Las universidades en la diana de los ciberdelicuentes

La pandemia, con la docencia en línea y el trabajo remoto, ha aumentado la exposición de riesgo a ciberataques en las universidades. Un informe de BlueVoyant Review apunta que los ataques de ransomware contra campus se han duplicado en 2020. Las vulnerabilidades han crecido, como en muchos otros sectores, pero los datos y las investigaciones relacionadas con la Covid-19 se han convertido en objetivo de los ciberdelincuentes. Todo un ecosistema que ha hecho que la ciberseguridad sea ahora más importante de lo que había sido nunca.

Photo by Clint Patterson on Unsplash

A medida que la pandemia avanzaba, las universidades han tenido nuevas experiencias, oportunidades, pero también nuevos retos o desafíos. Aunque no es nuevo que los campus sean el blanco de ataques informáticos y hackers, la docencia online y el teletrabajo con escritorios remotos, bases de datos en línea y uso de dispositivos personales han hecho que los incidentes de seguridad sean cada vez más frecuentes. Esta tendencia no es exclusiva del ámbito universitario, sino que afecta a todo tipo de organizaciones y administraciones. Un ejemplo son el reciente ciberataque a la mayor red de oleoductos de EE.UU., que ha obligado a declarar el estado de emergencia regional, y, aquí en España, al proveedor en la nube ASAC que ha afectado a diversos servicios públicos como los Ayuntamientos de Oviedo y Vinaròs, la Fundación Española para la Ciencia y la Tecnología (FECYT) o el Tribunal de Cuentas. A esa lista se suman también los casos del Servicio Público de Empleo Estatal (SEPE) o del Ayuntamiento de Castelló de la Plana, por mencionar algunos de los que han trascendido. En un nuevo contexto de trabajo remoto, el creciente uso de nuevas tecnologías de terceros, como las aplicaciones de videollamadas, han abierto las puertas a nuevas brechas de seguridad y vulnerabilidades. Los ciberdelincuentes están al acecho y buscan hacerse con un buen botín: datos personales, sistemas financieros y, especialmente en el último año, información y redes de investigación del Sars-CoV-2.

Fuente: @empleo_SEPE

Incidentes de seguridad con pago de rescates

La Oxford University confirmó, el pasado mes de febrero, que el laboratorio que estudia la Covid-19 había sufrido un ciberataque, según adelantó Forbes. De este último año, también ha trascendido el caso de la University of California San Francisco quien reconoció, tras ser atacada en junio pasado, haber pagado “parte del rescate, aproximadamente 1,14 millones de dólares, a cambio de una herramienta para desbloquear los datos cifrados y la devolución de los datos obtenidos”. La University of Utah también reconoció el desembolsó de 457.000 dólares el verano pasado tras un ataque de ransomware. Según la propia universidad, aproximadamente el 0,02% de los datos de los servidores se habían visto afectados, entre ellos información sobre empleados y estudiantes.

Comunicados de la University of California y la University of Utah en sus páginas web tras los ataques sufridos el verano pasado

Pero el pago del rescate no garantiza la recuperación de los datos. Según el estudio The State of Ransomware 2021 de Sophos, el 92% de las organizaciones víctimas de ransomware no llegan a recuperar la totalidad de los datos incluso habiendo pagado a los ciberdelincuentes. El sector retail y el educativo son los que están siendo más víctimas de ataques ransomware en el último año en todo el mundo y los criminales, cada vez más, optan primero por la extorsión antes de encriptar los datos. Varias universidades británicas también fueron objetivo de este tipo de ataques en julio pasado. El propósito del ciberataque, en este caso, era el proveedor de servicios informáticos en la nube Blackbaud, según publicó la BBC. Y en septiembre fueron las universidades de Northumbria y Newcastle las afectadas.

Ataques en España

La UCLM confirmó el pasado 19 de abril una intrusión del tipo ransomware Fuente: @uclm_es

El caso más reciente es el de la Universidad de Castilla-La Mancha (UCLM) que informó, el pasado 19 de abril, que había sufrido un ciberataque ransomware. Según la propia institución, fue como consecuencia de un programa malicioso identificado como Ryuk, el mismo que semanas antes afectó al SEPE, mencionado anteriormente. Según confirmó el Área de Tecnología y Comunicaciones del campus, fue “un ataque premeditado y dirigido contra la infraestructura crítica de la Universidad que ha cifrado servidores esenciales para el funcionamiento habitual” aunque “el impacto del cifrado en las bases de datos ha sido limitado”. LA UCLM denunció el ataque al Centro Criptológico Nacional Computer Emergency Response Team (CCN-CERT), que es el organismo encargado de velar por la ciberseguridad de la administración y los organismos públicos. Progresivamente, fue recuperando y reactivando los diferentes servicios digitales e incrementó los niveles de seguridad implementando, entre otras medidas, la autenticación multifactorial.

