Puntos clave:
Los distritos escolares de K-12 se están convirtiendo en un objetivo cada vez más popular de operaciones de ransomware y otros actores de amenazas cibernéticas. Solo los ataques de ransomware apuntaron a 108 distritos escolares de EE. UU. en 2023, más del doble de los 45 atacados en 2022. Justo cuando el año escolar 2024 estaba a punto de comenzar, un ataque de ransomware cerró algunas escuelas en Estados Unidos y Gran Bretaña, incluidas 34 escuelas que atienden a 17,000 estudiantes en el área de Seattle.
Y aunque el número de ataques en general disminuyó un poco durante el último año, los costos de esos ataques están aumentando. Hasta ahora en 2024, los costos de recuperación para las escuelas de K-12 tienen un promedio de $3.76 millones, más del doble de los costos de 2023.
La gran cantidad de información personal que los distritos escolares tienen sobre estudiantes y padres los convierte en un objetivo principal para los ciberdelincuentes que buscan explotar o vender los datos en mercados negros. El hecho de que muchas escuelas dependan de infraestructuras de TI más antiguas y subfinanciadas y no hayan invertido mucho en controles o defensas de ciberseguridad también los hace más fáciles de vulnerar, y los departamentos de TI más pequeños con menos recursos también significan que son más lentos para responder a las amenazas.
Afortunadamente, los fondos y recursos tan necesarios para mejorar la infraestructura de ciberseguridad de las escuelas están llegando. La Comisión Federal de Comunicaciones (FCC) anunció recientemente que está poniendo a disposición hasta $200 millones en reembolsos para ayudar a las escuelas, distritos escolares y bibliotecas a comprar equipos y servicios para mejorar sus posturas de ciberseguridad.
El Programa Piloto de Ciberseguridad para Escuelas y Bibliotecas, destinado a ayudar a las instituciones a mejorar la protección contra ransomware y otros ataques, está aceptando solicitudes de escuelas, bibliotecas o consorcios hasta el 1 de noviembre. Antes de solicitar el programa piloto, sin embargo, las instituciones deben esforzarse por comprender sus posturas de seguridad actuales y vulnerabilidades, y cómo las categorías de servicios y productos disponibles pueden ayudar, para asegurarse completamente de que los servicios solicitados abordarán las vulnerabilidades más importantes y los desafíos de infraestructura que enfrentan.
Primero revisemos los servicios y equipos cubiertos, que involucran cuatro categorías básicas de ciberseguridad.
Los cuatro pilares de ciberseguridad que aborda el programa piloto
Cortafuegos avanzados/de última generación. Este software de seguridad de red procesa el tráfico de red y aplica reglas para bloquear el tráfico potencialmente peligroso. Aunque la mayoría de las escuelas probablemente tengan un cortafuegos en su lugar, los cortafuegos administrados internamente son laboriosos y requieren mucho tiempo para administrar.
Protección de puntos finales. Las herramientas de protección y respuesta de puntos finales (EDR) monitorean los puntos finales, como computadoras portátiles, teléfonos inteligentes y otros dispositivos, en busca de signos de ataque o comportamiento anómalo. Esta es también una solución que algunas escuelas pueden tener ya. Por ejemplo, las escuelas que utilizan un proveedor como Microsoft podrían tener licencias que incluyen cierta cantidad de protección de puntos finales, pero es probable que no sea robusta. Se alienta a las escuelas a examinar lo que tienen en su lugar para su conjunto tecnológico para determinar la extensión de sus capacidades actuales de EDR.
Protección de identidad y autenticación. A medida que las compromisos de credenciales se han convertido en el principal medio de acceso para los atacantes, la primera línea de defensa se ha desplazado de los dispositivos finales al usuario. Esto significa que los usuarios individuales, especialmente aquellos con acceso privilegiado, serán los más propensos a ser blanco de los ciberdelincuentes. Las herramientas de gestión de identidad y acceso (IAM) controlan qué usuarios pueden acceder a los recursos. A medida que las escuelas adoptan más plataformas digitales para el aprendizaje, la administración y la comunicación, estas herramientas ayudan a gestionar y controlar quién tiene acceso a varios recursos, asegurando que solo las personas autorizadas puedan acceder a datos sensibles como registros de estudiantes, datos de salud y detalles financieros. Al igual que con las herramientas de EDR, es posible que las herramientas actuales de IAM proporcionadas a las escuelas no sean lo suficientemente robustas.
Monitoreo, detección y respuesta. Esta categoría incluye equipos, servicios o una combinación de ambos que monitorean y/o detectan amenazas en una red y toman medidas de respuesta para remediar o abordar esas amenazas. Esto incluye a los proveedores de servicios gestionados, que combinan tecnología con experiencia humana para identificar a los atacantes y limitar el impacto de las amenazas a medida que se mueven a través de la red de una escuela. Bajo las actuales limitaciones presupuestarias, esta es la capacidad que las escuelas y bibliotecas son menos propensas a tener, ya que requiere un equipo dedicado para garantizar que no haya actores malintencionados en la red.
Más allá del financiamiento: Pasos esenciales siguientes para maximizar el programa piloto de la FCC
Los distritos escolares primero deben comprender los riesgos y dónde se encuentran en relación con ellos para reducir completamente su vulnerabilidad a los ciberataques. Una vez que entiendan qué servicios tienen y la extensión de esos servicios, pueden identificar cualquier brecha en las capacidades de seguridad y hacer un plan para hablar con los proveedores adecuados de esas herramientas.
Para aprovechar al máximo el programa y el financiamiento que la FCC proporcionará, las escuelas deben elegir sus soluciones cuidadosamente. Las escuelas pueden asegurarse de que los proveedores de ciberseguridad satisfarán sus necesidades siguiendo algunos pasos clave:
Poner a prueba a los proveedores. Es importante identificar a los proveedores adecuados para lo que se necesita. Pida a los proveedores que demuestren cómo han respondido a los ataques, así como su experiencia probada en trabajar con escuelas o instituciones educativas. Estos proveedores entenderán mejor los desafíos específicos que enfrentan las escuelas, como presupuestos limitados, grupos de usuarios variados (estudiantes, personal, padres) y la necesidad de un entorno de aprendizaje en línea seguro pero accesible.
Verificar referencias de clientes. Solicite referencias de otros distritos de K-12 que hayan utilizado los servicios del proveedor. Esto proporciona información sobre la capacidad del proveedor para cumplir con sus promesas, manejar datos sensibles y brindar soporte continuo. Una referencia positiva de un cliente puede ser un indicador importante de si el proveedor y su solución serán adecuados para abordar sus propias necesidades.
Verificar características y soporte importantes. Un gran obstáculo para implementar una seguridad adecuada en los distritos escolares está en la cúspide. Al evaluar a los proveedores en cualquier categoría, un área clave en la que pueden brindar soporte es su capacidad para ofrecer ejercicios de simulación que puedan involucrar y educar a administradores y otro personal que podría no entender o apreciar la seguridad. Estos ejercicios simulan ciberataques del mundo real para ayudar a las escuelas a prepararse para incidentes potenciales, permitiéndoles practicar su respuesta a incidentes en un entorno de bajo riesgo, mejorando en última instancia su postura general de ciberseguridad. También sirven como una herramienta educativa, creando conciencia sobre vectores de ataque comunes como ransomware o phishing para que todo el personal pueda estar mejor preparado para reconocer y responder a incidentes cibernéticos. Finalmente, pueden ayudar a descubrir vulnerabilidades en la comunicación, la toma de decisiones y las defensas técnicas, permitiendo a los líderes comprender de primera mano las deficiencias de ciberseguridad y el impacto devastador que pueden tener.
Cuando se consideran soluciones de monitoreo, detección y respuesta (MDR), hay algunas capacidades que son esenciales para una ciberseguridad sólida. La primera es la analítica de comportamiento de usuarios y entidades (UEBA), que utiliza aprendizaje automático para ayudar a identificar signos de amenazas internas, ataques externos y comportamientos riesgosos en una red, incluidos los puntos finales. Permite a las escuelas identificar si el comportamiento cumple con la línea de base estándar o si comienza a desviarse. Por ejemplo, alguien que acceda a una red escolar de Oregón desde las Bahamas podría parecer sospechoso, pero si es un maestro de vacaciones allí, podría estar bien.
Las herramientas de MDR también deben ser autónomas. Una solución debe poder capturar información y responder automáticamente. Si identifica credenciales robadas que se utilizan en la web oscura, por ejemplo, asegúrese de que pueda iniciar restablecimientos de contraseñas y desactivar esas credenciales. Hay varios puntos de contacto que pueden indicar un ataque de ransomware o la extracción de datos, como modificaciones de archivos, adición de claves de registro o agregación de tareas de ejecución automática al registro. Una solución debe poder detectar esa actividad y detenerla antes de que se produzca demasiado daño. En otras palabras, estas soluciones deben bloquear y atacar a medida que los criminales actúan.
Protegiendo la educación a través de inversiones cibernéticas inteligentes
Las escuelas se centran principalmente en educar a los estudiantes, y como instituciones educativas, su mentalidad ha tendido tradicionalmente hacia compartir, en lugar de proteger, la información. La ciberseguridad no siempre ha sido una prioridad. Pero la tendencia en los ciberataques, que pueden cerrar las escuelas y evitar que enseñen, está cambiando eso.
Las escuelas necesitan fortalecer sus posturas de ciberseguridad, y programas como el piloto de la FCC pueden ayudar. Al evaluar claramente su postura de seguridad actual y tomar medidas para cerrar cualquier brecha en sus defensas utilizando los servicios y equipos apropiados, pueden volver a su principal objetivo de educar a sus estudiantes sin preocuparse por sufrir ciberataques disruptivos.
Mark Sangster, Adlumin
Mark Sangster es Vicepresidente, Jefe de Estrategia en Adlumin. Antes de unirse a Adlumin, Sangster estableció su carrera de 25 años en InfoSec en gigantes de la industria como Intel Corporation, BlackBerry y Cisco Systems.
Últimas publicaciones de eSchool Media Contributors (ver todas)