El reciente ciberataque dirigido contra Canvas, el sistema de gestión del aprendizaje utilizado por miles de escuelas y universidades de todo el mundo, es otro duro recordatorio de que la educación es uno de los objetivos más atractivos para los ciberdelincuentes. El ataque, vinculado al grupo de extorsión ShinyHunters, afectó al parecer a instituciones de varios países y expuso cantidades potencialmente enormes de datos de estudiantes y personal.
Para muchas organizaciones educativas, la interrupción fue mucho más allá de las molestias. Las clases se interrumpieron, los portales quedaron inaccesibles, los exámenes se retrasaron y las instituciones se vieron obligadas a responder a la crisis durante periodos académicos críticos. Algunos informes sugieren que los atacantes reclamaron el acceso a cientos de millones de registros vinculados a estudiantes, educadores y personal de todo el mundo, así como a datos de matrícula y mensajes privados a los que supuestamente accedieron a través de funciones de exportación de Canvas y API.
Este incidente pone de relieve una realidad que muchos en el sector de la ciberseguridad conocen desde hace tiempo. Los colegios, institutos y universidades operan en un entorno digital cada vez más hostil, aunque a menudo carecen de los recursos, la visibilidad y la madurez de seguridad necesarios para defenderse con eficacia.
Las instituciones educativas se enfrentan a un reto de ciberseguridad singularmente difícil.
A diferencia de muchas organizaciones comerciales, las universidades y escuelas están diseñadas en torno a la apertura y la accesibilidad. Miles de estudiantes, profesores, contratistas y socios externos necesitan acceder a los sistemas y datos cada día. Los usuarios se conectan desde dispositivos personales, ubicaciones remotas y redes no gestionadas. La colaboración en investigación implica con frecuencia a terceros y plataformas en la nube.
Por este motivo, la seguridad de confianza cero es cada vez más importante en el sector educativo.
Richard Ford, director de tecnología de Integrity360, afirma: "Aparte de las limitaciones presupuestarias, el principal reto de los ecosistemas educativos es el acceso. Acceso para estudiantes, profesores y terceros, con la mayoría utilizando dispositivos no gestionados. Aquí es donde la confianza cero destaca y debería ser una prioridad para garantizar que se aplica el principio del menor privilegio, y que las identidades y el acceso están protegidos".
Para las escuelas y universidades, este enfoque puede reducir significativamente el riesgo que suponen las credenciales comprometidas, los dispositivos no gestionados y el acceso de terceros. La verificación estricta de la identidad, los controles de acceso con privilegios mínimos, la supervisión continua y la segmentación ayudan a limitar el alcance de los ataques en caso de que una cuenta se vea comprometida.
Al mismo tiempo, las instituciones almacenan enormes volúmenes de información muy valiosa. Registros de estudiantes, detalles financieros, datos de investigación, propiedad intelectual, materiales de examen y comunicaciones sensibles son oportunidades atractivas para los atacantes.
El incidente de Canvas demuestra cómo un ataque a un proveedor tecnológico externo puede propagarse rápidamente y de forma simultánea a miles de instituciones.
Esta dependencia de la cadena de suministro se está convirtiendo en uno de los mayores riesgos del sector.
Muchas organizaciones educativas dependen en gran medida de plataformas de aprendizaje basadas en la nube, herramientas de colaboración y aplicaciones gestionadas externamente. Aunque estas tecnologías proporcionan flexibilidad y escalabilidad, también amplían enormemente la superficie de ataque.
Instructure, la empresa detrás de la plataforma de aprendizaje Canvas, confirmó un incidente de ciberseguridad a principios de mayo después de que atacantes vinculados al grupo ShinyHunters obtuvieran acceso no autorizado a los datos de los usuarios. Al parecer, la brecha expuso nombres, direcciones de correo electrónico, números de identificación de estudiantes y mensajes de usuarios vinculados a escuelas y universidades de todo el mundo.
Varios días después, el incidente se agravó cuando las páginas de inicio de sesión en Canvas de cientos de instituciones educativas aparecieron desfiguradas con mensajes de rescate de ShinyHunters. Los estudiantes y el personal que intentaban iniciar sesión eran redirigidos a mensajes que amenazaban con la liberación de los datos robados a menos que se negociara antes de un plazo determinado.
"La repetición del ataque, con días de diferencia, subraya dos aspectos importantes a los que debemos prestar atención en materia de ciberseguridad. En primer lugar, la persistencia es omnipresente y los atacantes pueden permanecer en un entorno después de su contención. Es de vital importancia que se lleve a cabo una supervisión tras la violación para garantizar que la contención y la erradicación se han realizado correctamente. En segundo lugar, y si se trata de una filtración totalmente nueva, demuestra lo persistentes que pueden ser los atacantes para asegurarse de que les llega su día de paga", afirma Richard.
