El hacker que derribó los sistemas informáticos de la Universidad de Rutgers este año describió la infraestructura deteriorada tanto “como una lata de hojalata bajo el tacón de mi bota”.
El presunto delincuente cibernético, que utiliza el nombre de Exfocus, escribió en abril en un sitio popular para hackers este ataque fue el tercero contra la Universidad Estatal de Nueva Jersey.
Los liceos de todo el mundo se cubren, ya que diferentes tipos de delincuentes cibernéticos se dan cuenta de que tienen algo que ganar al atacar el sector educativo, algo que los convierte en las posibles próximas víctimas después de las campañas que se dirigieron a los sectores de salud, comercio minorista y financiero.
Un portavoz de Rutgers dijo que en el último año la universidad hizo “importantes y sustanciales actualizaciones de hardware de redes”.
Los expertos pronostican una nueva ola de ataques por parte de agitadores, desde los independientes hasta bandas criminales, tentados por las bases de datos de estudiantes y donadores, que los atacantes que cuentan con apoyo de estados-naciones están dispuestos a descubrir y trastornar en una valiosa propiedad intelectual.
Los servicios de seguridad de Reino Unido advirtieron sobre la necesidad de proteger mejor su investigación científica y tecnológica.
La educación representó casi 10 por ciento de todas las brechas de seguridad del año pasado, de acuerdo con Symantec, compañía de seguridad informática.
Timothy Edgar, investigador principal del Instituto Watson de la Universidad Brown, apuntó que una cultura académica abierta a menudo dificulta imponer requisitos de seguridad.
“La amenaza a la educación es sin duda cada vez peor”, advirtió el exdirector de privacidad y libertades civiles para la Casa Blanca.
En un informe reciente que realizó la startup de seguridad Veracode, se registró que el sector tuvo una tasa de fracaso de 70 por ciento en la aplicación de seguridad, por debajo de los sectores manufacturero, de servicios financieros y salud, pero ligeramente superior al gobierno.
En Brown, el director de seguridad de información, Ravi Pendse, sostuvo que el papel de su equipo abarca desde la investigación de los dispositivos que los estudiantes pueden recibir en Navidad y la manera de asegurarlos en el campus, hasta la protección de la propiedad intelectual de los atacantes que cuentan con respaldo de algunos Estados.
Añadió que los laboratorios desarrolladores de medicamentos e investigación en el compuesto de materiales con aplicaciones de defensa eran de especial interés.
“A los atacantes les gusta trazar un perfil de sus víctimas y utilizar los correos electrónicos para pescar a sus víctimas: diseñan un correo que parece lo suficientemente real como para lograr una respuesta. Otras universidades vieron que hay hackers que crean perfiles falsos en LinkedIn y los utilizan para hacer contactos, establecer credibilidad y solicitar documentos de investigación”, especificó el director de seguridad.
Rob McCurdy, director de seguridad de información de la Universidad Estatal de Michigan, advirtió que los ataques al sector educativo en su mayoría todavía son “delitos de oportunidad”, donde las personas exploran en internet para descubrir agujeros. Argumentó que todavía ve que estos ataques intentan obtener información de identificación personal, y no son como las naciones-estado que buscan investigaciones.
Sin embargo, enfatizó, después de la destructiva brecha de seguridad de Sony Pictures el año pasado, los ataques que pueden destruir investigación son una “preocupación constante”, y algunas instituciones en las industrias buscan que los hackers borren los datos de investigaciones.
Las empresas de tecnología y los departamentos de seguridad interna intentan hacer frente a los problemas de las universidades, empezando con lo que saben hacer: educar. La Universidad de Brown realiza reuniones para enseñar sobre herramientas de cifrado y Michigan trabaja con la gobernanza estudiantil.
La startup de seguridad cibernética, Virtru, se asoció con universidades para desarrollar una herramienta con el fin de enseñarle a los estudiantes qué se debe encriptar.
Will Ackerly, cofundador de la firma, aseveró que funciona como un “corrector ortográfico para datos sensibles”; marca cuando alguien escribe algo con un formato como un número de seguridad social y dice que se pueden violar regulaciones si lo envía sin cifrar.
Un consultor que ayudó a desplegar la tecnología en una escuela de medicina y una organización de investigación mencionó que a los estudiantes les gusta lo fácil de usar. El cumplimiento es especialmente importante en una organización bajo el ataque
constante de China y Rusia.
Microsoft desarrolló una forma para que los científicos hagan cálculos con datos genómicos, mientras los mantienen encriptados con un método conocido como cifrado homomórfico. Anteriormente, los datos se podían encriptar mientras estaban en tránsito, pero no cuando se estaban manipulando.
Kristin Lauter, investigadora principal del grupo de criptografía de Microsoft, hizo énfasis en que también se puede utilizar en otros grupos de grandes datos, como recopilación de estadísticas de las calificaciones de los estudiantes sin exponer sus calificaciones.
Muchas cosas se pueden reducir a dinero y a la contratación de personas adecuadas en la industria de seguridad donde el personal tiene una gran demanda.
Jay Chaudhry, presidente ejecutivo de la compañía de servicio en la nube Zscaler, puntualizó que las universidades de alto perfil en Estados Unidos contratan ahora más directores de seguridad de información. Pero advirtió que es posible que todavía se necesite una gran brecha de seguridad para que el sector le dé prioridad al tema.
“Se requiere de un ataque de alto perfil o dos para que despierten. El sector minorista lo hizo de manera significativa. Por mucho tiempo la excusa fue ‘mis márgenes brutos son muy bajos’; ahora saben que tienen que hacer algo. La educación debe realizar mucho más de lo que ha enseñado”, finalizó.
GANAR
Los ciberdelincuentes prefieren atacar estudios de alta importancia académica por su fuerte valor de información.
PERDER
Las instituciones como la Universidad Estatal de Nueva Jersey son vulnerables, dada su frágil infraestructura ante los ciberdélitos.
PROTEGER
Los liceos de alto perfil de EU han ultimado detalles para contratar más directores de seguridad de información.
TAGS RELACIONADOS:
