En resumen

Los consejos de seguridad cibernética a menudo están dispersos y son difíciles de entender si no eres un experto en tecnología; puede ser brutal para los administradores escolares, educadores y padres que intentan descubrir cómo proteger sus escuelas de los ataques cibernéticos. CalMatters habló con más de una docena de expertos en ciberseguridad para ayudarlo.

Read this article in English.   

Desde incendios potenciales hasta tiradores activos, las escuelas suelen tener un plan para emergencias. Con la tarea de proteger a los miembros más jóvenes de la sociedad, los administradores no suelen dejar mucho al azar.

Pero un aumento en los ataques de ransomware en el sector educativo, que amenazan con mantener como rehenes a los sistemas en línea de las escuelas hasta que paguen un rescate, ha dejado muchas escuelas de California sin seguridad alguna para este nuevo problema.

Casi 1,700 escuelas de todo el país se vieron afectadas por ataques de ransomware el año pasado, según la empresa de software con sede en Nueva Zelanda Emsisoft. En California, al menos 26 escuelas han experimentado un ataque de ransomware desde 2019, a menudo con duras consecuencias: Sierra College cerró algunos sistemas durante la semana de finales; las 10 escuelas primarias del Distrito Escolar de Newhall pasaron una semana sin escuela en línea durante la pandemia; y UC San Francisco pagó un rescate de 1.14 millones de dólares. 

Emsisoft y el Centro de Recursos de Ciberseguridad K-12 sin fines de lucro con sede en Estados Unidos publicaron informes que muestran un aumento en el número y gravedad de ataques de ransomware contra escuelas en los Estados Unidos. En marzo, el FBI publicó un boletín advirtiendo a las escuelas sobre un aumento del ransomware. 

“La gente simplemente no cree que les va a pasar”, dijo Mary Nicely, persona clave para la seguridad cibernética en el Departamento de Educación de California. 

Pero si ocurre, las consecuencias pueden ser extensas, según expertos y administradores que han sufrido un ataque. 

Entonces, ¿qué deberían hacer las escuelas, o usted, una persona normal, para prepararse para los ataques de ransomware? CalMatters habló con más de una docena de expertos en ciberseguridad para ayudar a responder cómo las escuelas y los lectores pueden ayudar a protegerse. 

El primer paso hacia una buena ciberseguridad, dijeron, podría ser un cambio de mentalidad. 

Las escuelas nunca deberían asumir que están protegidas, según Eric Grosse, ex vicepresidente de ingeniería de seguridad y privacidad de Google. En la industria de la tecnología, esta filosofía se denomina “redes de confianza cero”. Es la idea de que incluso con VPN, firewalls y otras medidas preventivas, los piratas informáticos aún pueden infiltrarse en sus redes.

“No piense que tendrá una red segura en la que pueda ser descuidado”, declaró Grosse. “Piense que todas sus redes pueden estar comprometidas y configurar todas sus máquinas, sus servidores, sus puntos finales, para asumir que un intruso hostil y capacitado puede (dañar)”.

Las escuelas también deben estar cansadas de los productos que garantizan la protección contra las ciberamenazas. Doug Levin, director nacional de K12 Security Information Exchange, advirtió a las escuelas sobre el “solucionismo” a través del producto. Dijo que hay pasos que muchas escuelas pueden tomar para proteger mejor sus redes incluso sin recursos adicionales, como mejorar la higiene cibernética.

“Es muy importante que la gente de los distritos escolares e incluso los superintendentes en particular no caigan en la trampa de pensar que … si solo compraran x servicio, podrían proteger completamente su comunidad escolar”, dijo. “No existe un producto como ese…proteger a los distritos escolares de los riesgos de seguridad es una tarea complicada, está cambiando continuamente, y gran parte del riesgo proviene del riesgo interno y los riesgos con sus proveedores, tanto como lo hace con la protección de su red con un mejor firewall”.

“Estos atacantes van tras lo fácil y lo abierto. Cada paso que lo hace más difícil, es menos probable que sea un objetivo”.

Kevin McDonald, director de seguridad de la información de Alvaka Networks

La ciberseguridad puede ser costosa, pero las escuelas deben asegurarse de calcular su riesgo antes de decidir que no pueden pagar las actualizaciones de software y hardware o el seguro cibernético, según Nick Merrill, investigador de ciberseguridad en UC Berkeley.

“Si dice que hemos evaluado todos esos daños y estamos seguros de que es mejor para nosotros ser atacados por ransomware y tener que lidiar con eso que pasar por este proceso de copia de seguridad, está bien, eso es un cálculo”, dijo Merrill. “Lo que estamos tratando de prevenir son organizaciones que no han hecho el cálculo, que no habrían tomado esa decisión, que simplemente no estaban al tanto, o peor aún, tal vez pensaron que estaban protegidas y realmente no lo estuvieron.”

