La educación es esencialmente una «industria de industrias», ya que las organizaciones de enseñanza primaria, secundaria y superior manejan datos que pueden incluir desde historiales médicos, hasta datos financieros y otros datos oficiales. Al mismo tiempo, sus instalaciones pueden albergar sistemas de procesamiento de pagos, redes que son de facto proveedores de servicios de Internet (ISP) y otras infraestructuras. Las amenazas que Microsoft observa en otros sectores tienden a agravarse en la educación. Además, los atacantes se han dado cuenta de que este sector es intrínsecamente vulnerable. Con una media de 2.507 intentos de ciberataque a la semana, las universidades son objetivo prioritario para actividades de malware, phishing y vulnerabilidades en dispositivos IoT.

La dotación de personal de seguridad y la propiedad de los activos informáticos también afectan a los riesgos cibernéticos de las organizaciones educativas. Los colegios y universidades, al igual que muchas empresas, se enfrentan, a menudo, a una escasez de recursos informáticos y suelen combinar sistemas informáticos modernos con otros heredados. Los estudiantes y profesores de EE.UU. dependen en gran medida de dispositivos personales y no siempre tienen en cuenta la seguridad. En cambio, los dispositivos que se utilizan en educación en Europa son, en su mayoría, propiedad de las entidades educativas.

Esta edición del informe Cyber Signals de Microsoft profundiza en los retos de ciberseguridad a los que se enfrentan las aulas y los campus educativos de todo el mundo, y destaca la necesidad crítica de contar con sólidas soluciones de seguridad y medidas proactivas. La huella digital de los centros escolares, colegios y universidades se ha multiplicado exponencialmente debido al uso de dispositivos tecnológicos personales, el incremento de las clases virtuales y la información y datos de investigación que se almacena en la nube.

Todos somos defensores
Un entorno singularmente valioso y vulnerable
La base de usuarios del sector educativo es muy diferente de la del entorno empresarial. En el entorno K-12 -Primaria y Secundaria-, se incluyen estudiantes de tan sólo seis años de edad. Al igual que en cualquier organización del sector público o privado, en los centros escolares y en las universidades trabajan diferentes tipos de empleados, como son los profesionales de la administración, deporte, los servicios sanitarios, conserjes, los encargados de catering-comidas, entre otros. Múltiples actividades, anuncios, recursos de información, sistemas de correo electrónico y estudiantes de todo el mundo crean un entorno muy fluido en el que los ciberataques pueden venir de cualquier parte.

El aprendizaje virtual y a distancia también han llevado las aplicaciones educativas a los hogares y oficinas. Los dispositivos personales y multiusuario están ya omnipresentes y a menudo no se gestionan, y los estudiantes no siempre son conscientes de los aspectos relativos con la ciberseguridad.

La educación es también la punta de lanza en lo que respecta a la forma en que los atacantes ponen a prueba sus herramientas y técnicas. Según datos de Microsoft Threat Intelligence, el sector educativo es el tercero más atacado, siendo EE.UU. el país con mayor actividad de amenazas.

Las ciberamenazas a la educación no sólo preocupan en Estados Unidos. Según la Encuesta sobre Infracciones a la Ciberseguridad 2024 del Departamento de Ciencia, Innovación y Tecnología del Reino Unido, el 43% de las instituciones de enseñanza superior británicas declaró haber sufrido una infracción o un ataque al menos una vez a la semana.

Los códigos QR: un área idónea para los ataques de phishing
Hoy en día, los códigos QR están en todas partes, lo que aumenta el riesgo de ataques de phishing diseñados para obtener acceso a sistemas y datos. Las imágenes de los correos electrónicos, los folletos que ofrecen información sobre el campus y los eventos escolares, los pases de aparcamiento, formularios de ayuda financiera y otras comunicaciones oficiales contienen con frecuencia códigos QR. Es posible que los entornos educativos sean los más propicios a los folletos y a los códigos QR: tablones de anuncios físicos y digitales y otros tipos de correspondencia informal para los estudiantes con información curricular, institucional y social. El uso de estos códigos QR es un atractivo telón de fondo para el objetivo de actores maliciosos.

Recientemente, la Comisión Federal de Comercio de EE.UU. emitió una alerta a los consumidores sobre la creciente amenaza de los códigos QR maliciosos que se utilizan para robar credenciales de inicio de sesión o que distribuyen malware.

La telemetría de Microsoft Defender para Office 365 muestra que aproximadamente más de 15.000 mensajes con códigos QR maliciosos se dirigen diariamente al sector educativo (incluyendo phishing, spam y malware).

Pueden utilizarse herramientas de software fidedignas para generar rápidamente códigos QR con enlaces incrustados para enviarlos por correo electrónico o publicarlos físicamente como parte de un ataque. Y esas imágenes son difíciles de escanear para las soluciones tradicionales de seguridad del correo electrónico, por lo que es aún más importante que el profesorado y los estudiantes utilicen dispositivos y navegadores que cuenten con soluciones modernas de seguridad web.

