Todas las instituciones educativas deberían ser conscientes de que los delincuentes cibernéticos ganan dinero al robar información personal y luego venderla en el mercado negro a otros criminales, que a su vez convierten los datos en efectivo mediante una serie de tácticas fraudulentas. ¿Por qué necesitan saber esto los administradores escolares y los educadores?
Porque todos los tipos de escuelas (desde los colegios primarios hasta los secundarios y las instituciones de enseñanza superior) ahora cuentan con bases de datos repletas de información personal de profesores, empleados y estudiantes. Para los ciberdelincuentes, a quienes no les importa a quiénes les roban los datos, estos grandes repositorios de datos personales constituyen un objetivo atractivo.
Este artículo presenta diez medidas de seguridad críticas que las escuelas deberían aplicar para defenderse ante el cibercrimen y el robo de información. Pero, antes que nada, repasemos rápidamente el alcance del problema:
- El 18 de febrero de 2014, la Universidad de Maryland resultó víctima de un ataque de seguridad informática que dejó al descubierto registros con información personal identificable.
- Una semana más tarde, la Universidad de Indiana anunció que un error del personal había dejado expuesta información sobre 146.000 estudiantes por un lapso de 11 meses.
- Otra semana después, el Sistema de Universidades de Dakota del Norte informó que habían atacado un servidor con los nombres y Números de Seguro Social de más de 290.000 alumnos y ex alumnos, y alrededor de 780 profesores y empleados.
Sin duda, están atacando las redes educativas. Lo que es más, el público está mucho más sensible con respecto a la privacidad de sus datos desde el ataque a Target el año pasado. Dicho suceso llevó al crimen informático a la primera plana de todos los periódicos, lo que significa que ya no puedes hacerte el sorprendido si los delincuentes vienen a buscar los datos de tus sistemas. A esta altura, todo el mundo sabe que hay un floreciente mercado clandestino para las credenciales robadas, desde tarjetas de crédito y débito hasta Números de Seguros Social y accesos a redes VPN. Por esa razón, a continuación explicamos las diez medidas de defensa que necesitas saber:
1. Capas de protección
No esperes que un producto de seguridad por sí solo te proteja ante todas las amenazas posibles para tus sistemas y tus datos. Sin duda, deberás asegurarte de tener un paquete antimalware en todas las partes de la red (no olvides los smartphones, las tabletas Android, los servidores Linux y los equipos Mac, además de tus equipos Windows). Pero también deberías tener un firewall en la puerta de enlace de la red escolar así como en todos los equipos individuales (ya sean tuyos, de concesiones, de estudiantes, de profesores y de empleados).
Todos los datos importantes, como las notas, las finanzas o la información personal deben estar cifrados mientras están almacenados (tanto en servidores como en estaciones de trabajo) y cada vez que salen de los equipos, por ejemplo, cuando se envían por correo electrónico o se copian a smartphones o a memorias USB.
2. Implementa el principio del menor privilegio posible
El principio del menor privilegio posible simplemente significa que ninguna persona, equipo o sistema debe tener acceso a cosas que no son estrictamente necesarias. Por ejemplo: los datos financieros de un estudiante deberían alojarse en un sector diferente de la red, de modo que sean inaccesibles para quienes no necesitan trabajar con dichos datos.
Por otra parte, de ser necesario, muy pocas personas deben tener un acceso con derechos de administrador en sus propias máquinas (algunos se sobresaltan con esta sugerencia, pero esa es la forma en que administramos los equipos aquí en ESET). Cuando es realmente necesario que tengan derechos de administrador, solo deberían usar su cuenta con privilegios mientras están haciendo las tareas que la requieran.
Siempre que puedas restringir el acceso sin que interfiera en la capacidad de las personas para hacer su trabajo, restríngelo. Recuerda: el ataque a las terminales de puntos de venta de Target fue posible gracias a un proveedor que tenía acceso a algunos de los gigantescos equipos de la tienda minorista.
3. Actualiza, actualiza, actualiza
Aplicar actualizaciones y revisiones a todo el software es una de las cosas más importantes que puedes hacer para minimizar las vulnerabilidades que pueden aprovechar los delincuentes para ingresar silenciosamente a tus equipos. Cuando se administran sistemas complejos, muchas veces se prueban las actualizaciones antes de implementarlas; sin embargo, ten cuidado de mantener las demoras que este proceso implica en un mínimo.
Los delincuentes están siempre al acecho de vulnerabilidades no corregidas. Y nunca olvides que no son solo tus sistemas operativos y tus aplicaciones los que necesitas mantener actualizados: también hay aplicaciones auxiliares utilizadas por los navegadores, como Java, Flash, Adobe, etc., que requieren revisiones.
De hecho, los riesgos por no aplicar las actualizaciones lo antes posible probablemente sean mucho más graves que omitir las pruebas antes de su implementación. Si la implementación inmediata en el sistema completo no resulta práctica, al menos inicia una serie de implementaciones de revisiones en forma inmediata en un grupo pequeño de equipos representativos y luego expande la implementación a subgrupos más grandes apenas sea práctico, hasta que todos los equipos bajo tu control estén actualizados.
Actualizar los equipos que no controlas ya es un problema completamente distinto; considera bloquear los inicios de sesión a tus redes (habiendo informado apropiadamente de antemano y otra vez cuando se aplique el bloqueo) en todos los equipos que no se hayan actualizado, al menos en lo que respecta a vulnerabilidades críticas.
