Ciberseguridad en la Educación Superior - 2021 REVISIÓN DE BLUEVOYANT - Amazon AWS
←
→
Transcripción del contenido de la página
Si su navegador no muestra la página correctamente, lea el contenido de la página a continuación
REVISIÓN DE BLUEVOYANT Ciberseguridad en la Educación Superior 2021
Índice
3 Introducción
4 Resultados Clave
5 Panorama de las Amenazas
7 Cronología
8 Análisis de Contraseñas:Repasando el ABC y el 123
9 Cuando los agresores llaman a la puerta
10 SchoolHouse Rock
10 Chug, Chug, Chegg!
12 Psicología 101
14 Análisis de Inteligencia de Amenazas
16 Análisis en Profundidad
19 Recomendaciones: Mirando hacia el Futuro
BLUEVOYANT: INFORME SOBRE EL ESTADO DE LA EDUCACIÓN 2021 2
Introducción
El sector de la enseñanza superior atraviesa un periodo de cambios sin
precedentes. Las universidades están adoptando o luchando, con una serie de
nuevas tecnologías y métodos de enseñanza, incluyendo una variedad de
aplicaciones, portales y tecnologías de enseñanza a distancia que apoyan los entornos
de aprendizaje en línea o mixtos. A medida que cambia la naturaleza de las aulas
y la experiencia de los estudiantes, las universidades se enfrentan a nuevos
retos, nuevas exigencias y nuevos riesgos.
Durante el 2020, y en particular durante la pandemia de COVID-19, muchos de estos
cambios y desafíos se han puesto de manifiesto. Obligadas a abandonar la enseñanza
presencial, las universidades han pasado a depender más de las tecnologías de aprendizaje a
distancia. Al mismo tiempo, las presiones financieras se han agudizado a medida que los
estudiantes posponen las solicitudes o exigen rebajas y reembolsos por las clases que toman
en sus dormitorios. Las universidades se enfrentan a riesgos cada vez mayores y a márgenes
financieros cada vez más reducidos.1 2
En este contexto, la ciberseguridad es más importante que nunca. El análisis de BlueVoyant
sugiere que los ataques de ransomware contra las universidades son cada vez más
frecuentes y más costosos. Las violaciones de datos son cada vez más comunes,
impulsadas en parte por las colosales listas combinadas, o combolistas, de credenciales de
acceso que se venden y comercian en los mercados de la Dark Web y por la proliferación de
servicios de inicio de sesión a través de nuevas tecnologías como Zoom, Chegg, ProctorU y
otros socios educativos de terceros. La superficie de ataque de las escuelas ha hecho
metástasis, y ya no hay vuelta atrás.
BlueVoyant realiza este informe en un esfuerzo por arrojar luz sobre los retos de la
ciberseguridad a los que se enfrenta la educación superior. Las amenazas y vulnerabilidades
en línea de la educación nunca han representado un riesgo mayor. Este informe utiliza
herramientas y conjuntos de datos propios y de código abierto para examinar esos riesgos.
Utilizando datos e investigaciones originales, este informe esboza el panorama actual
de las amenazas a la educación superior, proporcionando información sobre la
creciente amenaza de ataques de ransomware; el enorme impacto de las violaciones de
credenciales de acceso y las consecuencias para las escuelas, en la forma de ataques de
credenciales de acceso y la prevalencia de las vulnerabilidades de alto riesgo, pero
fácilmente remediables.
