La importancia de la ciberseguridad en el sector educativo
El incidente de Canvas demuestra cómo un ataque en un proveedor de tecnología externo puede propagarse rápidamente por miles de instituciones de forma simultánea. ADOBE STOCK
Para un gran número de organizaciones educativas, el incidente fue mucho más que una simple contrariedad: sus portales quedaron inaccesibles, hubo que interrumpir clases, retrasar exámenes y gestionar la crisis durante períodos académicos críticos. Los atacantes afirmaron haber accedido a cientos de millones de registros vinculados a estudiantes, docentes y personal de todo el mundo, así como a datos de matriculación y mensajes privados a las personas que supuestamente accedieron a través de las funciones de exportación y las API de Canvas.
El incidente no hace más que poner de relieve una realidad: las escuelas, los institutos y las universidades operan en un entorno digital cada vez más hostil. Con frecuencia carecen de recursos y no disponen de la madurez necesaria en materia de seguridad para defenderse de forma eficaz.
En este contexto, las instituciones educativas se enfrentan a un reto particularmente complicado. A diferencia de la mayoría de las empresas, las universidades y escuelas están diseñadas en torno a la apertura y a la accesibilidad. Miles de estudiantes, profesores, contratistas y socios externos necesitan acceder a diario a sus sistemas y datos. Los usuarios se conectan desde dispositivos personales, ubicaciones remotas y redes que están fuera de control de las instituciones. Por otra parte, las actividades educativas dependen en gran medida de plataformas de aprendizaje en la nube, herramientas de colaboración y aplicaciones gestionadas externamente. Si bien estas tecnologías proporcionan flexibilidad y escalabilidad, también amplían drásticamente la superficie de ataque.
El incidente de Canvas demuestra cómo un ataque en un proveedor de tecnología externo puede propagarse rápidamente por miles de instituciones de forma simultánea. En este sentido, se puede hablar de una dependencia de la cadena de suministro, lo que representa uno de los mayores riesgos del sector. Una seguridad basada en el modelo «Zero Trust» puede ayudar a garantizar la aplicación del principio del privilegio mínimo y a proteger las identidades y el acceso.
En materia de ciberseguridad, muchas escuelas y universidades simplemente no pueden competir con el sector privado; en un entorno cada vez más complejo, están lidiando con presupuestos y equipos de seguridad reducidos que suelen estar sobrecargados de trabajo. Esto puede provocar retrasos en la aplicación de parches, una supervisión inconsistente y lagunas en la preparación para la respuesta a incidentes. Los atacantes lo saben.
A esto se une que las organizaciones de este sector cuentan con entornos educativos descentralizados, múltiples campus, alumnos a distancia, modelos de enseñanza híbridos, aplicaciones en la nube y miles de terminales que se conectan a diario.
Bajo estas premisas, es fácil perder la visión completa del conjunto, especialmente cuando coexisten infraestructuras heredadas y servicios modernos en la nube. A su vez, los atacantes pueden aprovechar controles de autenticación débiles, credenciales comprometidas y/o integraciones mal protegidas. En este entorno, los estudiantes y/o los empleados son el objetivo principal de las campañas de phishing y de los ataques de ingeniería social. Los calendarios académicos crean ventanas de ataque predecibles: los periodos de matriculación, las temporadas de exámenes y los plazos de ayuda financiera ofrecen oportunidades a los atacantes para suplantar sistemas de confianza o aprovechar la urgencia. Cuando hay un gran número de usuarios inexpertos o transitorios, los atacantes suelen ver una vía fácil de acceso a los entornos institucionales.
Cabe añadir que los ciberataques en el ámbito educativo ya no se limitan al robo de datos, teniendo en cuenta que la interrupción «per se» se ha convertido en un arma. Si los sistemas de aprendizaje en línea fallan, las instituciones pueden tener dificultades para impartir la enseñanza, procesar los trabajos del curso o comunicarse eficazmente con los estudiantes. En algunos casos, se puede paralizar por completo el conjunto de las actividades académicas. Por otra parte, el daño reputacional puede ser grave, especialmente cuando la confianza de los estudiantes y las responsabilidades de protección están en juego.
Es poco probable que el ciberataque a Canvas sea el último incidente grave que afecte al sector educativo. A medida que las instituciones sigan ampliando sus ecosistemas digitales, los atacantes seguirán buscando puntos débiles que explotar. Las instituciones educativas necesitan estrategias de ciberseguridad proactivas capaces de identificar actividades sospechosas antes de que se agrave la interrupción.
Incluso las instituciones con controles internos sólidos pueden quedar expuestas si una plataforma externa de confianza sufre una brecha de seguridad. Aunque las organizaciones educativas no pueden eliminar el riesgo por completo, deben planificar más allá de la simple protección de su propia infraestructura. Se trata de fomentar la resiliencia, la visibilidad y la capacidad de respuesta, y para conseguirlo, necesitan capacidades de detección y respuestas rápidas, una gestión de identidades y accesos sólidos, una gestión de vulnerabilidades con pruebas de penetración, una planificación y pruebas de respuesta ante incidentes, además de una concienciación (formación continua) de las personas implicadas. Son algunas de las medidas que ayudarán a alcanzar una ciber resiliencia, es decir, la capacidad de garantizar la protección de datos y de mantener la continuidad operativa durante un ataque.
Carlos A. Castañeda-Marroquín, director de soluciones e innovación, Integrity360 España.