El sector educativo es el más castigado por el ransomware
La llegada del fin del verano trae consigo la vuelta al cole, momento en que todos los miembros de la comunidad educativa se preparan para el nuevo año escolar. Con cada curso que empieza, los centros educativos aumentan su innovación tecnológica e implementan soluciones para avanzar en su digitalización.
Estos avances han aportado numerosos beneficios para alumnos y docentes, pero también la llegada de algunas consecuencias negativas. Sophos, líder mundial en innovación y ciberseguridad como servicio, ha publicado un nuevo informe sectorial, "El estado del ransomware en el sector educativo 2023", que revela que el sector educativo registró la mayor tasa de ataques de ransomware en 2023. En la encuesta de 2023, el 79% de las organizaciones de educación superior encuestadas informaron haber sido atacadas por ransomware, mientras que el 80% de las organizaciones de educación primaria encuestadas fueron atacadas. En 2022, los ataques denunciados por el sector educativo se cifraron en un 64% y un 56%, respectivamente, datos que ilustran el aumento de ciberataques sufridos por las organizaciones educativas en 2023.
El sector registró una de las tasas más altas de pago de rescates, pues más de la mitad (56%) de las organizaciones de educación superior y casi la mitad (47%) de las organizaciones de educación primaria accedieron a pagar. Sin embargo, el pago del rescate aumentó significativamente los costes de recuperación tanto para las organizaciones de enseñanza superior como para las de enseñanza primaria. Los costes de recuperación de las organizaciones de educación superior que pagaron el rescate fueron de 1,31 millones de dólares (excluyendo la cifra pagada por el rescate), frente a 980.000 dólares cuando utilizaron copias de seguridad. En el caso de las organizaciones de educación primaria, los costes medios de recuperación fueron de 2,18 millones de dólares cuando pagaron el rescate frente a 1,37 millones de dólares cuando no pagaron.
Además del aumento de los costes, el informe revela que el pago del rescate también alargó los plazos de recuperación de las víctimas. En el caso de las organizaciones de educación superior, el 79% de las que utilizaron copias de seguridad se recuperaron en un mes, mientras que sólo el 63% de las que pagaron el rescate lo hicieron en el mismo plazo. En el caso de las organizaciones de educación primaria, el 63% de las que utilizaron copias de seguridad se recuperaron en el plazo de un mes, frente a sólo el 59% de las que se decantaron por pagar un rescate.
"Aunque la mayoría de los centros escolares no tienen mucho presupuesto, son objetivos muy visibles con un impacto generalizado inmediato en sus comunidades. La presión para mantener las puertas abiertas y responder a las llamadas de los padres para 'hacer algo' probablemente aumenta la presión para resolver el problema lo antes posible sin tener en cuenta el coste. Desafortunadamente, los datos no demuestran que el pago de rescates resuelva estos ataques con mayor rapidez, pero es probable que sea un factor determinante para los delincuentes a la hora de elegir víctimas", afirma Chester Wisniewski, director de tecnología de Sophos.
Otras conclusiones clave del informe son:
• Los exploits y las credenciales comprometidas representaron más de tres cuartas partes (77%) de los ataques de ransomware contra organizaciones de enseñanza superior; estas causas fundamentales representaron más de dos tercios (65%) de los ataques contra organizaciones de enseñanza primaria.
• La tasa de encriptación se mantuvo más o menos igual para las organizaciones de educación superior (74% en 2021 frente al 73% en 2022), pero aumentó del 72% al 81% en las organizaciones de educación primaria durante el año pasado. El 27% de estas afirmó que también robaron sus datos, cifra que alcanzó el 35% en el caso de las organizaciones de educación superior. Esto sugiere que el método de doble ataque se está convirtiendo en habitual.
• Las organizaciones de enseñanza superior declararon un índice de utilización de copias de seguridad menor que la media intersectorial (63% frente a 70%). Se trata de la tercera tasa más baja de uso de copias de seguridad de todos los sectores. Por otro lado, las organizaciones de enseñanza primaria tienen un índice de uso de copias de seguridad ligeramente superior a la media global (73%).
"El uso indebido de credenciales robadas es habitual en todos los sectores por parte de los delincuentes que se dedican al ransomware, pero la falta de adopción de la tecnología de autenticación multifactor (MFA) en el sector educativo hace que corran aún más riesgo de sufrir este método de ataque. Al igual que la iniciativa del gobierno federal de EE.UU. de obligar a todas las agencias a utilizar MFA, es hora de que las escuelas de todos los tamaños empleen MFA para el profesorado, el personal y los estudiantes. Es un buen ejemplo y una forma sencilla de evitar que muchos de estos ataques se cuelen por la puerta principal", afirmó Wisniewski.
Tanto las organizaciones de enseñanza superior como la educación primaria y secundaria han demostrado una mayor vulnerabilidad frente a ataques de ransomware. Ante esta situación los expertos y profesionales de Sophos recomiendan poner en práctica las siguientes recomendaciones para fortalecer la defensa contra el ransomware y otros ciberataques:
• Reforzar las defensas con:
o Herramientas de seguridad que defienden contra los vectores de ataque más comunes, incluyendo la protección de endpoints con fuertes capacidades anti-exploit para prevenir la explotación de vulnerabilidades, y Zero Trust Network Access (ZTNA) para frustrar el abuso de credenciales comprometidas.
o Tecnologías adaptativas que responden automáticamente a los ataques, desestabilizando a los adversarios y dando tiempo a los defensores para reaccionar.
o Detección, investigación y respuesta a las amenazas 24 horas al día, 7 días a la semana, ya sea de forma interna o a través de un proveedor especializado en detección y respuesta gestionadas (MDR).
• Optimizar la preparación ante ataques, lo que incluye realizar copias de seguridad periódicas, practicar la recuperación de datos de las copias de seguridad y mantener actualizado un plan de respuesta ante incidentes.
• Mantener una buena higiene de seguridad, incluyendo la aplicación oportuna de parches y la revisión periódica de las configuraciones de las herramientas de seguridad.