BLUEVOYANT: INFORME SOBRE EL ESTADO DE LA EDUCACIÓN 2021 3
$447K
es el costo promedio de un
ataque de ransomware en
la educación superior en
2020
Resultados Clave
El costo del ransomware y el número de ataques están Las amenazas más comunes apuntan a las
aumentando, lo que pone en aprietos a las vulnerabilidades más comunes
organizaciones que ya están sometidas a una intensa BlueVoyant analizó dos conjuntos de datos. Uno utilizó un
presión financiera análisis automatizado para buscar las vulnerabilidades y
El análisis de BlueVoyant de datos de código abierto muestra amenazas observadas en miles de universidades de todo el
que los ataques de ransomware contra las universidades mundo. El segundo utilizó un análisis más profundo para
aumentaron un 100% entre 2019 y 2020. Peor aún, el patrón de examinar un número menor de instituciones de educación
"caza mayor" que se observa en otros sectores – con pedidos de superior, desglosado en las diez escuelas más importantes;
rescate a las organizaciones por sumas de dinero cada vez estatales y universidades comunitaria. En todo el ámbito, las
mayores – se observa ahora entre las universidades. El costo universidades mostraron puertos inseguros relacionados con el
promedio de un ataque de ransomware a la educación superior escritorio remoto y las bases de datos en línea. Muchas de ellas
en 2020 fue de 447.000 dólares. Estos ataques pueden ser también mostraron evidencias de una mala configuración de la
rastreados a diferentes actores de la amenaza que utilizan seguridad del e-mail, lo que las dejaba expuestas a ataques de
diferentes tácticas, técnicas y procedimientos (TTP); todos son phishing.
perturbadores y financieramente significativos
Las listas de credenciales universitarias son masivas y En todo el ámbito,las universidades
se negocian en forma habitual mercados de la dark mostraron puertos inseguros
web, lo que representa un enorme volumen de
amenazas dirigidas a cuentas y sitios web vulnerables
relacionados con el escritorio remoto y
las bases de datos en línea.
Los datos de cuentas e inicios de sesión de estudiantes se
encuentran entre los datos PII más voluminosos y con mayor Muchas de ellas también mostraron
tráfico en la web. Los estudiantes no sólo mantienen cuentas evidencias de una mala configuración de
universitarias mucho después de su graduación, sino que
la seguridad del e-mail, lo que las dejaba
cada vez utilizan más las cuentas universitarias para iniciar
una sesión en una gama cada vez más amplia de servicios: expuestas a ataques de phishing.
portales administrativos, herramientas de vídeo a distancia,
aplicaciones web universitarias y estudiantiles, y
herramientas de aprendizaje a distancia. Esta proliferación
de cuentas impulsa las violaciones de datos y las amenazas
dirigidas a sitios web vulnerables se encuentra en auge.
BLUEVOYANT: INFORME SOBRE EL ESTADO DE LA EDUCACIÓN 2021 4
Panorama de las Amenazas
Históricamente, las instituciones de educación superior han operado con un perfil de amenazas diverso, seguido de
cerca por delincuentes oportunistas así como por actores del estado-nación. Durante años, las universidades han sido
objeto de ciberataques convencionales (fraude, criptojacking, violación de datos, etc.) y de sofisticadas operaciones de
espionaje (patrocinadas por Irán, Rusia, China y Corea del Norte).3 4 5
Hoy en día, el panorama de las amenazas está cambiando y durante años.8 9 Sin embargo, la pandemia de COVID-19
ampliado. Cambiando porque el ransomware ha surgido (al aceleró drásticamente la adopción de estas tecnologías y la
igual que en todos los sectores) como una amenaza persistente dependencia de las mismas. El perfil de riesgo de las
y creciente. Ampliado, porque la dependencia cada vez mayor universidades muestra un aumento correspondiente, ya que
de los dispositivos móviles, el aprendizaje a distancia y los socios se necesitan más puntos de acceso y más credenciales para la
educativos tercerizados está multiplicando la superficie de enseñanza. En los últimos dos años, se han producido
ataque de la educación superior. Y lo que es peor, esta violaciones contra10, BlackBaud11, OneClass12, Zoom13 14,
evolución se produce durante el período de mayor inestabilidad Handshake15, Chegg16 17, software propietario de
financiera de la historia reciente de la educación superior. visualización remota18, aplicaciones web administrativas19
20 21, y aplicaciones universitarias diseñadas por los
La proliferación de dispositivos está bien documentada. Una estudiantes.22 23 Estas violaciones contribuyen a un creciente
encuesta realizada en octubre de 2019 por el Centro de Análisis robo de las credenciales universitarias, lo que lleva al aumento
e Investigación EDUCAUSE descubrió que el 89% de los de ataques agresivos sobre las credenciales de acceso.
