Soporte técnico
Documentación
Inicio de sesión
Póngase en contacto con nosotros
Modernizar la gestión de la vulnerabilidad en las instituciones de enseñanza superior
18 de enero de 2023 - Equipo de RRPP de TuxCare
Los centros de enseñanza superior y las universidades están en el punto de mira de los ciberdelincuentes, que intentan aprovecharse de las vulnerabilidades y engañar al personal para infectar los sistemas con malware, spyware y ransomware. Para proteger sus datos confidenciales, estas instituciones deben aplicar parches a las vulnerabilidades que se descubran en el software que utilicen.
Sin embargo, los equipos de TI suelen tener dificultades para seguir el ritmo de los parches, ya que las vulnerabilidades se descubren a un ritmo vertiginoso. Además, desconectar los sistemas Linux para que ejecuten el reinicio necesario para desplegar un parche significa que hay que anunciar ventanas de mantenimiento, un tiempo de inactividad con el que nadie quiere lidiar.
Afortunadamente, existen tecnologías que los equipos de TI o los equipos de SecOps de los colegios y universidades pueden aprovechar para acelerar sus plazos de aplicación de parches de Linux y minimizar el tiempo de inactividad relacionado con los parches, independientemente de la combinación de distribuciones de Linux que utilicen.
Los piratas informáticos siguen apuntando a las universidades
Las universidades mundiales y nacionales son objetivo de actores malintencionados que van desde el típico delincuente hasta grupos de ciberataque patrocinados por el Estado. Las instituciones de educación superior suelen almacenar la información personal de sus estudiantes y profesores, así como valiosos datos de investigación, con el riesgo de que esa información sea robada y vendida en el mercado negro o tomada como rehén en un ataque de ransomware.
Aunque la enseñanza superior es cada vez más consciente de estos peligros cibernéticos, el sector se enfrenta a retos cada vez mayores en materia de presupuestos y conocimientos internos sobre ciberseguridad.
El Departamento de Seguridad Nacional de EE.UU. evaluó el estado de la ciberseguridad por sectores y descubrió que las instituciones de enseñanza superior ocupaban los últimos puestos. Según un informe publicado en julio de 2022 por el gobierno británico, un terrible 92% de las instituciones de enseñanza superior de ese país sufrieron un ataque o intrusión durante el año anterior.
Ciberamenazas internas
Los activos de la educación superior incluyen datos de investigación e información personal perteneciente a estudiantes, profesores y donantes. Mientras que los hackers externos y los ciberdelincuentes siguen desarrollando métodos de ataque más sofisticados para acceder a estos valiosos datos y robarlos, las universidades también se enfrentan a un vector de ataque significativamente difícil: las amenazas internas.
Los programas universitarios en torno a la informática, la física y la ingeniería se convierten en un atolladero de doble filo. La universidad educa a los estudiantes para que se conviertan en ingenieros de software, ingenieros de ciberseguridad y arquitectos de redes, pero -al mismo tiempo- les proporciona las habilidades que necesitan para convertirse en mejores hackers más adelante.
Los hackers también utilizarán ransomware con ayuda de un estudiante dentro de la escuela. Muchos estudiantes suelen ser extorsionados por hackers externos a través de ataques de phishing por correo electrónico.
Para hacer frente a esta creciente preocupación por las amenazas internas, muchas universidades han empezado a crear redes de microsegmentación y laboratorios basados en la nube en lugar de las tradicionales plataformas de enseñanza in situ. Aislar los sistemas educativos de aprendizaje de los sistemas centrales de la universidad, incluidos los datos financieros, de investigación y de los estudiantes, reduce la superficie de ataque para los hackers estudiantiles. Sin embargo, esta medida disuasoria sigue teniendo pocas esperanzas de reducir los intentos de ataque por parte de estudiantes y profesores descontentos.
Brechas de seguridad contra la enseñanza superior
Muchas universidades y centros de investigación almacenan información confidencial no pública, desde secretos industriales sobre futuros productos hasta estudios militares clasificados. Los ciberdelincuentes buscan esta información por varias razones.
Ejemplo 1: La Universidad de Zagreb se enfrentaba a una importante amenaza. Al igual que otras instituciones educativas, los ciberdelincuentes intentaban acceder a datos confidenciales de investigación militar y atacaban constantemente las redes alojadas en los centros de datos de la universidad.
Ejemplo 2: La Universidad de Suffolk comunicó una violación de datos a las fiscalías generales de varios estados cuando descubrieron que un usuario no autorizado había accedido y extraído información de estudiantes, incluidos pasaportes, permisos de conducir y registros financieros.
