La pandemia de COVID-19 ha intensificado los problemas de ciberseguridad dentro de la industria educativa. La falta de directrices o políticas para gestionar la ciberseguridad en las escuelas ha causado vulnerabilidades y ha llevado a un aumento de los ataques. Este artículo discute cuatro preocupaciones de ciberseguridad y cómo combatirlas, incluyendo el aprendizaje combinado (presencial y virtual), ataques de phishing, recursos limitados y mala higiene de contraseñas.

Las amenazas cibernéticas continúan creciendo en las escuelas primarias y secundarias

Según la actividad global de amenazas cibernéticas de Microsoft, la industria educativa global ha experimentado el 63% de los ciberataques en los últimos 30 días, eso es más de 5 millones de los más de 8 millones de encuentros con dispositivos.

A pesar de la evidencia del aumento en la frecuencia y gravedad de las amenazas cibernéticas en las escuelas de jardín de infancia a 12º grado (K-12), no existen estándares concretos sobre cómo manejar las amenazas cibernéticas y qué protección de ciberseguridad pueden esperar los estudiantes, padres o maestros de sus escuelas.

En relación a esto, Aaron Montemayor Walker, investigador principal de ciberseguridad en G2, dice:

"Las escuelas son a menudo objetivos de ciberataques, como muchas otras organizaciones. Pero a menudo carecen de los recursos para protegerse adecuadamente. A pesar de carecer generalmente de personal con amplia formación en ciberseguridad, deben asegurarse de que todos los dispositivos estén configurados y actualizados correctamente y que los datos se almacenen de manera segura en cumplimiento.

Las escuelas están en una gran posición para ayudar a los estudiantes en la formación en ciberseguridad. Las herramientas de concienciación sobre seguridad pueden ayudar a introducir a los estudiantes en conceptos como el phishing, el malware y otras amenazas cibernéticas. Las escuelas con programas de ciencias de la computación también pueden utilizar la formación en código seguro para ayudar a los estudiantes a adoptar un enfoque centrado en la seguridad para la codificación y la ingeniería."

En los Estados Unidos, la Ley de Ciberseguridad K–12 de 2021, firmada el 8 de octubre de 2021, responde a los crecientes incidentes de seguridad de datos que afectan a las escuelas K–12 en los últimos años, incluyendo un aumento dramático en el ransomware y otras formas de malware. La ley autoriza al director de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) a realizar un estudio en 120 días sobre los riesgos específicos que afectan a las instituciones K–12. En los siguientes 60 días, CISA desarrollará recomendaciones para las directrices de ciberseguridad para las escuelas K–12, basadas en los resultados del estudio. Y dentro de los siguientes 120 días, creará un kit de herramientas de formación en línea para las escuelas K–12.

Los distritos escolares enfrentan el desafío de equilibrar la rápida adopción de nuevas tecnologías con la protección de la privacidad de los estudiantes y el personal. Es esencial comprender completamente cómo funciona una herramienta y cómo protege la privacidad de los estudiantes y se adhiere a las leyes de privacidad educativa, como la Ley de Derechos Educativos y Privacidad de la Familia (FERPA).

Desafíos en la ciberseguridad K-12

Mientras que Microsoft ha notado más de 8 millones de encuentros con dispositivos de amenazas cibernéticas en los últimos 30 días, el número de incidentes cibernéticos reportados públicamente es mucho menor. Desde 2016, solo en los Estados Unidos, ha habido 1,180 incidentes cibernéticos divulgados públicamente por escuelas y distritos, según datos del Centro de Recursos de Ciberseguridad K–12. Hubo 408 ataques reportados en 2020, lo que representa un aumento del 18% respecto a 2019, según el Informe de Estado de la Ciberseguridad K-12 de 2020.

Merry Marwig, CIPP/US, Analista Senior de Investigación de Mercado en G2 dijo:

Como la mayoría de los delitos, los delitos cibernéticos son a menudo delitos de oportunidad. Los hackers a menudo apuntan a las escuelas K-12 porque comúnmente carecen de programas de ciberseguridad robustos y los datos que los hackers pueden extraer pueden ser extremadamente valiosos en mercados ilícitos. Por ejemplo, archivos que contienen nombres de estudiantes, direcciones, números de seguro social y otra información personal identificable pueden ser vendidos a compradores inescrupulosos que luego pueden usar esos detalles personales para establecer préstamos fraudulentos. Y honestamente, la mayoría de los padres no están monitoreando los informes de crédito de sus hijos, por lo que estos préstamos fraudulentos pueden pasar desapercibidos durante años.

Es posible que las escuelas y distritos no necesariamente sepan cuándo ha habido un ataque, por lo que no pueden reportarlo o tomar medidas para mitigar riesgos futuros. Es crítico revisar el enfoque de la ciberseguridad K-12 para asegurar la defensa contra el cambiante panorama de amenazas.