4. Las contraseñas no son suficientes
Si estás protegiendo una cantidad muy grande de datos personales identificables, una sola contraseña puede no ser suficiente. Considera implementar la doble autenticación (2FA). Esto puede ser un control biométrico, como una huella digital, o una clave de un solo uso provista a los usuarios mediante una pequeña tarjeta de claves digitales o un token de hardware.
Un desarrollo más reciente es el uso de smartphones para suministrarles a los usuarios la clave de un solo uso; estos sistemas son relativamente económicos y, aún así, sumamente seguros. Los estudiantes que usan redes sociales como Facebook y Twitter ya deberían estar familiarizados con la noción de 2FA, ya que dichos servicios lo usan para prevenir el acceso no autorizado.
5. Asegúrate de que todos los profesores, alumnos y personal estén eligiendo buenas contraseñas
A pesar de la existencia de claves de un solo uso y otros medios de autenticación como los controles biométricos, es probable que las contraseñas sigan estando con nosotros por un largo tiempo más; por lo tanto, asegúrate de que todos sepan cómo hacerlas resistentes a ataques.
Una buena contraseña es única, fuerte, fácil de recordar para el usuario pero difícil de adivinar para otros. Eso significa que debería ser larga, incluso puede ser una frase en lugar de una o dos palabras. Debería contener letras en minúsculas y mayúsculas, números y caracteres especiales. Hay un artículo muy popular sobre la selección de contraseñas, que incluye vínculos a información relacionada con las contraseñas, escrito por mi colega David Harley.
Lo principal: cada sitio o servicio que requiera una contraseña debe tener asignada una contraseña diferente. Si a los usuarios les cuesta mucho recordar varias palabras clave, considera implementar un sistema de inicio de sesión único (single sign-on) o una aplicación de administración de contraseñas que ayude a los alumnos y empleados a crear contraseñas fuertes y hacer un seguimiento de dichas contraseñas para todos los dispositivos diferentes.
6. Prohíbe que se compartan las credenciales
Las escuelas y universidades suelen ser lugares amigables donde las personas colaboran estrechamente en sus trabajos, por lo que para muchos es natural compartir nombres de usuario y contraseñas con colegas o dejar los equipos abiertos conectados a la red con su propio usuario. Lamentablemente, esta conducta puede perjudicar totalmente una de las mejores armas que tenemos para proteger los equipos: el análisis de registros.
Si los sucesos guardados en los registros no se pueden atribuir con certeza a la persona que los ejecutó, resultará muy difícil descubrir lo que realmente ocurrió cuando algo salga mal. Así como de vez en cuando deberías ejecutar un programa descifrador de contraseñas durante los inicios de sesión en la red para asegurarte de que nadie esté usando cosas como “qwerty” o “87654321″, también deberías verificar en el acto que cuando “juanperez” inicia la sesión en "servidordearchivos3", ¡no se trate en cambio de Pedro!
7. Cifra los datos en todas partes
Ya mencionamos este tema en la sección "Capas de protección", pero vale la pena recalcarlo. Cuando tenemos algo valioso, lo cerramos bajo llave mientras no se usa. Lo mismo ocurre con los datos: si tienes información valiosa, debe estar cifrada mientras no se usa directamente. Es decir, "Si está almacenado, cífralo." Cuando se necesita acceder a los datos o se envían a través de la red, deben enviarse mediante una conexión cifrada. De esta forma minimizamos la capacidad de los delincuentes de obtener información útil, aunque logren atravesar tus otras defensas.
8. Realiza copias de seguridad
Las copias de seguridad de los datos y los sistemas constituyen la última línea de defensa (y la mejor) ante los delincuentes destructivos. En el caso de una amenaza como el secuestro de información o ransomware, puede ser la única forma de ganarles a los malos. Quizás quieras considerar hacer la copia de seguridad en la nube, pero hazlo como un complemento y no como un reemplazo de las copias de seguridad locales, que se comprueban y almacenan en forma segura.
9. Capacitación de seguridad y toma de conciencia
No vamos a profundizar sobre este punto porque, como miembro de una institución educativa, ya deberías estar al tanto de que las capacitaciones de seguridad y la toma de conciencia de empleados y alumnos es imprescindible, y que realmente puede ser un mecanismo de protección muy satisfactorio. No puedes pretender que todos sigan las medidas de seguridad a menos que expliques cómo funcionan y por qué son necesarias.
10. Rompe definitivamente con el pasado
Cuando los empleados rotan de empleo y los alumnos dejan la institución, asegúrate de modificar sus credenciales consecuentemente. En muchos casos, esto significa cerrar sus accesos a los sistemas de la escuela. El uso de credenciales "persistentes" que tendrían que haberse suspendido es una de las formas más comunes del abuso "interno" de sistemas.
Y si los profesores, empleados y alumnos se van abruptamente y no quedan en buenos términos, es imprescindible cancelar todos sus accesos de inmediato. Además, se debería hacer una verificación de las cuentas de usuario autorizadas al menos una vez al año para eliminar permisos que ya no son apropiados.
Sin duda, hay muchas más cosas que las escuelas pueden hacer para proteger sus sistemas, pero estas 10 medidas serán de mucha utilidad y, cuando se usen en conjunto, pueden combatir a muchos atacantes.
A pesar de que existen muchos delincuentes allí afuera que ven como presa fácil los datos personales identificables almacenados en sistemas gubernamentales y educativos, con la aplicación de estas medidas de seguridad puedes lograr que tus datos y sistemas sean objetivos mucho menos atractivos.
Para obtener más información sobre soluciones que te pueden ayudar a mejorar la seguridad de tu institución, haz clic aquí.
Traducción del post de Bruce Burrell en We Live Security.