Ejemplo 3: Sierra College informó al Fiscal General de Montana de una violación de datos causada por un ataque de ransomware a la escuela. Esta violación permitió a los piratas informáticos acceder a datos personales, incluidos nombres, direcciones e historiales médicos de estudiantes y empleados concretos.
Ejemplo 4: En 2022, Universidad de Knox sufrió un ataque de ransomware dirigido a los sistemas financieros de la universidad. Este incidente marca el primer caso conocido en Estados Unidos en el que los hackers utilizaron su acceso para contactar directamente con los estudiantes para intimidarlos y extorsionarlos.
Además de los datos de investigación y los datos personales confidenciales de los estudiantes y el personal, los centros de enseñanza albergan información confidencial de donantes privados, empresas internacionales y organismos públicos. Los ciberdelincuentes intentan continuamente robar estos datos confidenciales aprovechando vulnerabilidades conocidas y desconocidas, y una filtración de esta información podría afectar a futuras matriculaciones y oportunidades de financiación.
La protección de los datos de investigación es crucial para las subvenciones universitarias
Una fuente fundamental de financiación de la enseñanza superior en Estados Unidos son las becas de investigación. Muchas instituciones, empresas y organismos públicos ofrecen financiación a las universidades para que construyan nuevos laboratorios y centros científicos, lo que proporciona experiencia real a profesores y estudiantes. La universidad obtiene reconocimiento internacional y atrae a los mejores estudiantes gracias a las subvenciones.
Los datos creados a través de subvenciones a la investigación se convierten en propiedad intelectual compartida entre la universidad y la fuente de financiación. Esta propiedad intelectual puede generar futuras ganancias para la universidad.
Los ataques a la ciberseguridad pueden afectar significativamente a las subvenciones actuales y futuras si la universidad sufre filtraciones de datos o violaciones de la privacidad de los mismos. Las instituciones y los organismos gubernamentales a menudo exigen que las universidades se adhieran a regímenes de cumplimiento de privacidad de datos antes de recibir cualquier financiación. Muchas fuentes de financiación exigen periódicamente a las universidades que se sometan a una evaluación de riesgos de ciberseguridad por parte de terceros y a pruebas de penetración para validar la existencia de todos los controles de adaptación de seguridad necesarios.
¿Qué requisitos deben cumplir las instituciones de enseñanza superior?
Los sistemas de enseñanza superior recogen y almacenan diversas formas de información, incluidos datos financieros y de investigación. Todos los datos almacenados entran dentro de un mandato de cumplimiento o privacidad que exige a la universidad satisfacer estrictas normas de seguridad.
- Muchas universidades procesan transacciones con tarjetas de pago y almacenan datos de tarjetas de pago pertenecientes a estudiantes.
- Los centros de enseñanza superior realizarán investigaciones para empresas públicas y privadas que requieran una amplia protección de datos y un control de acceso restrictivo.
A continuación se exponen dos normativas que probablemente deberán cumplir las universidades:
Norma de seguridad de datos del sector de las tarjetas de pago (PCI DSS)
En todo el sistema universitario y de educación superior, las tarjetas de pago se han aceptado para todo, desde el pago de la matrícula, la compra de artículos en la librería de la escuela y la compra de alimentos y bebidas dentro de la cafetería del campus. Las universidades que aceptan tarjetas de pago deben cumplir los mandatos de conformidad PCI DSS. Los piratas informáticos y los ciberdelincuentes atacan los sistemas de pago de las universidades, especialmente los subcontratados a terceros. Al atacar a estos proveedores, los piratas informáticos pueden afectar a varias universidades en un solo ataque.
En 2021piratas informáticos vulneraron el sistema de tarjetas de crédito de la librería estudiantil de la Universidad de Boston. Afectó a la Universidad de Boston y a otras instituciones de educación superior al atacar al proveedor externo de procesamiento de tarjetas de crédito.
Parchear es necesario para cumplir la normativa PCI
Requisito 6.2 de PCI DSS consiste en proteger todos los componentes del sistema y el software frente a vulnerabilidades conocidas mediante la instalación de los parches de seguridad aplicables del proveedor. Debe implementar todos los parches en un plazo de 30 días tras la publicación de un CVE en un sistema host de procesamiento de tarjetas de pago.
Las organizaciones suelen confiar en parchear sólo los CVE críticos para reducir el tiempo de inactividad de sus plataformas de procesamiento de pagos. Sin embargo, independientemente de la clasificación de riesgo interna, los auditores de la PCI exigirán a la organización que cumpla la norma PCI 6.2, con independencia del nivel de riesgo.
