La importancia de la formación en ciberseguridad en el sector educativo

La educación es uno de los principales objetivos de los ciberataques, junto con sectores como las finanzas y la sanidad. A nivel mundial, la educación sigue experimentando un aumento de los ciberataques contra el sector. Check Point Research (CPR) constató un aumento del 75% de los ciberataques contra centros educativos en 2021, lo que le sitúa en el primer puesto en cuanto al número de ciberataques en comparación con otros sectores industriales.

La educación es un objetivo predilecto de los ciberdelincuentes porque presenta ciertos aspectos que la hacen vulnerable. Por ejemplo, es posible que los centros educativos no puedan permitirse el lujo de contar con un equipo de seguridad especializado. Otros factores incluyen una base de usuarios dinámica y políticas como la de «traiga su propio dispositivo» (BYOD), en la que los estudiantes y el personal utilizan dispositivos móviles para conectarse a la red y a las aplicaciones en la nube.

A medida que los ciberataques siguen causando estragos en este sector vulnerable, la formación en ciberseguridad para el sector educativo se convierte en un arma vital contra estos ataques.

Tipo de ciberamenazas a los establecimientos educativos

El Instituto Ponemon e IBM exploraron el impacto de las brechas de seguridad en el sector educativo en un informe reciente. Los investigadores descubrieron que el 48% de las brechas en el sector procedían de ataques maliciosos que tardaron hasta 212 días en identificar y contener la brecha. Los ataques maliciosos se centraron en los datos, incluidos los resultados de los exámenes, y el 43% del sector informó de que los datos de los estudiantes eran el objetivo.

Algunas cifras asombrosas han salido a la luz de una investigación del Gobierno del Reino Unido. El siguiente porcentaje de centros educativos fue víctima de un ciberataque en 2020-2021:

• • 36% de las escuelas primarias

• • 58% de las escuelas secundarias

• • 75% de las universidades

Como en muchos otros sectores, el elemento humano es fundamental para el éxito de un ciberataque. Una investigación de la Universidad de Stanford ha descubierto que el 88% de las violaciones de la seguridad comienzan con un ser humano, como un empleado.

Los siguientes tipos de ciberamenazas tienen como objetivo los centros educativos y, dado que en todos ellos el ser humano es el núcleo del ataque, la formación para la concienciación en materia de seguridad puede ayudar a prevenirlas:

Phishing

Los correos electrónicos de phishing, el phishing de voz (Vishing) y el spear-phishing (ataques de phishing dirigidos) son los favoritos de los ciberdelincuentes porque funcionan bien. Una investigación de Symantec descubrió que el 96% de las violaciones de datos comienzan con un correo electrónico de phishing. Las escuelas, institutos y universidades corren el riesgo de sufrir phishing. Un informe de 2021 de Netwrix descubrió que el 60% de las instituciones educativas habían sufrido un ataque de phishing.

El ransomware

El ransomware ya no consiste sólo en cifrar datos y exigir un rescate para descifrarlos. Ahora, los datos suelen ser robados y utilizados como palanca para presionar el pago del rescate y/o vendidos a otros ciberdelincuentes.

El Centro Nacional de Ciberseguridad (NCSC) ha emitido varias advertencias en el último año sobre el aumento de los ataques de ransomware contra el sector educativo. El phishing se encuentra entre los tres métodos más comunes utilizados para infectar las redes educativas con ransomware. Otros métodos aprovechan la autenticación deficiente y las vulnerabilidades del software.

Infracciones de datos y exposición accidental

Las violaciones de datos resultan caras para las escuelas, institutos y universidades: un informe sobre el coste de una violación de datos de IBM y Ponemon reveló que el coste medio del sector era de 141 dólares (107 libras) por registro violado. Sin embargo, esta cifra ascendía a 200 dólares (153 libras) en el sector educativo.

Las fugas accidentales de datos también acarrean costes y tiempo de inactividad: el informe de Netwrix descubrió que casi todas las instituciones educativas necesitan días o semanas para descubrir una fuga accidental de datos. Y, alrededor de un tercio de éstas tardaron semanas en recuperarse de una fuga de datos accidental.

Ingeniería social

La ingeniería social suele reunir muchos elementos de una estafa compleja. El phishing es un método típico utilizado para robar las credenciales de inicio de sesión, pero cada vez más, los estafadores utilizan también otros métodos, como las redes sociales y las llamadas telefónicas, para averiguar información sobre una persona y/o un centro educativo objetivo.

Entornos de aprendizaje inseguros en el hogar

Covid-19 y el aprendizaje a distancia pusieron de manifiesto la necesidad de una buena seguridad en el entorno doméstico. Pero el trabajo a distancia a menudo significa que la seguridad se va por la ventana, ya que los miembros de un mismo hogar comparten dispositivos y conexiones Wi-Fi.

¿Cómo puede ayudar la formación en ciberseguridad a prevenir los ciberataques en escuelas, institutos y universidades?

Como han demostrado las investigaciones, la exposición de los datos suele ser consecuencia de factores humanos. Esto incluye tanto a los individuos con falta de conocimientos sobre seguridad como a los ciberdelincuentes que manipulan el comportamiento humano.

La formación para la concienciación sobre la seguridad llena el vacío existente en la comprensión de lo que es la seguridad y proporciona a las personas las herramientas necesarias para evitar que se produzcan ciberataques. La formación sobre concienciación en materia de seguridad para el sector educativo tiene más éxito cuando el programa de formación sobre concienciación en materia de seguridad se adapta al sector. La educación tiene algunos retos únicos, y cada tipo de centro educativo, desde las escuelas primarias hasta las universidades, tiene su propio entorno y estructura.

La formación para la concienciación sobre la seguridad empresarial debe abarcar muchos tipos de funciones dentro de una empresa; funciones como las de contabilidad y RR.HH. son el objetivo de tipos específicos de ciberataques, por ejemplo, el Business Email Compromise (BEC).

Los centros educativos también tienen muchas de las mismas funciones que una empresa, sin embargo, las universidades, por ejemplo, también deben formar a los estudiantes además de al personal. Diseñar un programa de formación que cubra todos estos tipos diferentes de personas y funciones es posible con un enfoque de la formación en seguridad basado en funciones. Pero también debe poder llegar a los usuarios remotos. Los programas de formación que se imparten utilizando el software como servicio (SaaS) son ideales para la naturaleza distribuida de la educación moderna.

Cinco elementos clave de la formación en ciberseguridad para la educación

Los cinco elementos principales que hay que buscar a la hora de elegir un programa que se ajuste a las necesidades únicas de un centro educativo son, el programa debe ser:

1. 1. Diseñado para trabajar con una amplia gama de individuos, desde el personal hasta los estudiantes

1. 1. Puede adaptarse para reflejar los tipos de ciberataques que afectan al sector educativo

1. 1. Puede ofrecerse mediante SaaS a todos, incluidos trabajadores remotos y estudiantes

1. 1. Incorpora módulos de formación divertidos e interactivos que mantienen la atención de todo tipo de alumnos

1. 1. Puede generar informes y pruebas para ayudar con el cumplimiento normativo, incluido el GDPR del Reino Unido.

Los ciberdelincuentes no tienen moral y atacar al sector educativo demuestra lo bajo que llegarán. Sin embargo, el perfil único del sector educativo significa que la impartición de la concienciación sobre seguridad debe adaptarse a esas necesidades. Cuando elija un programa de formación para la concienciación sobre la seguridad, asegúrese de que la solución puede cumplir los cinco elementos clave anteriores.