A fondo
El ransomware también se prepara para la vuelta al cole
El año académico está a punto de comenzar, y este año lo hace en unas circunstancias de lo más anómalas, provocando que estudiantes, educadores y padres estén sumidos en un desconcierto más que comprensible. Y no es por echar más leña al fuego, pero hay otros «profesionales» que también se están preparando ya para la vuelta a las aulas. Hablo de los ciberdelincuentes y, más concretamente, de los especializados en el ransomware, una amenaza que apunta a brillar con luz propia este curso escolar 2020-2021.
GovInfo Security publica hoy un interesante artículo en el que analiza la situación y del que me parece interesante recuperar algunos puntos. Sin embargo hay un punto importante a tener en cuenta, y es que tanto por tiempos como por medios, la respuesta del sector educativo en España no ha sido similar a la estadounidense, por lo que también es importante valorar dichas diferencias e intentar estimar qué es lo que ocurrirá en nuestro país, en relación con el ransomware y el sector educativo en el curso 2020-2021. Y las perspectivas no son nada positivas.
El primer punto a tener en cuenta es que, como mínimo hasta la llegada masiva de la vacuna que nos permita recuperar la normalidad, el sector educativo se va a mantener (hablo a nivel global) en un modelo mixto, en el que se intentarán recuperar las clases presenciales, en el aula, pero en el que las clases y otras actividades a distancia, a través de Internet, seguirán teniendo una gran importancia. Más aún si la situación en lo referido a contagios sigue evolucionando negativamente y las autoridades se ven obligadas a establecer más limitaciones o, Dios no lo quiera, a confinarnos por completo como la pasada primavera.
Y aquí hago un breve inciso: al igual que ocurre en el sector profesional, esta experiencia también está sirviendo para que el sector educativo reevalúe las posibilidades de la teleformación, por lo que una vez recuperada la normalidad, y aunque las aulas vuelvan a convertirse en el epicentro de la actividad educativa, es probable que este aprendizaje sea empleado para introducir nuevos elementos telemáticos en el proceso formativo. Quizá, la formación exactamente tal y como la conocíamos hasta marzo de 2020, ya no regrese nunca.
En cualquier caso volvamos al ahora: el sector educativo ya está ultimando los detalles para el inicio del curso 2020-2021 y, como mencionaba al principio, ocurre lo mismo con los ciberdelincuentes, que son conscientes del enorme problema de seguridad al que se van a enfrentar colegios, institutos, universidades y otras entidades educativas. Un problema que van a intentar explorar por la vía del ransomware… si es que no han empezado ya o, incluso, hace meses.
Despliegue rápido, despliegue inseguro
Cuando, durante el mes de marzo, se empezaron a suspender todo tipo de actividades y, a mitades de mes, se decretó el confinamiento, prácticamente nadie estaba preparado para una situación así. Empresas y entidades de todo tipo tuvieron que diseñar y desplegar, a la carrera, planes de contingencia para unas circunstancias que, hasta entonces, muchos no habían ni imaginado. Y, en consecuencia, el despliegue de los mismos fue bastante atropellado y no tuvo en cuenta (en no pocos casos por incapacidad) la seguridad. Sin sistemas de protección, sin protocolos, sin pautas.
En ese contexto, algunos centros educativos han podido proveer a sus alumnos de los dispositivos necesarios para acceder tanto a las clases online como a los recursos necesarios: documentos, plataformas para realizar exámenes, etcétera. En la mayoría de los casos, o al menos en los de mi entorno, esto no ha sido posible, y los alumnos han tenido que emplear sus propios dispositivos para poder llevar a cabo dichas actividades.
Y esto nos lleva a un tema recurrente en la seguridad IT: BYOT y shadow IT. Durante meses, miles de dispositivos han estado accediendo, de manera más o menos limitada, a determinados recursos de unas infraestructuras. Unas infraestructuras cuyas políticas de seguridad no habían sido diseñadas pensando en ese escenario. Y ahora todos esos dispositivos, y puede que incluso más, están a punto de volver a conectarse a esas infraestructuras que, en muchos casos, todavía no están preparadas.
Ransomware latente
A estas circunstancias se suman otras, en las que ponen el foco algunos de los expertos consultados por GovInfo Security: muchos sistemas que, durante los últimos meses, han sido empleados en entornos domésticos, volverán en unos días o semanas a conectarse a los cables de red de sus espacios originales, al menos mientras que tanto el trabajo como la formación presenciales sean una opción. Y son sistemas que pueden haber sido infectados por cualquier patógeno en todo el tiempo que han permanecido fuera del perímetro de seguridad de la infraestructura a la que ahora retornan como miembros de pleno derecho.
El ransomware, y especialmente el destinado a atacar empresas y entidades, tiene la capacidad de permanecer latente durante mucho tiempo, más concretamente hasta que detecte que se dan las circunstancias ideales para iniciar su propagación en la red, con el fin de alcanzar el máximo número de sistemas posibles. Decenas de miles de potenciales amenazas latentes están a solo unos días de llevar, exactamente, al lugar que llevan meses esperando.
En condiciones ideales, todos esos ordenadores deberían ser exhaustivamente chequeados, con el fin de asegurarse de que no portan algún malware que pueda desencadenar un ataque de ransomware una vez reintroducidos en el perímetro. Sin embargo, y desgraciadamente, tengo serías dudas sobre si, tanto por recursos como por actitud, será ésta la tónica habitual. Si en unas semanas o meses empezamos a recibir noticias sobre ransomware que afecta a colegios, institutos y universidades, ya podemos imaginarnos cuál será el origen.
¿Por qué la educación?
No es una novedad que se produzcan campañas de ransomware dirigidas al sector educativo, en realidad esto ocurre desde hace años. Lo que va a ocurrir en los próximos meses (y como comentaba anteriormente, lleva ya tiempo en marcha) es un notable incremento en la cantidad de las mismas. Y son dos las razones fundamentales para ello.
La primera es la que ya hemos planteado anteriormente: el despliegue apresurado del teletrabajo (para profesores, personal administrativo, etcétera) y la teleformación para los alumnos. Un despliegue en el que la seguridad no ocupó el espacio que debería haber tenido, y que ya ha tenido como consecuencia, estos últimos meses, múltiples ataques de ransomware a entidades educativas de todo el mundo. Una tendencia al alza que se va a mantener, más aún si tenemos en cuenta la segunda razón.
Apenas hay datos sobre la incidencia real del ransomware y, menos aún, de cuantas empresas y entidades deciden pagar para recuperar sus archivos, evitar filtraciones e intentar recuperar la normalidad. Sin embargo, los pocos datos que se conocen al respecto apuntan a que el sector educativo es proclive a pagar los rescates exigidos por los ciberdelincuentes. Y si hay alguien que sabe si eso es cierto o no, esos son los ciberdelincuentes especializados en ransomware. Dicho de otra manera, si se observa que centran parte de sus esfuerzos en el sector educativo, es porque saben que tienen más posibilidades de rentabilizar sus actividades.