estudiantes estadounidenses utilizaba smartphones en al
menos un curso, el 99% usaba computadoras portátiles y el 59% Existen incluso algunas pruebas de que la pandemia puede
utilizaba tablets; el 99% declaró ser propietario de sus teléfonos estar incrementando los objetivos de las instituciones de
y el 97% dijo ser propietario de sus computadoras portátiles.6 educación superior por parte de los agentes de los estados-
Un estudio similar realizado en septiembre de 2020 por Jisc, el nación, en concreto, el objetivo de la investigación de
organismo experto del Reino Unido de tecnología digital y vacunas. En julio de 2020, las agencias cibernéticas y de
recursos digitales en la educación superior, se hizo eco de las inteligencia de los Estados Unidos, el Reino Unido y
altas tasas de uso de BYOD también para los estudiantes del funcionarios de seguridad canadienses emitieron una
Reino Unido: 93% utilizó su propio computadora portátil advertencia conjunta de que el actor de la amenaza
durante los cursos, el 83% su smartphone y el 29% sus persistente avanzada APT29, vinculado a Rusia (también
tablets 7. conocido como los Dukes, Cozy Bear), estaba atacando
activamente sus organizaciones nacionales de investigación y
desarrollo de vacunas. Sin embargo, el espionaje tradicional
contra la investigación a nivel universitario también persiste.
En octubre de 2020, los investigadores de seguridad de
Malwarebytes Labs revelaron que una APT vinculada a Irán,
Scholar Kitten, estaba llevando a cabo una campaña de
phishing a gran escala dirigida a universidades de todo el
93% 83% 29%
mundo.25 En marzo de 2019, el Wall Street Journal informó
que piratas informáticos patrocinados por el estado chino
atacaron 27 instituciones de Estados Unidos, Canadá y
todo el sudeste asiático en búsqueda de secretos de
La proliferación de tecnologías y servicios de terceros
tecnología militar naval. Entre las universidades
también está bien documentada, ya que los entornos de
estadounidenses se encontraban el Massachusetts
aprendizaje mixto - que incorporan la educación presencial
Institute of Technology, la University of Hawaii,
junto con herramientas de aprendizaje móviles y en línea -
Pennsylvania State University, Duke University y
han aumentado en forma consistente
University of Washington.26
BLUEVOYANT: INFORME SOBRE EL ESTADO DE LA EDUCACIÓN 2021 5
“Estudios recientes apuntan a un mayor riesgo cibernético en el espacio de la educación
superior. Según el estudio Ponemon de 2020, el costo de una violación de datos en el sector
educativo es de $3.900.000. En una época de presupuestos reducidos, ninguna escuela puede
permitirse un golpe financiero de este tipo. Los gestores de riesgos más prudentes están
respondiendo a estas amenazas evaluando y desplegando mecanismos de transferencia de
riesgos cibernéticos, tanto a través de contratos como de seguros cibernéticos”
JOHN FARLEY, CIPP/US, DIRECTOR GENERAL, PRÁCTICA CIBERNÉTICA, AIG
Todos estos avances se producen en un momento en que las problema importante para ese objetivo.28 Dos tercios (67%)
universidades se enfrentan a fuertes restricciones en sus gastos y afirmó que la "financiación de los departamentos de TI no
recursos. Las universidades no sólo se enfrentan al rechazo de se recuperó de los recortes presupuestarios" impuestos
los estudiantes actuales, como ya se sabe, sino que también se desde la recesión de 2008.29
enfrentan a pérdidas de ingresos críticas por la pérdida de
La llegada de la pandemia después de esa encuesta sugiere que
estudiantes internacionales, que no pueden viajar y que
se avecinan recortes presupuestarios más estrictos: los resultados
constituyen una proporción importante de los ingresos
de la encuesta de EDUCAUSE, publicada en mayo de 2020,
universitarios.27 Un abrumador 77% de los directores de
muestran que los encuestados se están preparando para recortes
informática y de los altos cargos de los campus, que
presupuestarios de TI entre un 5% y 30%.30 Los acontecimientos
participaron en una encuesta reciente, indicaron que
recientes, como las demandas de reembolsos y rebajas por parte
"contratar y retener a los talentos de TI" era la principal
de los estudiantes, indican que las cosas podrían ser incluso
prioridad institucional y el 78% señaló que los salarios y
peores.31 32
beneficios no eran competitivos, siendo un
77%
De los CIO indicó
que contratar y
retener el talento
de TI es la principal
prioridad
BLUEVOYANT: INFORME SOBRE EL ESTADO DE LA EDUCACIÓN 2021 6
Cronograma
Por supuesto, el aumento de los ataques de ransomware es común en todos los sectores; aunque este tipo de ataque ha entrado
de lleno en la escena de la educación superior. Esta tendencia es global: una solicitud de Libertad de Información (FOI en el Reino
Unido) reveló que el 25% de todas las universidades británicas habían sido víctimas de un ataque de ransomware en la última década.33
BlueVoyant llevó a cabo un análisis de todos los eventos cibernéticos de código abierto que afectaron a las instituciones de educación
superior a nivel mundial en los últimos dos años, es decir, desde enero de 2019 hasta la fecha. El análisis excluyó los accidentes, como
las listas de credenciales enviadas por correo electrónico a destinatarios no deseados por error, o las bases de datos expuestas
descubiertas por algún investigador de ciberseguridad.
