La Universidad no escapa a los riesgos de la ciberseguridad

De hecho, el sector educativo fue uno de los más afectados por los ataques de ransomware en 2020, y en lo que va de 2021 sigue siendo el objetivo principal de ataques de malware y ransomware. Un ejemplo de cómo este tipo de amenazas a la ciberseguridad afectan al ámbito educativo es la Universidad Estatal de Michigan, una de las pocas que ha declarado públicamente el ataque que afectó a su departamento de física y astronomía. La Universidad no pagó el rescate exigido de seis millones de dólares, pero tuvo que hacer frente a más de un millón de dólares en gastos de reparación de sus sistemas de TI.

Porque aunque las necesidades de las universidades son diferentes, comparadas con las empresas o las administraciones gubernamentales, ya que disponen de autonomía para investigar y actuar de forma independiente, en ocasiones, los investigadores universitarios tienen medios limitados para implementar una ciberseguridad efectiva por sí mismos.

Albert Barnwell, Sales Manager Iberia de Cyberark.

Con la llegada de la pandemia de la COVID-19, las universidades también tuvieron que cambiar su modelo de trabajo y pasar a un aprendizaje remoto. Como resultado, sus departamentos de TI tuvieron que adquirir, algunos de ellos por primera vez, ordenadores portátiles, además de tener que instalar antivirus y alguna forma de autenticación multifactor (MFA). Pero las prisas no son buenas, por lo que muchas instituciones educativas no consiguieron una correcta seguridad o no la implementaron adecuadamente. La mayoría de las universidades no han tenido una fuerza laboral remota antes, por lo que una mayor dependencia de los servicios en la nube y la gran cantidad de redes y dispositivos personales que se utilizan más allá del campus han aumentado el riesgo. Lo cual se ha convertido en una de las principales preocupaciones de los responsables de TI de las universidades.

Un perímetro sin delimitar que ofrece un entorno muy atractivo para los atacantes, ya que en una universidad también hay un elevado número de personas con acceso privilegiado a una gran cantidad de datos y sistemas confidenciales. Un campo de cultivo ideal para campañas de spear-phishing diseñadas para robar o comprometer una identidad o desencadenar un ataque de ransomware. Otro punto vulnerable es el del profesor visitante, al que se le proporciona privilegios para acceder a recursos sensibles en la red. Una cuenta que, posteriormente, debería desactivarse pues, si se deja inactiva, podría convertirse en otra vía de ataque.

La cultura de apertura que define a una universidad debería mitigarse con Zero Trust. Porque hablamos de controlar, a través de los privilegios mínimos, lo que un usuario puede hacer y cuánto tiempo puede hacerlo sin volver a verificar sus derechos de acceso. Lo que se pretende son sistemas que sean adaptables, que protejan los endpoints, que administren sus privilegios y que aíslen a los usuarios y las sesiones.

Entonces, ¿cómo pueden las instituciones universitarias proteger de manera más efectiva los sistemas de TI de sus campus? En primer lugar, se debe asumir el ataque y centrar la atención en detener el robo de credenciales y el movimiento subsiguiente, en todo el entorno. Posteriormente, asegurar los objetivos de alto valor, como los administradores de dominio y los administradores de la nube, a través de controles de gestión de acceso privilegiado, como el almacenamiento y la rotación de contraseñas. Asimismo, el aislamiento de sesión y el acceso efímero también se pueden utilizar para reducir el alcance de la brecha, limitando el tiempo que un atacante tiene para moverse a través del sistema, lateral y verticalmente.

El tercer paso es bloquear todas las plataformas y sistemas comunes, ya sea el directorio activo, las cuentas del servidor o los ordenadores de sobremesa, para llegar, realmente, a todo el entorno. Por último, asegurarse de que se aplican los privilegios mínimos en todos los servidores, ordenadores y usuarios, prestando especial atención a eliminar los derechos de administrador local e implementar la autenticación multifactor adaptativa y la protección de endpoints en capas.