Aunque algunos de los primeros informes especulaban con la posibilidad de que estuvieran implicados portales de inicio de sesión falsos, los informes confirmados actuales apuntan más bien a que los atacantes explotaron vulnerabilidades conectadas al entorno "Free-For-Teacher" de Instructure y luego modificaron las páginas de inicio de sesión como parte de la campaña de extorsión.
El ataque causó graves trastornos durante los periodos críticos de exámenes, impidiendo el acceso a los trabajos de curso, las tareas y los sistemas de comunicación en miles de instituciones de todo el mundo. El incidente pone de manifiesto la gran dependencia actual del sector educativo de las plataformas en la nube y cómo un ataque que afecte a uno de los principales proveedores puede repercutir rápidamente en escuelas y universidades de todo el mundo.
Muchas escuelas y universidades simplemente no pueden competir con el sector privado cuando se trata de presupuestos de ciberseguridad y adquisición de talento.
Los equipos de seguridad son a menudo pequeños, no dan abasto y tienen que proteger entornos cada vez más complejos con una financiación limitada. Esto puede provocar retrasos en la aplicación de parches, una supervisión incoherente y lagunas en la preparación para responder a incidentes.
Los atacantes lo saben.
La educación sigue siendo uno de los sectores más atacados en todo el mundo porque las amenazas suelen considerar a las instituciones como objetivos más fáciles, con datos valiosos y capacidades defensivas más débiles.
Los entornos educativos modernos están descentralizados por naturaleza.
Las instituciones pueden tener varios campus, alumnos remotos, modelos de enseñanza híbridos, aplicaciones en la nube y miles de puntos finales no gestionados que se conectan a diario. La visibilidad se hace difícil, sobre todo cuando coexisten infraestructuras heredadas y modernos servicios en la nube.
Esto crea oportunidades para que los atacantes exploten controles de autenticación débiles, credenciales comprometidas o integraciones mal protegidas.
El ataque a Canvas refuerza los riesgos asociados a los proveedores externos.
Incluso las instituciones con fuertes controles internos pueden verse expuestas si una plataforma externa de confianza sufre una brecha. Los sistemas de gestión del aprendizaje, las plataformas de comunicación, los portales de investigación y los sistemas administrativos representan vectores de ataque potenciales.
Las organizaciones educativas deben pensar ahora más allá de asegurar únicamente su propia infraestructura. También necesitan visibilidad sobre el riesgo de los proveedores y la exposición de terceros.
Los estudiantes y el personal siguen siendo los principales objetivos de las campañas de phishing y los ataques de ingeniería social.
Los calendarios académicos crean ventanas de ataque predecibles. Los periodos de matriculación, las épocas de exámenes y los plazos de las ayudas económicas ofrecen oportunidades para que los atacantes se hagan pasar por sistemas de confianza o aprovechen la urgencia.
Cuando existe un gran número de usuarios inexpertos o transitorios, los atacantes suelen ver un camino fácil para entrar en los entornos institucionales.
Los ciberataques en la educación ya no se limitan al robo de datos. La propia interrupción se ha convertido en un arma.
Si los sistemas de aprendizaje en línea fallan, las instituciones pueden tener dificultades para impartir la enseñanza, procesar los cursos o comunicarse eficazmente con los estudiantes. En algunos casos, toda la actividad académica puede paralizarse.
El daño a la reputación también puede ser grave, sobre todo cuando están en juego la confianza de los estudiantes y las responsabilidades de protección.
El tradicional enfoque reactivo de la ciberseguridad ya no es suficiente para el sector educativo.
Esperar a que se produzca un incidente antes de invertir en visibilidad, detección y respuesta crea riesgos innecesarios. Las instituciones educativas necesitan estrategias de ciberseguridad proactivas capaces de identificar actividades sospechosas antes de que se agraven los problemas.
Esto incluye:
La ciberresiliencia en la educación consiste ahora en mantener la continuidad operativa tanto como en proteger los datos.
Las organizaciones educativas necesitan socios de ciberseguridad que comprendan la complejidad del sector y puedan proporcionar un apoyo práctico y escalable.
Integrity360 trabaja con organizaciones del sector educativo y del sector público en general para ayudar a reforzar la resistencia cibernética, mejorar la visibilidad y reducir el riesgo operativo, y ayuda a las instituciones a detectar y responder rápidamente a las amenazas antes de que se conviertan en incidentes graves.
Entre los servicios que puede prestar a colegios, institutos y universidades se incluyen los siguientes:
Integrity360 también está avalada por el programa NCSC Cyber Incident Response, lo que proporciona una confianza adicional a las organizaciones que buscan apoyo experimentado en respuesta a incidentes durante una crisis.
Es poco probable que el ciberataque de Canvas sea el último incidente importante que afecte al sector educativo. A medida que las instituciones continúen expandiendo sus ecosistemas digitales, los atacantes seguirán buscando puntos débiles que explotar.
Las organizaciones educativas no pueden eliminar el riesgo por completo, pero pueden mejorar drásticamente su resistencia, visibilidad y capacidad de respuesta.
¿Le preocupa su ciberseguridad? Póngase en contacto con los expertos de Integrity360.