Investigadores de BlueVoyant definieron bases tiempo usando este análisis, revelando ciertas ideas clave:
En primer lugar, el ransomware es la amenaza número uno a En tercer lugar, el robo de datos por parte de estados
la que se enfrentan las universidades y los eventos de este nación es una amenaza real, que ya afectó a más de 200
tipo de ataque se duplicaron de 2019 a 2020. El ransomware es universidades en los últimos dos años. Se han identificado
caro: el costo promedio de este tipo de ataque en la educación públicamente cinco campañas separadas de estados-nación,
superior en 2020 es de 447.000 dólares. aunque es probable que el número real sea mucho, mucho
mayor, ya sea porque, cuando se identifican, estas campañas no
Las violaciones de datos fueron la amenaza número dos a la se revelan a la prensa o porque no se identifican en absoluto.
que se enfrentaron las universidades, constituyendo la
mitad de todos los eventos en 2019. Más de un tercio de Los ataques de ransomware han seguido en gran medida los
todos los eventos de violación de datos estaban relacionados modelos observados en otros sectores. Las principales familias
con herramientas de aprendizaje remoto o mixto - incluyendo de ransomware son Clop, Ryuk, NetWalker y DoppelPaymer. El
Zoom, Chegg, ProctorU, entre otros. Estos pueden incluir ataque al Monroe College en julio de 2019, por 170 Bitcoin
información de identificación personal (PII), así como (aproximadamente 2 millones de dólares), parece ser el primero
credenciales de acceso. de los ataques de caza mayor observados en otros sectores. Y al
igual que hemos visto con el ransomware en general, un gran
número de colegios y universidades, atacados después de abril
de este año, se enfrentaron a la ignominia adicional de los
esquemas de extorsión de "nombre y vergüenza".
EVENTOS DE CÓDIGO ABIERTO QUE AFECTAN A LAS INSTITUCIONES DE EDUCACIÓN EN TODO EL MUNDO
Eventos
OPEN deCYBER
SOURCE violación deAFFECTING
EVENTS datos Eventos de
HIGHER EDUCATION ransomware
INSTITUTIONS GLOBALLY
Data Breach Events Ransomware Events
8
7
6
5
4
3
2
1
0
Feb 19
Mar 19
May 19
Jun 19
Jul 19
Sep 19
Oct 19
Nov 19
Dec 19
Feb 20
Mar 20
May 20
Jun 20
Jul 20
Sep 20
Ago 19
Abr 19
Abr 20
Ago 20
Ene 19
Ene 20
BLUEVOYANT: INFORME SOBRE EL ESTADO DE LA EDUCACIÓN 2021 7
Análisis de Contraseñas:
Repasando el ABC y el 123
Las contraseñas más utilizadas son conocidas y están disponibles para los actores de
las amenazas. La dark web y los foros clandestinos en los que se compran, venden,
intercambian y regalan conjuntos de datos a cambio de credibilidad delictiva están
habitados por todo tipo de gente, desde ladrones de poca monta hasta
organizaciones globales de inteligencia.34 Y, aunque algunos custodios de la
delicada información de contraseñas están mejorando en la protección de estos
datos, los actores maliciosos también están mejorando en el robo de los mismos.
