El robo de información es una amenaza constante para las universidades. Una manera en que esto ocurre es mediante la exfiltración de datos (data exfiltration). Consiste en la copia, transferencia o recuperación remotas no autorizadas de los datos alojados en un servidor o computadora. Las universidades son objeto de estos ataques pues tienen datos valiosos para los hackers. Entre otros: información personal de estudiantes y personal; resultados de investigaciones, y registros financieros. Y el problema se ha agravado con el incremento de los ataques de ransomware de doble extorsión.
Ahora bien, evitar la exfiltración de datos es una tarea titánica para las universidades. Se debe, sobre todo, a que el acceso a Internet es necesario para sus labores y forma parte medular de sus infraestructuras de redes. De hecho, para facilitar el acceso de estudiantes y profesores a la web, las conexiones salientes desde los campus suelen monitorearse con menos severidad que las entrantes.
Ante esta situación, existen tres acciones claves para mitigar la exfiltración de datos: segmentar y aislar redes; aplicar políticas rigurosas de acceso, y controlar los protocolos utilizados para la transferencia de datos.
Aislar para controlar
●Segmentación y aislamiento. El primer paso debe ser la segmentación de los centros de datos del campus. En especial, se deben aislar e identificar los espacios de almacenamiento en los que cada departamento individual guarda sus datos. Qué tan granular sea dicha segmentación depende, básicamente, de los recursos disponibles y las aplicaciones utilizadas. Una buena manera de hacerlo consiste en comenzar con segmentos grandes y subdividirlos conforme se mapean con precisión las cargas de las aplicaciones y los recursos que utilizan.
●Políticas de acceso rigurosas. La mayoría de las universidades basan el control de acceso a sus redes en la gestión centralizada de identidades. Combinarla con redes LAN virtuales permite suficiente granularidad para aplicar las políticas de seguridad pertinentes para cada usuario.
Exfiltración de datos y protocolos de transferencia
●Controlar los protocolos. Existen tres vías principales utilizadas para la exfiltración de datos mediante las redes universitarias: protocolos cifrados estandarizados; protocolos no estándar, y técnicas esteganográficas.
○Los atacantes buscan utilizar protocolos cifrados estandarizados porque su tráfico se pierde en el ruido, especialmente en los campus grandes. Es el caso del protocolo seguro de transferencia de hipertexto (HTTPS) o el protocolo de copia segura (SCP). Con ellos se complica mucho distinguir entre un robo de datos y una transferencia legítima de información.
Utilizar servidores proxy y dirigir el tráfico a soluciones de prevención de pérdida de datos (DLP) puede bastar para proteger los datos estructurados. Sin embargo, las universidades también generan un porcentaje importante de datos no estructurados.
Una alternativa consiste en monitorear el volumen de los datos. La exfiltración de datos suele implicar la transferencia desde gigabytes hasta terabytes de información. Esto es porque los hackers pueden así revisar la información a su aire, fuera del ecosistema TIC de las universidades. Ahora bien, la mayoría de los firewalls y soluciones DLP pueden identificar y bloquear dichas transferencias, pero deben estar bien configurados para ello. Inclusive, las soluciones más actualizadas pueden verificar hacia cuáles direcciones IP se intenta transmitir los datos y bloquearlas según su reputación.
○Para prevenir el uso de protocolos y puertos no estándar para la exfiltración de datos la mejor opción es bloquearlos, sin excepción. En todo caso, aunque genere algún retraso, es preferible verificar que se trata de solicitudes legítimas.
○La esteganografía consiste en transmitir información encriptándola en protocolos legítimos. Al igual que con el caso anterior, conviene en bloquear y revisar por defecto este tipo de solicitudes.
Si bien evitar la exfiltración de datos de las universidades es casi imposible, puede mitigarse en gran medida con las acciones mencionadas.