Y la ciberseguridad no es solo un problema de TI. Los administradores escolares deben comprenderlo y hacer las preguntas correctas a sus departamentos de TI. 

“Hay una desconexión masiva entre la administración (superintendentes, juntas, directores locales) y TI”, dijo Kevin McDonald, experto en ataques de ransomware y director de seguridad de la información de Alvaka Networks, una empresa de ciberseguridad con sede en Irvine. “Es un delta que es tan grande que se necesitará un esfuerzo para dividirlo”. 

La buena noticia es que unas pocas medidas preventivas sencillas pueden reducir el riesgo de que las escuelas sean atacadas.

“Estos atacantes van tras lo fácil y lo abierto”, dijo McDonald. “Cada paso que lo hace más difícil, es menos probable que sea un objetivo”.

Los expertos en ciberseguridad recomiendan:

# 1: use la autenticación multifactor

La autenticación multifactor se produce cuando los usuarios presentan varias credenciales para iniciar sesión en una cuenta. Por ejemplo, si inicia sesión en su cuenta bancaria con su nombre de usuario y contraseña, y luego tiene que ingresar un código que el banco envía a su teléfono, eso es autenticación multifactor. Esto significa que incluso si los piratas informáticos obtienen su contraseña, no pueden acceder a su cuenta o sistemas. 

La autenticación multifactor es la mejor manera de evitar que los malos entren en sus sistemas, según Andrew Brandt, investigador de malware en SophosLabs. Casi todos los expertos con los que habló CalMatters mencionaron la autenticación multifactor como una de las medidas de ciberseguridad más sólidas.

# 2: Parche a menudo

Parchear, un término tecnológico para corregir las vulnerabilidades de seguridad en el software, también es una fuerte medida preventiva. Cuando los investigadores de software o las empresas encuentran fallas, generalmente envían una solución en forma de actualización de software. La actualización evitará que los piratas informáticos sigan explotando la falla. Pero hay un problema: poco después de que se publiquen las actualizaciones de seguridad, los ciberdelincuentes pueden aplicar ingeniería inversa a la actualización para descubrir el problema técnico y explotarlo en sistemas que no se reparan con la suficiente rapidez. Eso significa que debe asegurarse de parchear y actualizar todo el software lo antes posible o establecer actualizaciones automáticas.

“No se entretenga en aplicar esa solución en sus sistemas locales”, dijo Grosse. “Las organizaciones que son descuidadas en eso, piensan, ‘Oh, pero si hacemos un cambio, tal vez algo se rompa’. Esa gente busca problemas. Porque algo se romperá, serán pirateados y será difícil para ellos recuperarse”.

# 3. Haz una copia de seguridad (de la manera correcta)

Las copias de seguridad son cruciales para la ciberseguridad. 

Si una escuela es atacada con ransomware pero tiene buenas copias de seguridad, probablemente no tendrá que pagar el rescate, dijo el abogado de privacidad y seguridad de datos Scott Koller. La copia de seguridad ideal no está conectada a Internet y nunca estará conectada a Internet, lo que a menudo se denomina “copia de seguridad con espacio de aire” (piense en un disco duro externo o CD). 

Varios expertos con los que habló CalMatters piensan que si no tiene el tiempo o los recursos para hacer una copia de seguridad de sus archivos en un disco duro externo, la nube es una buena alternativa: las empresas que administran la nube tienen la experiencia y los fondos para manejar los ciberataques. Pero con la nube, aún corre el riesgo de que sus cuentas se vean comprometidas si los ciberdelincuentes roban sus credenciales, según McDonald, quien dijo que regularmente ve víctimas a las que se les han borrado o cifrado sus copias de seguridad en la nube. También debe asegurarse de tener un inventario actualizado de todo el hardware y software en su entorno, porque no puede proteger lo que no sabe que existe, según Josh Moulin, vicepresidente del Centro de Seguridad de Internet.

# 4. Ejecute simulacros, muchos simulacros

Al igual que las escuelas realizan simulacros de incendio, es importante realizar simulacros de ciberataque para asegurarse de que su plan funcione sin problemas. Simule un ciberataque y luego intente restaurar solo a partir de sus copias de seguridad. Debe probar como si no tuviera nada más que sus copias de seguridad. La gente se sorprendería de lo que experimentan al ejecutar simulacros, según los expertos. Tal vez los archivos de varios profesores estén almacenados en su escritorio y no se haya realizado una copia de seguridad adecuada, o descubra que algunas de sus copias de seguridad están conectadas a Internet y podrían verse comprometidas por un ataque de ransomware. O tal vez, te das cuenta de que se necesitarán varios meses o incluso años para restaurar su red a partir de sus copias de seguridad. Las escuelas también deben asegurarse de imprimir su plan de respuesta a incidentes o ciberataques en papel o almacenados en un almacén de datos fuera de línea en caso de que un ciberataque los bloquee de los archivos de su sistema.  