Las violaciones de datos han salpicado los titulares de las noticias durante décadas.
La mayoría de la gente ya no presta mucha atención, pero como señala Stuart
Panensky, socio de FisherBroyles
“los sectores de la educación y las ciencias del aprendizaje
se enfrentan a riesgos cibernéticos y de privacidad únicos,
debido a la combinación de datos delicados que se trafican,
la naturaleza de cómo se despliega la tecnología en todo el
sector y la multiplicidad de leyes y reglamentos estatales y
federales que rigen estas cuestiones”.
BLUEVOYANT: INFORME SOBRE EL ESTADO DE LA EDUCACIÓN 2021 8
Aunque estas filtraciones de datos que acaparan los titulares son tremendamente perjudiciales para la privacidad y la seguridad
personal y de las organizaciones, por cada filtración que se da a conocer públicamente, existen otras innumerables que no se
denuncian. Las "recopilaciones privadas" de datos sensibles alcanzan sumas de miles de dólares, mientras que las violaciones más
antiguas (pero no por ello menos importantes) se publican por sumas triviales o se distribuyen gratuitamente.35
Muchas filtraciones de datos incluyen información de tarjetas de pago (PCI), información protegida de salud (PHI) o números de la
seguridad social, direcciones particulares y otros conjuntos de PII. Estas violaciones pueden ser aprovechadas para obtener enormes
ganancias criminales en esquemas que involucran la toma de cuentas, el robo de identidad, el fraude financiero y otras actividades
criminales en línea.
El tema que nos ocupa se centra en un conjunto de datos
diferente: la lista combinada. Las combolistas son
conjuntos de datos sucintos que constan únicamente de Dirección de e-mail: contraseña
cuentas y contraseñas y tienen la forma siguiente:
Login de la cuenta: contraseña
Se utilizan para lograr el acceso no autorizado a las cuentas y
bandejas de e-mail de las víctimas. La entrada no autorizada en
una cuenta en línea se considera un delito grave según la Ley de INICIAR SESIÓN
Fraude y Abuso Informático (CFAA).
Cuando los agresores llaman a la puerta
En este informe, explicaremos varias técnicas que están detrás de la invasión de cuentas. Aquí definimos los
métodos de ataque más comunes y aplicables:
COMPLETAR CREDENCIALES DE FUERZA BRUTA: REVERSIÓN/CRACKING:
ACCESO: Cuando un atacante envía El proceso de recuperación de
Un tipo de ciberataque en el que se sistemáticamente muchas contraseñas a partir de datos que han
utilizan credenciales de cuenta contraseñas o frases de contraseña sido almacenados en algún formulario
robadas, que suelen consistir en listas con la esperanza de acabar no codificado. Los hash son versiones
de nombres de usuario y/o direcciones adivinándolas correctamente. El codificadas de las contraseñas que los
de correo electrónico y las atacante comprueba servicios utilizan para mejorar las
correspondientes contraseñas, para sistemáticamente todas las prácticas de seguridad. Sin embargo, el
obtener acceso no autorizado a contraseñas y frases de contraseña hashing no es codifica y muchos hashes
cuentas mediante intentos de inicio de posibles hasta encontrar la correcta. pueden ser "crackeados" o adivinados.
sesión automatizados a gran escala.
BLUEVOYANT: INFORME SOBRE EL ESTADO DE LA EDUCACIÓN 2021 9
SchoolHouse Rock
Para conseguir entrar en las bandejas de e-mail, cuentas de software, conexiones VPN y otros sistemas críticos
necesarios para la educación superior, los ciberdelincuentes proceden de forma estratégica y eficiente.
Existe un documento, ampliamente disponible en la BlueVoyant ha cruzado las listas de combinaciones
Internet abierta, llamado el archivo RockYou.txt. disponibles públicamente, con un número de
credenciales de miles de millones, para identificar
RockYou es una lista de 14.344.391 conteniendo las
credenciales únicas relacionadas con dominios .edu.
contraseñas más utilizadas. Esta lista, entre otras, Utilizando ese análisis de las combinaciones de e-mail y
existe para ayudar a los ciberdelincuentes a completar contraseñas de educación (que incluye contraseñas
las credenciales, forzarlas o descifrarlas. codificadas), el 8,945%, una cifra de millones, de esas
contraseñas coincidieron exactamente con las
contraseñas encontradas en la lista RockYou. En otras
En Internet, el archivo
RockYou.txt es una lista de las palabras, las contraseñas de las cuentas de educación se
encuentran fácilmente en Internet, y se cuentan por
14.344.391 contraseñas más utilizadas
millones.
