Más que nunca, los ciberdelincuentes continúan apuntando a las personas con esfuerzos de ingeniería social con el objetivo final de desviar información confidencial, ya sean detalles financieros, datos corporativos confidenciales o información personal. Si bien una gran parte de esta actividad se centra en los empleados dentro de las organizaciones de todas las industrias, el sector de la educación es cada vez más un objetivo para los delincuentes.
Con un número récord de estudiantes que ahora asisten a la universidad en el Reino Unido, los ciberdelincuentes tienen una gran oportunidad de apuntar a esta industria, aprovechando la mayor comunicación entre estudiantes, maestros y proveedores externos. Como en muchas otras industrias, los ataques a las universidades a menudo tienen éxito porque el objetivo son las personas, no la tecnología. Debido a que puede ser casi imposible para un estudiante o miembro del personal desprevenido identificar un correo electrónico fraudulento de uno real, la mayoría de los CISO del Reino Unido consideran que el error humano es la mayor vulnerabilidad cibernética de una organización.
Hemos visto muchos ejemplos de universidades del Reino Unido en los últimos años. Por ejemplo, el reciente ataque a la Universidad de Sunderland demuestra que a pesar de una mayor conciencia sobre la protección cibernética y los escenarios de amenazas cibernéticas, las filtraciones de datos aún pueden ocurrir e interrumpir en gran medida la actividad diaria: unay ninguna industria es una excepción.
Esa brecha reciente proporciona una advertencia perfecta para otras instituciones educativas, ya que el ataque dejó al personal y a los estudiantes sin poder acceder a correos electrónicos, sistemas de aprendizaje remoto y líneas telefónicas. El problema único es que las universidades son un objetivo popular debido a la gran cantidad de datos que tienen y los muchos posibles puntos de infracción.
Muchas universidades, como Sunderland, también son institutos de investigación, por lo que quieren mantener el acceso a los datos y la información lo más abierto posible, lo que puede ser peligroso en un ciberataque. Sin embargo, aunque el problema es complejo, la solución para mitigar mejor estas amenazas puede ser más sencilla.
Tu correo electrónico puede ser tu debilidad
La naturaleza abierta y abierta del sector de la educación, que permite la colaboración entre académicos de todo el mundo, significa que los ciberdelincuentes no necesitan buscar mucho para encontrar los recursos para explotar y hacerse pasar por su objetivo. Los ciberdelincuentes utilizan ampliamente el método de suplantación de dominio para hacerse pasar por organizaciones conocidas mediante el envío de un correo electrónico de un remitente supuestamente legítimo. Estos correos electrónicos actúan como cebo para determinar los datos necesarios para llevar a cabo ataques exitosos, en los que un correo electrónico bien diseñado hace que un miembro del personal o un estudiante sea engañado para que revise un correo electrónico malicioso.
Para mitigar esto, las organizaciones deben implementar protocolos de autenticación como el Informe y conformidad de autenticación de mensajes basados en dominios (DMARC), para reforzar su defensa contra el fraude por correo electrónico. Actuando como un protocolo de autenticación de correo electrónico abierto que brinda protección a nivel de dominio del canal de correo electrónico, la autenticación DMARC detecta y previene las técnicas de suplantación de correo electrónico utilizadas en phishing, compromiso de correo electrónico comercial (BEC) y otros ataques basados en correo electrónico.
DMARC es la primera y única tecnología ampliamente implementada que puede garantizar que los correos electrónicos enviados provengan de un dominio confiable. Al implementar el nivel más estricto de DMARC, que rechaza por completo cualquier correo electrónico que se considere que proviene de un dominio falsificado, las universidades pueden bloquear activamente los correos electrónicos fraudulentos para que no lleguen a sus objetivos previstos, protegiendo a sus estudiantes, personal y socios de los ciberdelincuentes que buscan hacerse pasar por sus marca.
Las universidades del Reino Unido necesitan protegerse
Desafortunadamente, según la reciente investigación DMARC de la Universidad llevado a cabo por Proofpoint, solo el 15 % de las universidades del Reino Unido han implementado el nivel recomendado y más estricto de protección DMARC (rechazo), que impide que los correos electrónicos fraudulentos lleguen a sus objetivos previstos, lo que significa que el 85 % de las universidades del Reino Unido están dejando a los estudiantes y al personal abiertos al correo electrónico fraude que podría conducir a un ataque cibernético paralizante.
De manera alentadora, más de dos tercios de las universidades han tomado medidas iniciales para proteger a sus estudiantes y personal del fraude por correo electrónico, y el 70 % publica algún nivel de registro DMARC. Sin embargo, se necesita hacer mucho más para proteger activamente a los usuarios de correo electrónico de los atacantes que se hacen pasar por estas universidades.
Las instituciones educativas tienen una gran cantidad de datos confidenciales sobre las personas, por lo que los ciberdelincuentes pueden obtener acceso instantáneo a información personal como el nombre, la dirección, los detalles de pago, la identificación o los registros de salud. Por lo tanto, además de la protección DMARC necesaria, se debe recomendar a todos los usuarios que usen contraseñas únicas y seguras, posiblemente con una autenticación de múltiples factores si es posible.
Muy a menudo, atacantes crear sitios “parecidos” imitando marcas e instituciones familiares, por lo que los estudiantes y el personal siempre deben verificar la autenticidad del enlace en el que hacen clic, así como esquivar posibles ataques de phishing y smishing.
Hora de la edificación cibernética
Si bien la implementación del protocolo DMARC es un primer paso esencial para cualquier institución, las organizaciones también deben crear conciencia simultáneamente sobre la capacitación en seguridad del usuario, ya que las personas son la variable más crítica en un ataque cibernético exitoso.
Desafortunadamente, la mayoría de los usuarios no entienden el papel que desempeñan en la protección de su organización contra las amenazas cibernéticas, por lo que los organismos educativos deben mejorar la conciencia cibernética brindando capacitación con frecuencia, convirtiendo la capacitación anual en seguridad en sesiones de capacitación más cortas organizadas mensual o trimestralmente. Contrariamente a la creencia popular, la generación más joven suele estar más relajada con respecto a la seguridad cibernética que sus contrapartes mayores, con contraseñas débiles y la reutilización de credenciales. abunda entre los estudiantes, lo que significa que la capacitación en concientización sobre seguridad debe ser una prioridad para los estudiantes recién matriculados.
Se requiere un esfuerzo constante por parte del personal y los estudiantes para reforzar la higiene de seguridad. Cuanto más entienda cada usuario sobre las amenazas a las que se enfrenta, los métodos implementados por los delincuentes y cómo su propio comportamiento puede ser la diferencia entre un sistema seguro o violado, mejor equipado estará para proteger a su organización de cualquier daño.
Los ciberdelincuentes prestan mucha atención a las principales tendencias e impulsarán ataques dirigidos utilizando técnicas de ingeniería social, por lo que es importante que el personal y los estudiantes estén al tanto de las amenazas nuevas y emergentes antes de que ocurra un ataque. El sector de la educación simplemente debe implementar protocolos de autenticación, como DMARC, para reforzar sus defensas contra el fraude por correo electrónico al tiempo que brinda capacitación en seguridad para los estudiantes y el personal.
Dado que las personas son la primera línea de defensa, las universidades deben educar a quienes utilizan su red sobre cómo un solo clic puede ser la puerta abierta por la que un ciberdelincuente espera pasar.
Adenike Cosgrove es estratega de seguridad cibernética en el negocio internacional de Proofpoint