# 5. Phish tu propia gente

También es importante capacitar a los usuarios sobre cómo reconocer los ataques de phishing (enlaces maliciosos que los ciberdelincuentes suelen enviar por correo electrónico o mensaje de texto). Casi todos los ataques de ransomware se ejecutan primero a través de ataques de phishing, dijo Merrill. Estos correos electrónicos pueden producirse en masa y ser genéricos o específicos; los correos electrónicos personalizados se denominan “spear phishing”. Una de las formas más efectivas de capacitar a los usuarios sobre los ataques de phishing es ejecutar campañas de phishing, según varios expertos. Las escuelas deben enviar correos electrónicos de phishing falsos y ver quién hace clic en los enlaces maliciosos. Úselo como una oportunidad para educar a toda la comunidad escolar sobre los ataques de phishing y cómo detectarlos. 

# 6. Piense en quién necesita acceder a qué archivos

Otra medida que deben seguir las escuelas es el principio tecnológico del “privilegio mínimo”. Esto significa que los usuarios deben tener acceso a los archivos que necesitan para hacer su trabajo, pero no más que eso. 

Por ejemplo, es posible que las personas que controlan la nómina de los empleados no necesiten acceder a las calificaciones de los estudiantes. Esto evita que los ciberdelincuentes accedan a todo lo que hay en una red si piratean una cuenta. Los usuarios con más privilegios (acceso a más archivos en la red) deberían tener una ciberseguridad más estricta que aquellos que no los tienen. Si bien todos los usuarios deben usar la autenticación multifactor, es absolutamente fundamental para aquellos con más privilegios.

Del mismo modo, las escuelas deben asegurarse de “segmentar” sus redes o controlar el flujo de tráfico en línea: por ejemplo, puede evitar que todo el tráfico de estudiantes llegue a la nómina de empleados dividiendo las redes. De manera similar a poner en cuarentena a pacientes enfermos con una enfermedad infecciosa, la segmentación de sus redes ayuda a evitar que el software malintencionado se propague y contamine todos sus dispositivos en la red. 

¿Qué pasa con las contraseñas?

Algunos expertos se han mostrado en desacuerdo con los consejos de seguridad cibernética que se brindan a los administradores, como el enfoque en la alfabetización digital y el cambio de contraseñas cada pocos meses. 

Cambiar las contraseñas cada dos o cuatro meses es una “locura”, según Eric Grosse, ex vicepresidente de ingeniería de seguridad y privacidad de Google. 

Las contraseñas son fáciles de adivinar, difíciles de cambiar y no terminan ofreciendo mucha seguridad por sí solas, dijeron los expertos. Algunas empresas, como Microsoft, prohíben las contraseñas.  

Los delincuentes también pueden abrirse paso mediante la “fuerza bruta” a través de las contraseñas. Brandt dijo que incluso si las contraseñas no son fáciles de adivinar, los ciberdelincuentes pueden ejecutar programas que pasarán por miles de combinaciones por minuto hasta que encuentren la contraseña correcta.

Cambiar las contraseñas cada dos o cuatro meses es una “locura”.

ERIC GROSSE, EX VICEPRESIDENTE DE INGENIERÍA DE SEGURIDAD Y PRIVACIDAD DE GOOGLE

Grosse recomendó usar una clave de seguridad, que requiere tanto una contraseña como una clave física para iniciar sesión en los sistemas.

“Lo que descubrimos en Google fue que estábamos en una carrera armamentista constante con los rusos y otros…para prevenir ataques de phishing y otras formas en las que de alguna manera podían obtener credenciales y usarlas para hacerse cargo de los sistemas”, explicó. “Cuando finalmente presentamos las llaves de seguridad a nuestra población de empleados, se detuvo en seco la carrera armamentista. Nunca tuvimos otro caso en el que la cuenta de un empleado se hiciera cargo”.

Grosse dijo que las organizaciones nunca deberían sentir que la ciberseguridad se logra con VPN, firewalls o similares. Debe haber cero confianza, no asuma que su computadora está más allá de todo compromiso, comentó. 

“Creo que el único consejo práctico para estos lugares más pequeños es que la seguridad es difícil”, dijo Grosse. “Te enfrentas a adversarios muy capaces que son implacables”.

¿Incluso si eres una escuela? “No les importa”.

Síganos en Twitter y Facebook.

Siga nuestro canal RSS para artículos en español. 

CalMatters.org es una organización de medios de comunicación sin fines de lucro, no partidista, que explica las políticas públicas y los temas políticos de California.

Zayna Syed is a tech reporter for CalMatters. She recently graduated from the University of Michigan, where she studied public policy, history and Arabic. Previously, she worked as the Investigations Editor...