Para facilitar el cumplimiento de los requisitos de aplicación de parches de PCI DSS, los colegios y universidades pueden automatizar sus ciclos de vida de aplicación de parches y evitar por completo el tiempo de inactividad relacionado con la aplicación de parches mediante la implantación de una solución de live patching. Live patching despliega parches CVE mientras los sistemas Linux están en funcionamiento, de modo que las organizaciones no necesitan reiniciar, y estos parches pueden automatizarse para que los equipos de TI puedan minimizar el tiempo que dedican a la aplicación de parches.
Con un enfoque de parcheado en vivo, el parcheado de vulnerabilidades puede ser un componente más del cumplimiento de la PCI que se pone en piloto automático para que el personal de la universidad pueda dedicar más tiempo a otras tareas críticas.
NIST 800-171
Las universidades e instituciones de enseñanza superior designadas como centros de investigación que reciban subvenciones del gobierno federal deben cumplir la norma NIST 800-171.
El NIST 800-171 se aplica a la Información No Clasificada Controlada (CUI) compartida por el gobierno federal con una entidad no federal. En la enseñanza superior, el gobierno federal comparte a menudo datos con instituciones para la investigación o para llevar a cabo el trabajo de las agencias federales.
Según el NIST 800, la sección de mantenimiento, o MA, detalla etapas específicas que requieren que las organizaciones sigan un flujo de trabajo recomendado para parchear los sistemas:
MA 3.7.1
Todos los sistemas, dispositivos y aplicaciones utilizados por una organización deben mantenerse de acuerdo con las recomendaciones de parches de software del fabricante o los calendarios definidos por la organización para actualizar los sistemas.
MA-6: Mantenimiento puntual
Las organizaciones identifican los componentes del sistema que pueden crear riesgos para las operaciones y los activos, las personas, otras organizaciones y el país si no funcionan correctamente. Para solucionarlo, deben tener capacidad de parcheo y reparación para actualizar todos los sistemas, independientemente de su ubicación.
MA-7 Mantenimiento sobre el terreno (TI descentralizada)
Una vez que un sistema o componente está sobre el terreno, la organización debe realizar todo el mantenimiento de software y hardware para garantizar que cumple las normas del proveedor y del sector. Las universidades deben tener especial cuidado a la hora de parchear los sistemas, incluso en un entorno descentralizado. Muchos departamentos universitarios más pequeños crearán sus bases de datos, instancias en la nube y sistemas de identidad exponiendo la red de toda la universidad a un mayor riesgo.
Simplificación del parcheado de vulnerabilidades para NIST 800-171
La aplicación de parches a los sistemas críticos que alojan datos de investigación en el centro de datos de la universidad o en la nube es crucial para mantener el cumplimiento de la norma NIST 800-171. Las universidades preocupadas por parchear los sistemas de investigación de producción mientras esperan largas interrupciones del servicio también pueden adoptar un enfoque de parcheado en vivo para reducir el tiempo de inactividad que necesitan programar, así como evitar los reinicios relacionados con los parches. La aplicación de parches en tiempo real también minimizará el riesgo de que la institución se vea afectada por un posible ataque de día cero.
¿Por qué Tuxcare?
Los ciberataques y la pérdida de datos son amenazas constantes a las que se enfrenta el sector educativo, ya que a menudo se clasifica como una de las industrias más afectadas por la ciberdelincuencia. Con grandes volúmenes de datos de investigación confidenciales, es vital que los colegios y universidades parcheen rápidamente las vulnerabilidades que ponen en riesgo sus activos.
Las soluciones protegen los sistemas Linux eliminando rápidamente las vulnerabilidades sin necesidad de esperar a que se produzcan periodos de mantenimiento o de inactividad.
Con TuxCare, los equipos de SecOps, DevSecOps y de TI en general de las facultades y universidades pueden automatizar la aplicación de nuevos parches a través de la puesta en escena, las pruebas y la producción en todas las distribuciones populares de Linux, al tiempo que evitan el tiempo de inactividad y los reinicios relacionados con los parches.
TuxCare también ofrece parches en vivo para bibliotecas compartidas, bases de datos, entornos de máquinas virtuales y dispositivos IoT. Además, TuxCare live patching puede cubrir todas las distribuciones populares de Linux empresarial, a diferencia de muchas alternativas de live patching que solo son funcionales para una única distribución.
Programe una conversación con uno de nuestros expertos para obtener una explicación personalizada de cómo funciona la automatización de parches en directo de TuxCare.