Chug, Chug, Chegg!
Chegg es un servicio de alquiler de libros de texto en línea que también ofrece a los estudiantes de nivel
universitario ayuda con los deberes y recursos de asignación. En abril de 2018, Chegg sufrió una violación de
datos que afectó a 40 millones de suscriptores.
Los datos expuestos incluían direcciones de e-mail, nombres Los analistas de BlueVoyant observaron 11.442 direcciones de
de usuario, nombres y contraseñas almacenados como e-mail '@bu.edu' en los datos de la brecha de Chegg. Estas
hashes MD5 sin codificar.36 Como era de esperar, un servicio contraseñas fueron almacenadas (y posteriormente
de alquiler de libros de texto, profundamente arraigado en distribuidas) en forma de hash MD5. Sin embargo, los hashes
muchas universidades, incluía una mayoría de direcciones de MD5 son uno de los algoritmos de hashing que han caído en la
e-mail '.edu' comprometidos. Existen 5.127.069 direcciones bandeja de basura a medida que las prácticas de cracking han
de e-mail '.edu' expuestas en este conjunto de datos (las avanzado.38 De hecho, durante más de dos años desde antes de
demás probablemente son direcciones de e-mail la brecha, los hashes MD5 sin codificar eran fácilmente
personales). craqueables: "En menos de 10 segundos, [el popular software
de descifrado de los ciberdelincuentes] Hashcat descifró esa
A finales del año pasado, la Universidad de Boston tuvo que contraseña. En mi computadora portátil con Windows".
inhabilitar temporalmente más de 1.000 direcciones de e-
mail de estudiantes después de que sus servidores de correo
electrónico se vieran inundados de spam procedente de
5.127.069
direcciones de e-mail legítimas comprometidas.37 Los
estudiantes se vieron obligados a restablecer sus contraseñas,
ya que los actores de la amenaza habían logrado acceder
utilizando las contraseñas encontradas en la brecha de Chegg. direcciones de e-mail '.edu'
expuestas
BLUEVOYANT: INFORME SOBRE EL ESTADO DE LA EDUCACIÓN 2021 10Los estudiantes afectados perdieron el acceso a sus bandejas de e-mail, a recursos de enseñanza como BlackBoard, el portal
de estudiantes de la BU y al Wifi del campus. Su experiencia educativa se detuvo completamente. Y lo que es más importante,
abrió a los estudiantes a una avalancha de actividad cibercriminal derivada del acceso a las cuentas de e-mail. La
reutilización de las credenciales podría haber dejado al descubierto innumerables cuentas financieras, comerciales,
personales, etc.
Sus Mensajes, calendario E-mail comercial
Sus chats de Google/Skype Phishing, malware
Sus fotos PRIVACIDAD SPAM Scam de varado en el extranjero
Registros de llamadas (+cuenta móvil) Spam de Facebook, Twitter Spam
Su ubicación (+móvil/itunes) de firma de e-mail
Facebook, Twitter, Tumblr E-mail, contactos de chat
Cuentas de hospedaje de archivos
Macys, Amazon, Walmart
iTunes, Skype, Best Buy
REVENTA AL
POR MENOR
E-MAIL CAPTURA Google Docs, MS drive
Spotify, Hulu+, Netflix HACKEADO Dropbox, Box.com
Origin, Steam, Crossfire Claves de licencia de software
Cuentas bancarias Docs de trabajos encaminados
Cuenta de e-mail, secuestro e-mails de trabajo encaminado
FINANCIERO EMPLEO
Cambio de facturación Cuentas Fedex, UPS, Pitney Bowes
Señuelo Cyberheist Cuentas Salesforce, ADP
El periodista de ciberseguridad Brian Krebs creó un gráfico sucinto para demostrar todos los usos delictivos que ofrece una
cuenta de e-mail, muchos de los cuales el usuario medio nunca habría considerado.