Aquí hay cuatro desafíos de ciberseguridad, e ideas sobre qué se puede hacer para combatirlos:

Combinación de instrucción digital y presencial

El movimiento de "aprender desde casa" en respuesta a la pandemia global de COVID-19 trajo muchos cambios al sector educativo y es probable que algunos de estos permanezcan a medida que continuamos evolucionando. A los estudiantes y maestros se les dieron laptops, tabletas u otros dispositivos para acomodar el aprendizaje virtual. El cambio al aprendizaje digital permitió a los estudiantes permanecer en la escuela durante la pandemia. En el futuro, estos dispositivos de hardware y herramientas, como el software de aula virtual, permitirán una mayor flexibilidad y acceso al aprendizaje. Por ejemplo, las escuelas pueden permanecer abiertas durante el mal tiempo, o los estudiantes y maestros no tienen que tomarse un día escolar completo para una cita médica.

Este es un gran progreso, pero también puede introducir vulnerabilidades si la ciberseguridad no es una consideración primordial en las estrategias y políticas de aprendizaje digital. Durante los primeros días de la pandemia, vimos invasiones de clases y reuniones a través de hacks de videoconferencia, malware, invasión de correos electrónicos y ataques a sitios web y redes sociales. Para ayudar a detectar estos ataques, los administradores escolares deben invertir en herramientas de análisis de malware o software de respuesta a incidentes.

Estas amenazas continuarán creciendo a medida que los distritos escolares utilicen dispositivos para expandir el acceso al aprendizaje. Los administradores escolares necesitarán crear mejores prácticas y políticas para monitorear dispositivos y el acceso a aplicaciones de software. Es esencial asegurar que todos los dispositivos tengan las últimas actualizaciones y que los dispositivos sean escaneados en busca de malware antes de unirse a la red escolar.

Ataques de phishing

El phishing es uno de los ataques de ransomware más comunes. Los administradores escolares necesitan proporcionar formación y educación sobre concienciación de seguridad para el personal, estudiantes y padres para que puedan estar atentos a estos esquemas. Los funcionarios escolares deben invertir en software de formación en concienciación de seguridad. Estas herramientas ofrecen ataques simulados o correos electrónicos fraudulentos para ayudar a los empleados a identificar mejor el contenido malicioso antes de encontrarlo en escenarios de la vida real.

En el webinar El Estado de la Ciberseguridad, Seguridad y Privacidad K-12 de 2021, Doug Levin, Director Nacional de K12 SIX, comparte que desde 2016 hasta 2020, la cantidad media de dinero robado a los distritos escolares a través de campañas de phishing fue de 2 millones de dólares. Pero alcanzamos un nuevo récord en 2020, con 9.8 millones de dólares robados de un solo distrito escolar.

Las escuelas deben tener un plan sobre cómo responderían, así como un plan para prevenir estos ataques, como realizar simulacros de ciberseguridad, monitorear inicios de sesión sospechosos, evaluar datos internos y promover la educación y formación en ciberseguridad para estudiantes, personal y padres.

Recursos limitados

Los incidentes de ciberseguridad escolar vieron un aumento masivo durante el cambio al aprendizaje remoto en respuesta a la pandemia de COVID-19.

En un mundo ideal, el personal del distrito escolar tendría más tiempo y dinero para dedicar a la creación de políticas y prácticas de seguridad, tendrían los recursos e infraestructura en su lugar para apoyarlos en la implementación de programas de ciberseguridad, y tendrían directrices de ciberseguridad federales o estatales para ayudarlos en el camino. Sin esto, es poco probable que se actúe como una alta prioridad, si es que se actúa.

Pobre higiene de contraseñas

Todos hemos creado esas contraseñas fáciles de recordar: título de canción favorita, comida favorita, color favorito, el nombre de nuestra mascota más algunos números y caracteres especiales, y así sucesivamente. Son fáciles de recordar y pueden ser fácilmente hackeadas. Es probable que los estudiantes y el personal recurran a estas contraseñas simples cuando se enfrentan a la creación de credenciales para cuentas.

Como parte de su renovado enfoque en la ciberseguridad, las escuelas deben ser conscientes de esta amenaza e investigar soluciones de auditoría de contraseñas que puedan mitigar el riesgo. Para una mejor seguridad, las escuelas pueden usar software de autenticación multifactor para el acceso a cuentas o utilizar software de gestión de identidad y acceso (IAM).

¿Qué sigue?

Educadores y expertos en ciberseguridad están trabajando juntos para crear estándares y guías. Intercambio de Información de Seguridad de Jardín de Infancia a Duodécimo Grado (K12 SIX) es una comunidad sin fines de lucro de intercambio de inteligencia de amenazas para ayudar a los distritos escolares a prevenir y responder a las amenazas cibernéticas. K12 SIX ofrece formación en resiliencia de ciberseguridad para mantener a los distritos escolares funcionando y a los estudiantes aprendiendo. La colaboración es la única manera de mantenerse al día con las amenazas cibernéticas.