A través de un comunicado publicado de forma conjunta en el día de ayer por la Agencia de Ciberseguridad e Infraestructura (CISA) de los Estados Unidos, el FBI y el centro MS-ISAC, advierten sobre el incremento de la actividad por parte de actores maliciosos apuntando a instituciones educativas de nivel inicial y primaria (K-12) y lanzando ataques de ransomware, así como otro tipo de ataques que tienen como objetivo el robo de información o la interrupción de los servicios que utilizan para las clases a distancia.

El comunicado agrega que los actores de amenaza probablemente están viendo en las instituciones educativas una oportunidad y se espera que esta actividad se mantenga durante el año académico en 2021.

A diferencia de otro tipo de organizaciones, los centros educativos de primaria y/o kindergarten no suelen estar lo suficientemente preparados para lidiar con este tipo de amenazas. Por otra parte, si bien esta advertencia está enfocada en el comportamiento detectado en los Estados Unidos, los grupos criminales responsables de muchos de estos ataques, como las bandas de ransomware, operan a nivel global, por lo que no sería extraño ver que este escenario se repita en otros países del mundo.

En este mes de diciembre, tanto CISA, como el FBI y el centro MS-ISAC aseguran que continúan recibiendo reportes de estas instituciones educativas que sufren la interrupción de sus clases a distancia producto del accionar de actores maliciosos.

En lo que respecta a los ataques de ransomware, las tres organizaciones afirman haber recibido numerosos reportes por parte de este tipo de instituciones a lo largo de este 2020. Dichos ataques apuntan a sus sistemas informáticos y provocan la interrupción de su dinámica de clases a distancia. Además, también se ha visto el uso de tácticas como el secuestro de información y la posterior extorsión a menos que paguen el rescate demandado, una estrategia que comenzaron a implementar a fines de 2019 algunas bandas de ransomware y que como ya vimos se consolidó este 2020.

Por otra parte, los incidentes de ransomware en este sector pasaron de representar el 28% entre enero y julio para alcanzar el 57% entre agosto y septiembre. Las familias de ransomware qué más comúnmente se han reportado contra estas instituciones fueron Ryuk, Maze, Neflilim, AKO y Sodinokibi; esta última también conocida como REvil.

En el caso de los ataques de malware a escuelas y kindergarten, el comunicado advierte la prevalencia de 10 familias de malware, entre las que se destacan Shlayer y ZeuS. Estos códigos maliciosos no apuntan exclusivamente al sector de la educación, sino que también afectan a otro tipo de organizaciones.

En el caso de Shlayer se trata de un troyano que apunta a dispositivos MacOS y se distribuye fundamentalmente a través de sitios web comprometidos, dominios secuestrados y anuncios maliciosos que se hacen pasar por falsas actualizaciones de Adobe Flash. En el caso de ZeuS, se trata de un troyano que apunta a equipos que utilizan Windows y es utilizado para robar información de los equipos comprometidos.

Otro tipo de amenaza que advierte el informe corresponde a ataques de denegación de servicio distribuido (DDoS), los cuales provocan la interrupción de servicios de terceras partes que son utilizados para las clases a distancia. En septiembre por ejemplo, las autoridades detuvieron a un joven de 16 años por ser el responsable de una serie de ataques de DDoS a escuelas públicas en el condado de Miami-Dade.

En el caso de las aplicaciones para realizar videoconferencias, desde el mes de marzo comenzaron a reportarse ataques apodados como zoombombing, en los cuales los usuarios desconocidos irrumpen en las clases para acosar verbalmente a estudiantes y docentes. Como hemos reportado a comienzos de este año, esta problemática afectó a varias plataformas, como Zoom o Whereby.

Asimismo, las tres organizaciones advierten que es de esperarse que los actores maliciosos continúen aprovechando las oportunidades para explotar el contexto de la educación a distancia, ya sea a través de ataques de ingeniería social a través del correo solicitando información personal de estudiantes, buscando robar credenciales, redirigiendo a sitios previamente comprometidos o con el envío de archivos adjuntos que contienen malware.

Ante este panorama y ante la incertidumbre de lo que pasará el próximo año, es importante que las instituciones educativas en general tomen nota de este escenario para que incluyan a la seguridad como parte de sus estrategias.