Los sistemas informáticos de las instituciones académicas cada vez están más conectados, son más eficientes y confiables que nunca, mejorando todo, desde la inscripción de estudiantes, informes, hasta funciones administrativas como recursos humanos y finanzas. Si bien esto ha hecho avanzar drásticamente al sector, dicha conectividad también tiene sus inconvenientes. Los ataques cibernéticos son una gran amenaza para el sector educativo, e indicios recientes señalan que son las escuelas y las instituciones de enseñanza superior cada vez más atacados. Los delincuentes cibernéticos ven a las escuelas, universidades y otras instituciones de educación
superior como objetivos fáciles, mal equipados para hacer frente a los incidentes cibernéticos; lo que es aún más alarmante, son los datos confidenciales que poseen las escuelas los cuales tienen un atractivo específico para los atacantes, ya que son lucrativos en la “dark web”.
¿Estamos realmente en riesgo?
Los detalles recopilados para inscribir a los estudiantes se consideran “Información de identificación personal” (IIP) y están formalmente protegidos por regulación. Las regulaciones internacionales y locales han vuelto mucho más estricto el procesamiento de datos personales.
Esto tiene implicaciones importantes para las escuelas e instituciones de enseñanza superior que procesan grandes cantidades de datos personales, pero a menudo carecen de los recursos de seguridad y cumplimiento para hacer frente a los riesgos de manera efectiva. Si una institución educativa superior tiene campus en el extranjero, habrá la consideración adicional de garantizar el cumplimiento de todos los requisitos reglamentarios de privacidad aplicables.
Si bien las implicaciones de las violaciones de datos son reales (y muy costosas, desde una perspectiva financiera como de reputación), existen enormes amenazas de un ataque cibernético más “tradicional”. Eventos como la instalación de ransomware para cifrar archivos, el acceso no autorizado para robar IIP valiosa, la interrupción de los servicios o el hackeo de cámaras de CCTV dentro del entorno educativo, son una realidad hoy en día.
Ransomware en particular es una amenaza creciente por el aumento exponencial en el número de ataques, así como las cantidades de rescate que se han estado solicitando. Mientras que anteriormente los ataques de ransomware tendían a ser “dispersos” en su enfoque, atacando muchos objetivos simultáneamente y solicitando un rescate relativamente modesto, ahora se están volviendo más sofisticados, a menudo desplegando ataques de varios niveles que se extienden al cifrado simultáneo de copias de seguridad.
Los ataques de ransomware actuales consisten en infiltrarse en los sistemas comerciales, monitorear objetivos específicamente identificados y luego buscar cifras de rescate mucho mayores, acordes con el valor percibido para ese negocio.
Los establecimientos de enseñanza superior están cada vez más en el blanco de ataques cibernéticos debido a su función como proveedores del sector empresarial en forma de innovación, economía, investigación y desarrollo. Esta propiedad intelectual tiene un valor indiscutible.
Debido a la naturaleza pública y orientada hacia el exterior del sector académico y a la facilidad con la que los académicos colaboran a través de redes privadas más pequeñas, esta propiedad intelectual es particularmente vulnerable. Estas redes privadas suelen ser más susceptibles al acceso no autorizado e incidentes cibernéticos.
Un informe de septiembre de 2019 del Centro Nacional de Seguridad Cibernética reveló el espionaje financiado por el estado dirigido a la investigación de alto valor de las organizaciones de educación superior. El informe hizo referencia a los ataques de phishing y malware, y sus efectos inmediatos y disruptivos, pero llamó la atención específicamente sobre una amenaza a largo plazo de los estados nacionales que buscan robar investigación para obtener ganancias estratégicas.
Entre los daños más previsibles destacan el impacto al valor de la investigación, especialmente en materias STEM (Science, Technology, Engineering and Mathematics), una caída en la inversión del sector público o privado en las universidades afectadas y el daño a la “ventaja de conocimiento”.
Casos de estudio
Una brecha demasiado lejos
En junio de 2017, University of East Anglia (UAE) sufrió una vergonzosa violación de datos cuando envió inadvertidamente datos personales relacionados con 191 estudiantes universitarios a casi 300 personas. La hoja de cálculo distribuida contenía problemas de salud de los estudiantes, duelos y problemas personales.
A pesar de que la universidad aseguró que había endurecido sus procedimientos como resultado del incidente, cinco meses después, los datos personales sobre un miembro del personal se enviaron por error a cientos de estudiantes de posgrado y, en octubre del año pasado, se supo que un profesor de la UAE envió accidentalmente datos privados sobre la tesis de maestría fallida de un alumno a cientos de estudiantes.
Tras una investigación de la Oficina del Comisionado de Información sobre el incidente de junio de 2017, los Emiratos Árabes Unidos tuvieron que pagar más de £ 140,000 en compensación a los estudiantes afectados.
Ransomware
En 2019, un estafador cibernético obtuvo acceso al sistema de TI de una escuela para replicar un correo electrónico escolar. El miembro del personal destinatario abrió el correo electrónico de buena fe. El correo electrónico contenía un virus que provocó la liberación de un ransomware en la red informática de la escuela.
Los archivos fueron encriptados, lo que significa que se volvieron inaccesibles para los estudiantes, incluidos los exámenes de fin de curso de los alumnos del onceavo año. Se iniciaron negociaciones con las juntas de examen pertinentes y se inició una investigación completa. Se necesitaron recursos sustanciales para volver a poner el sistema en línea y tratar de recuperar los archivos. Además de la considerable interrupción causada, la escuela sufrió un daño significativo en su reputación.
El Seguro de Cyber
No podemos exagerar la importancia de implementar una estrategia integral de seguridad cibernética para el sector educativo. Es vital salvaguardar el sistema de cualquier proveedor académico para permitir proteger sus actividades, estudiantes, reputación e ingresos.
Reconocer las vulnerabilidades particulares en todo el sector académico es fundamental. En Lockton, trabajamos para un número significativo de instituciones educativas, desde primarias, secundarias y educación superior hasta administradores educativos y proveedores de e-learning. Esto nos da una excelente exposición a los hábitos de compra cibernética y las exposiciones que enfrenta el sector educativo.
Vale la pena mencionar que muchas pólizas tradicionales no responderán a una violación cibernética. Una cobertura afirmativa bajo una póliza de cyber independiente será vital.
Una póliza de cyber está diseñada para responder a los siguientes eventos, que no necesariamente serían cumplidos por pólizas más tradicionales:
a. Violación de datos de un ataque cibernético.
b. Pérdida financiera e impactos reputacionales tanto a la compañía como a los altos directivos por la falla de un sistema informático debido a un ataque malicioso.
c. Defensa regulatoria y cobertura de multas y sanciones como resultado de una violación de seguridad (asegurable por ley).
d. Costos de respuesta a la violación.
e. Una solicitud de rescate después de un ataque a los sistemas informáticos.
Un ataque cibernético puede tener ramificaciones de gran alcance para el sector educativo. Comprender estos riesgos y mitigarlos de manera proactiva es clave.
Nuestro equipo de expertos en riesgos cibernéticos trabajará con usted para crear una solución personalizada que proteja y asegure su negocio exactamente donde lo necesita, y garantice que los riesgos cibernéticos se integren en su proceso de gestión de riesgos.
La seguridad de los datos de sus clientes está en sus manos. Ponga la seguridad de su empresa en las nuestras.
Descarga el PDF aquí. (opens a new window)
Para mayor información:
Ricardo Millán
Head ProFin México
ricardo.millan@lockton.com
Moisés García
ProFin México
moises.garciab@lockton.com