Los ciberataques contra las universidades se han incrementado desde el año pasado. Aunque los delincuentes utilizan diversas vías para implementarlos la más común es, por mucho, el correo electrónico. Y todo apunta a que los mensajes maliciosos o phishing continuarán siendo la mayor fuente de amenazas, sobre todo cuando se trata de ataques de ingeniería social.
Los correos con phishing suelen tener como objetivo la recolección de datos personales que luego pueden ser utilizados para fraudes bancarios o para robar la identidad del afectado. También sirven para infectar las computadoras de las víctimas y utilizarlas para distribuir por las redes universitarias programas de ransomware. Entre los que más peligro representan para las universidades se encuentra NetWalker. En julio del año pasado, un ataque con este malware sufrido por la Universidad de California en San Francisco (UCSF) derivó en el pago de un rescate de 1.14 millones de dólares. El siguiente mes, la Universidad de Utah debió pagar a su vez 457,000 dólares para recuperar datos secuestrados con el mismo ransomware.
De acuerdo con información de la firma de ciberseguridad BlueVoyant, además de NetWalker, los cibercriminales emplearon con más frecuencia los programas denominados Clop, Ryuk y DoppelPaymer en sus ataques contra las universidades. Por su parte, la firma Emsisoft reportó que, tan sólo en Estados Unidos, el año pasado hubo al menos 26 episodios de ransomware que afectaron universidades.
El peligro de sufrir un secuestro de datos se agudiza cuando los hackers emplean ataques de ingeniería social para crear señuelos más efectivos y engañar con más facilidad a sus potenciales víctimas. Para contrarrestar el peligro, el personal de TIC debe utilizar herramientas que proporcionen visibilidad sobre los posibles objetivos para detectar cuando sean atacados y saber con certeza si siguieron algún enlace malicioso.
Redes sociales, fuente de datos
Por supuesto, resulta esencial utilizar herramientas capaces de detectar y bloquear los correos electrónicos con phishing antes de que lleguen a la bandeja de entrada. Como los ciberdelincuentes pueden utilizar cuentas secuestradas para engañar a los usuarios, conviene recurrir a la autenticación de mensajes basada en dominios, informes y conformidad (Domain-based Message Authentication, Reporting and Conformance, DMARC). Las soluciones de seguridad más completas pueden utilizar políticas de bloqueo y cuarentena personalizadas, tanto para los correos externos como para los internos.
Sin embargo, el solo empleo de soluciones automatizadas no es suficiente los ataques de ingeniería social. Para perpetrarlos, los criminales se valen de redes sociales como LinkedIn y Facebook, además de motores de búsqueda, para estudiar los perfiles de las personas y comprender sus roles y funciones dentro del organigrama de la universidad cuyas redes pretenden infiltrar. Con dicha información, buscan convertir a los destinatarios de los mensajes en ayudantes involuntarios para acometer el ataque. Inclusive, pueden asumir la identidad de funcionarios escolares para impartir instrucciones que, de ser ejecutadas, abren las puertas para perpetrar el delito.
Capacitación contra los ataques de ingeniería social
Si bien este tipo de ataques son difíciles de detectar con las herramientas de seguridad convencionales, al capacitar a los estudiantes, profesores y personal administrativo sobre cómo identificar los correos electrónicos maliciosos e informar de su llegada, las universidades pueden reducir el riesgo significativamente. Además, eso facilita determinar cuáles usuarios pueden ser más susceptibles de convertirse en blanco de los ataques de ingeniería social.
Ante esta modalidad de amenazas, la estrategia de ciberseguridad debe poner el acento en proteger no sólo a los dispositivos y las redes, sino a sus usuarios en primer lugar. Esto implica reforzar la correcta capacitación para que todos aprendan y apliquen las mejores prácticas de ciberseguridad. No basta con el mero cumplimiento de las pautas de privacidad de datos establecidas en las leyes.
Debido al alto valor de los datos que recopilan y procesan las universidades no se prevé que se produzca una reducción de los ataques. Al contrario. Es por ello que cobra relevancia el entrenamiento para que todos los usuarios de los sistemas y herramientas TIC en la educación, sobre todo en aquella impartida a distancia, sean capaces de detectar los ataques de ingeniería social y sepan cómo responder a ellos para evitar que provoquen daño.