La UCLM confirmó que el ransomware identificado era Ryuk, el mismo que afectó al SEPE Fuente: @uclm_es

Lamentablemente, tampoco ha sido el único caso de los últimos meses en España. Hace justo un año, la Universidad de Cádiz también denunció ante la Policía Nacional haber sufrido un ciberataque contra cientos de sus cuentas corporativas de correo electrónico. Y en enero de este año, la Universidad de Granada reconoció que sus sistemas habían sufrido un ataque que impedían el acceso externo a algunos usuarios a las web corporativas.

La Universidad de Granada confirmó en enero que había sufrido un ataque Fuente: @CanalUGR

El doble de ataques de ransomware contra universidades en 2020

Los de ransomware son los ciberataques más temidos y caros ya que secuestran datos o restringen el acceso a determinadas partes o archivos del sistema encriptando la información, a cambio de un rescate. Muchas veces estos programas maliciosos entran en los sistemas gracias a un troyano que se infiltra previamente en un equipo y queda oculto a la espera de vender a otra organización ese acceso. Este era el modus operandi de Emotet, una de leas redes de ciberdelincuencia más profesionales, que consiguió infectar miles de ordenadores de todo el mundo y que fue desmantelada a principios de año en una operación conjunta en ochos países.

“El coste de una violación de datos en el sector educativo puede llegar a superar los 3 millones de dólares, según el Cost of Data Breach Report 2020 realizado por Ponemon Institute y publicado por IBM Security”.

Según el informe Ciberseguridad en la Educación Superior 2021' de BlueVoyant Review, los ataques de ransomware contra centros universitarios se han doblado en 2020, respecto el año anterior. Tras analizar 2.700 universidades de 43 países del mundo, este informe deja algunos datos preocupantes:

• Más de la mitad de los centros carecen de todas las configuraciones básicas de seguridad de correo electrónico.
• Más de una quinta parte de todas las universidades tienen puertos de escritorio remoto abierto o no seguros.
• Casi el 40% tiene puertos de base de datos abiertos o no seguros.

Fuente: BlueVoyant

El ENS regula los principios básicos y requisitos para garantizar adecuadamente la seguridad de la información en los servicios públicos

En España todas las administraciones públicas, desde ayuntamientos a ministerios, deben ajustarse a las medidas que recoge el Esquema Nacional de Seguridad (ENS), tal y como marca el Real Decreto 3/2010. En este sentido, la Universitat Jaume I (UJI) de Castelló fue pionera en conseguir la certificación ENS, junto a la Universidad de Granada y la Universidad de València. Para prevenir posibles ataques o mitigar sus efectos, desde la UJI, además, se adoptan las herramientas que pone a disposición el Centro Criptológico Nacional (CCN-CERT).

2 de cada 10 incidentes de ciberseguridad en España se registran en la ReIRIS

Durante el 2020, el Instituto Nacional de Ciberseguridad (INCIBE) ha gestionado 133.155 incidentes, un 24% más respecto el año pasado. El incremento se ha registrado tanto en operadores estratégicos como en ciudadanos y empresas. En cambio, han disminuido los incidentes detectados en la Red Académica de Investigación RedIRIS. En concreto, se han notificado 25.499 incidentes, 8.244 menos que el año 2019. Un 35% de las incidencias correspondían a malware, un 32% a fraudes como suplantación de identidad, violación de los derechos de propiedad intelectual o engaños económicos y un 17% a fallos o deficiencias del sistema vulnerable.

Balance de ciberseguridad de INCIBE durante el 2020 Fuente: INCIBE

Tendencias en gestión de riesgos y seguridad

Las vulnerabilidades de Microsoft Exchange, que han puesto en riesgo información de empresas y entidades gubernamentales, la proliferación de los ataques de ransomware y el incremento de los incidentes con la fuga de datos personales están marcando la situación de riesgo de la ciberseguridad en este inicio de 2021.

Agència de Ciberseguretat de Catalunya on LinkedIn: Tendències de Ciberseguretat de març de 2021…

Implementar el concepto de malla de ciberseguridad, poner la identidad en el centro de la seguridad o establecer sistemas de simulación de infracciones y ataques son algunas de las tendencias de gestión de riesgos y seguridad para 2021 que ha identificado Gartner.

Tendencias en gestión de riesgos y ciberseguridad Fuente: Gartner

¿Cómo reducir el riesgo?

Aunque hay que ser conscientes que no se puede blindar la seguridad de una organización al 100%, sí se pueden adoptar medidas de prevención y promover buenas prácticas de seguridad, sobre todo teniendo en cuenta que el origen de la mayoría de los ciberataques está en el fallo humano:

• Actualización de sistemas operativos, aplicaciones y antivirus.
• Obligación de la autenticación multifactor mediante un inicio de sesión único.
• Desarrollo de líneas de base y alertas de anomalías para todos los inicios de sesión.
• Política de regulación de contraseñas robustas, acompañada de formación y concienciación de los usuarios.
• Implementación de seguridad en el correo electrónico. El phishing es aún el origen del 90% de los ciberincidentes.