellas basadas en el concepto zero-trust”.

Finalmente, José Carlos Gallego Cano, Jefe de la Unidad de Tecnologías de la Información y Comunicación en Consejería de Educación y FP del Gobierno de Cantabria cree que “los entornos educativos, al igual que el resto de entornos no son seguros. Teniendo en cuenta las limitaciones, nuestra filosofía es qué podemos hacer para llegar a mejorar la seguridad. Hay que trabajar sobre la prevención y la protección. En 2019 se creo nuestra unidad para incidir en la parte de ciberseguridad. Creo que la parte de concienciación es extremadamente importante. Tenemos claro que nuestros usuarios (estudiantes) pueden ser atacantes, por eso tenemos una política zero-trust. Creo que no es sólo una cuestión de invertir más, sino de hacerlo de forma inteligente, teniendo en cuenta que el paradigma ha cambiado. Hoy todo el mundo usa la tecnología más o menos de forma intensiva y hay que ser consciente de que, en los centros educativos, la permeabilidad de la tecnología es constante. Por eso estamos trabajando en el plan digital de centro, en el que entre otras cosas se contemplan estos temas de seguridad, teniendo en cuenta, además que no es lo mismo un centro de infantil que un instituto. Hay que formar a la comunidad educativa: no sirve de nada tener un firewall muy potente, si luego compartimos las contraseñas con otros usuarios”.