Aunque la capacidad de protección contra el phishing está integrada en Microsoft Defender for Endpoint en Android e iOS, los usuarios objetivo del sector educativo suelen utilizar dispositivos personales sin seguridad endpoint. Los códigos QR básicamente permiten al ciberatacante controlar estos dispositivos. El phishing de código QR es una prueba convincente de que los dispositivos móviles se utilizan como vector de ataque a las empresas (cuentas personales, cuentas bancarias, etc.) y que se necesita tener información sobre ellos y soluciones para protegerlos.

Microsoft ha reducido significativamente los ataques de phishing de códigos QR. Esto se nota en la disminución sustancial de los correos electrónicos diarios de phishing interceptados por nuestro sistema, que han pasado de 3 millones en diciembre de 2023 a sólo 179.000 en marzo de 2024.

Las universidades presentan sus propios retos. Gran parte de la cultura universitaria se basa en colaborar y compartir para impulsar la investigación y la innovación. Profesores, investigadores y otros miembros del profesorado trabajan con el concepto de que la tecnología, la ciencia -simplemente el conocimiento en sí mismo- deben compartirse ampliamente. Si alguien se presenta como estudiante, compañero o similar, suele estar dispuesto a hablar de temas potencialmente delicados sin pararse demasiado a analizar la fuente.

Las operaciones universitarias también abarcan múltiples sectores. Los rectores de las universidades son, de hecho, directores ejecutivos de organizaciones sanitarias, proveedores de alojamiento y grandes organizaciones financieras, es decir, industria de industrias. Por lo tanto, estos directivos pueden encontrarse en el punto de mira de cualquiera que se dirija a esos sectores.

La combinación de audacia y vulnerabilidad que se encuentra en los sistemas educativos ha atraído la atención de un amplio espectro de atacantes, desde delincuentes que emplean nuevas técnicas de software malicioso hasta actores de amenazas Estado-nación que se dedican al espionaje de la vieja escuela.

Microsoft supervisa continuamente a los actores y vectores de amenazas en todo el mundo. Estos son algunos de los principales problemas que observamos en los sistemas educativos.

Los sistemas de correo electrónico en las universidades
El entorno naturalmente abierto de la mayoría de las universidades les hace relajarse en lo que se refiere a la gestión e higiene del correo electrónico. Tienen muchos mails, pero a menudo están limitadas operativamente en cuanto a dónde y cómo pueden incluir controles, debido a lo abiertas que tienen que ser para los antiguos alumnos, donantes, para propiciar la colaboración de usuarios externos y muchos otros casos de uso.

Las instituciones educativas tienden a compartir muchos anuncios por correo electrónico. Comparten diagramas informativos sobre eventos locales y recursos escolares. Suelen permitir que los remitentes externos de sistemas de correo masivo compartan información en sus entornos. Esta combinación de apertura y falta de controles crea un terreno fértil para los ataques.

La IA aumenta la importancia de la visibilidad y el control
Los atacantes que reconocen que la educación superior se centra en construir y compartir pueden explorar todos los puntos de acceso visibles, buscando entrar en los sistemas habilitados para IA o información privilegiada sobre cómo funcionan estos sistemas. Si las bases de los sistemas y datos de IA en las instalaciones y en la nube no están protegidas con controles de acceso e identidad adecuados, los sistemas de Inteligencia Artificial se vuelven vulnerables. Al igual que las instituciones educativas se adaptaron a los servicios cloud, los dispositivos móviles y el aprendizaje híbrido, que introdujeron nuevas identidades y privilegios, dispositivos que gestionar y redes que segmentar, también estos imperativos de visibilidad y control atemporales deben avanzar para tener en cuenta la influencia de la IA en el ciberriesgo.

Los agentes de estado-nación buscan propiedad intelectual y contactos de alto nivel
Las universidades que llevan a cabo investigaciones financiadas con fondos públicos, o que trabajan en estrecha colaboración con empresas de defensa, tecnología y otras organizaciones del sector privado, reconocen desde hace tiempo el riesgo de espionaje. Hace décadas, las universidades se centraban en las señales físicas reveladoras del espionaje. Sabían que debían buscar a personas que aparecieran en el campus haciendo fotos o intentando acceder a los laboratorios. Éstos siguen siendo riesgos, pero hoy en día la dinámica de la identidad digital y la ingeniería social han ampliado enormemente las herramientas de espionaje.

Las universidades suelen ser epicentros de propiedad intelectual altamente sensible. Pueden estar llevando a cabo investigaciones revolucionarias y trabajando en proyectos de alto valor en el sector aeroespacial, la ingeniería, la ciencia nuclear u otros temas sensibles en colaboración con múltiples agencias gubernamentales.

Para los atacantes, puede ser más fácil comprometer primero a alguien del sector educativo que tenga vínculos con el de la defensa y luego utilizar ese acceso para hacer phishing de forma más convincente a un objetivo de mayor valor.

Las universidades también cuentan con expertos en política exterior, ciencia, tecnología y otras disciplinas valiosas, que pueden ofrecer inteligencia, si son engañados a través de ataques de ingeniería social que emplean identidades falsas o robadas de compañeros y otras personas que parecen estar en las redes de los individuos o entre sus contactos de confianza. Además de contener valiosa información de inteligencia, las cuentas comprometidas de empleados universitarios pueden convertirse en trampolines para otras campañas contra objetivos gubernamentales e industriales de mayor envergadura.