La educación es uno de los principales objetivos de los ciberataques, junto con sectores como el financiero y el sanitario. A nivel mundial, la educación sigue viendo aumentar los ciberataques contra el sector. Check Point Research (CPR) ha detectado un aumento del 75% de los ciberataques contra los centros educativos en 2021, lo que le sitúa en el primer puesto en cuanto al número de ciberataques en comparación con otros sectores industriales.
La educación es un objetivo favorito de los ciberdelincuentes porque tiene ciertos aspectos que la hacen vulnerable. Por ejemplo, los centros educativos pueden no tener el lujo de un equipo de seguridad dedicado. Otros factores son una base de usuarios dinámica y políticas como "Bring Your Own Device" (BYOD), en la que los estudiantes y el personal utilizan dispositivos móviles para iniciar sesión en la red y en las aplicaciones en la nube.
Como los ciberataques siguen causando estragos en este sector vulnerable, la formación en ciberseguridad para el sector educativo se convierte en un arma vital contra estos ataques.
Tipo de ciberamenazas para los centros educativos
El Instituto Ponemon e IBM han analizado el impacto de las violaciones de seguridad en el sector educativo en un informe reciente. Los investigadores descubrieron que el 48% de las violaciones en el sector fueron ataques maliciosos que tardaron hasta 212 días en ser identificados y contenidos. Los ataques maliciosos se centraron en los datos, incluidos los resultados de los exámenes. El 43% del sector informó de que los datos de los estudiantes eran el objetivo.
Algunas cifras asombrosas han salido de una investigación del Gobierno del Reino Unido. El siguiente porcentaje de centros educativos fue víctima de un ciberataque en 2020-2021:
- 36% de las escuelas primarias
- 58% de las escuelas secundarias
- El 75% de las universidades
Como en muchos otros sectores, el elemento humano es fundamental para el éxito de un ciberataque. Una investigación de la Universidad de Stanford ha descubierto que el 88% de las violaciones de seguridad comienzan con un ser humano, como un empleado.
Los siguientes tipos de ciberamenazas se dirigen a los centros educativos y, dado que en todos ellos el ser humano es el centro del ataque, la formación en materia de concienciación sobre la seguridad puede ayudar a prevenirlos:
Phishing
Los correos electrónicos de phishing, el phishing de voz (Vishing) y el spear-phishing (ataques de phishing dirigidos) son los favoritos de los ciberdelincuentes porque funcionan bien. Un estudio de Symantec ha descubierto que el 96% de las violaciones de datos comienzan con un correo electrónico de phishing. Los colegios, institutos y universidades corren el riesgo de sufrir phishing. Un informe de 2021 de Netwrix descubrió que el 60% de las instituciones educativas habían sufrido un ataque de phishing.
¿Qué es el ransomware y cómo evitarlo? MetaCompliance
El ransomware ya no se limita a cifrar datos y exigir un rescate para descifrarlos. Ahora, los datos suelen ser robados y utilizados como palanca para presionar el pago del rescate y/o vendidos a otros ciberdelincuentes.
El Centro Nacional de Ciberseguridad (NCSC) ha emitido una serie de advertencias en el último año sobre el aumento de los ataques de ransomware contra el sector educativo. El phishing es uno de los tres métodos más comunes utilizados para infectar las redes educativas con ransomware. Otros métodos explotan la autenticación deficiente y las vulnerabilidades del software.
Violación de datos y exposición accidental
Las filtraciones de datos resultan caras para los colegios, institutos y universidades: un informe sobre el coste de una filtración de datos elaborado por IBM y Ponemon reveló que el coste medio del sector era de 141 dólares (107 libras esterlinas) por registro infringido. Sin embargo, esta cifra se elevó a 200 dólares (153 libras) en el sector educativo.
Las fugas de datos accidentales también suponen costes y tiempo de inactividad: el informe de Netwrix descubrió que casi todas las instituciones educativas necesitan días o semanas para descubrir una fuga de datos accidental. Y, alrededor de un tercio de ellas tardaron semanas en recuperarse de una fuga de datos accidental.
¿Qué es la ingeniería social en cyber security? MetaCompliance
La ingeniería social suele reunir muchos elementos de una estafa compleja. El phishing es un método típico utilizado para robar las credenciales de inicio de sesión, pero cada vez más los estafadores utilizan también otros métodos, como las redes sociales y las llamadas telefónicas, para averiguar información sobre una persona y/o un centro educativo objetivo.
Entornos de aprendizaje inseguros en el hogar
Covid-19 y el aprendizaje a distancia pusieron de manifiesto la necesidad de una buena seguridad en el entorno doméstico. Pero el trabajo a distancia a menudo significa que la seguridad se va por la ventana, ya que los miembros del mismo hogar comparten dispositivos y conexiones Wi-Fi.
¿Cómo puede la formación en ciberseguridad ayudar a prevenir los ciberataques en escuelas, colegios y universidades?
Como han demostrado las investigaciones, la exposición de los datos suele ser consecuencia de factores humanos. Esto incluye tanto a los individuos que tienen una falta de conocimiento sobre la seguridad como a los ciberdelincuentes que manipulan el comportamiento humano.
La formación para la concienciación sobre la seguridad llena el vacío existente en la comprensión de lo que es la seguridad y proporciona a las personas las herramientas para evitar que se produzcan ciberataques. La formación para la concienciación sobre la seguridad en el sector educativo tiene más éxito cuando el programa de formación para la concienciación sobre la seguridad se adapta al sector. La educación tiene algunos retos únicos, y cada tipo de centro educativo, desde las escuelas primarias hasta las universidades, tiene su propio entorno y estructura.
La formación en materia de seguridad empresarial debe abarcar muchos tipos de funciones dentro de una empresa; funciones como las de contabilidad y recursos humanos son el objetivo de tipos específicos de ciberataques, por ejemplo, el compromiso del correo electrónico empresarial (BEC).
Los centros educativos también tienen muchas de las mismas funciones que una empresa, sin embargo, las universidades, por ejemplo, también deben formar a los estudiantes además del personal. El diseño de un programa de formación que cubra todos estos diferentes tipos de personas y roles es posible con un enfoque basado en roles para la formación en seguridad. Pero también debe ser capaz de llegar a los usuarios remotos. Los programas de formación que se imparten utilizando el software como servicio (SaaS) son ideales para la naturaleza distribuida de la educación moderna.
Cinco elementos clave de la formación en ciberseguridad para la educación
Los cinco elementos principales que hay que buscar a la hora de elegir un programa que se adapte a las necesidades únicas de un centro educativo son: el programa debe ser
- Diseñado para trabajar con una amplia gama de personas, desde el personal hasta los estudiantes
- Puede adaptarse para reflejar los tipos de ciberataques que afectan al sector educativo
- Puede ofrecerse mediante SaaS a todos, incluidos los trabajadores a distancia y los estudiantes
- Incorpora módulos de formación divertidos e interactivos que mantienen la atención de todo tipo de alumnos
- Puede generar informes y pruebas para ayudar a cumplir la normativa, incluido el GDPR del Reino Unido.
Los ciberdelincuentes no tienen moral y el ataque al sector educativo demuestra lo bajo que pueden llegar. Sin embargo, el perfil único del sector educativo significa que la concienciación en materia de seguridad debe adaptarse a esas necesidades. A la hora de elegir un programa de formación para la concienciación en materia de seguridad, asegúrese de que la solución pueda cumplir los cinco elementos clave mencionados anteriormente.