Como escribió en su momento el Director Ejecutivo de Seguridad de la Información de la escuela:
“En todos los lugares en los que el individuo utiliza la misma contraseña, la tiene protegida
la empresa con la seguridad más débil [...] Cuantos más lugares se usen, más probable es
que se vea comprometida, y si se ve comprometida, está dando acceso a su e-mail, a sus
expedientes académicos y potencialmente, a su información médica y financiera.” 39
BLUEVOYANT: INFORME SOBRE EL ESTADO DE LA EDUCACIÓN 2021 11Psicología 101
Las contraseñas, a menos que se generen automáticamente, son un reflejo de nuestras rutinas, estilos de vida,
preferencias y psicología en general. Las contraseñas tienen que ver con las personas y los animales que llamamos
familia, tienen que ver con nuestros equipos deportivos favoritos y tienen su origen en nuestras direcciones, cumpleaños,
aniversarios y nuestros deseos. Las contraseñas suelen derivar de las personas, los lugares y los acontecimientos más
importantes de nuestra vida.
Si la psicología es una ciencia que se basa en los patrones de Pero si su profesor no es tan sexy, puede que se aburra en
la mente humana, las contraseñas son un conjunto de clase. La palabra "bored" (sic) aparece en 613 de las
pruebas que nos dan una visión invisible de la forma de
contraseñas comprometidas, "boring" (sic) en 126.
pensar de las personas. En un gran conjunto de datos sobre
Los siguientes son algunos ejemplos:
contraseñas, la repetición de patrones puede ser
inesperadamente reveladora.
imbored! University of Virginia
A veces, el instructor puede distraerse hasta el punto de
que se muestra en la contraseña de un estudiante:
boredsilly Springfield College
1hotprof Columbus State
Community College boredatwork University of Wisconsin-
Madison
hotprof2 NYU y Columbia University
boredcollegekid1 Appalachian State University
sexy!teacher1 Florida State University
boredguy995 University of Maryland -
sexyteacher03 University of Alabama Baltimore County
hot4teacher1111 Florida Gulf Coast University imfucknbored Kent State University
No es de extrañar que muchos universitarios tengan el sexo en bored2tears Baylor University
mente. La palabra aparece en 13.496 contraseñas '.edu' dentro
boredtodeath Temple University
de los datos de la violación de Chegg.
imbored420 Arkansas State University
Schoolisboring09 Middlesex
Community College
Las contraseñas son un wellthisisboring NYU
reflejo de nuestras rutinas,
estilos de vida, preferencias Otras veces, la ira de un estudiante puede ser mas reveladora:
y psicología
1damnclass Indiana State University
kill_the_Professor North Carolina
State University
BLUEVOYANT: INFORME SOBRE EL ESTADO DE LA EDUCACIÓN 2021 12Las contraseñas pueden revelar a los superdotados: Y a los holgazanes...
aplusgrades University of Florida stupidgrades Baylor University
highgrades University of Minnesota lowgrade712 University of Alabama
supergrades St. Petersburg College h8grades Calvin University
keepgoodgrades Clarkson University nowfailingoutofschool Illinois Wesleyan University
Goodgrades. Bowling Green striveforfailure University of Illinois
State University Urbana-Champaign
Los holgazanes deberían pasar más tiempo en la... biblioteca. La TOP WORD USAGE IN PASSWORDS
palabra "library" aparece en 1.185 contraseñas de e-mail. Si un
estudiante no está estudiando en la biblioteca, puede estar en la
"cafe" (714), tomando "coffee" (2.777) o, cuando realmente
necesita un estímulo, "redbull" (602).
PARTY COFFEE SMART
2.634 2.777 3.139
Si un estudiante de último curso dedica su tiempo a
"study"ing (1.630 recuentos), tal vez se haya ganado una
"beer" (3.408) o un viaje al "gym" (4.825). Tal vez estén
ansiosos por encontrarse con su "girlfriend" (128) o
"boyfriend" (175) en una cercana "party" (2.634) de BEER COMPUTER GYM
"frat" (467). 3.408 4.505 4.825
BlueVoyant anima a todos los "student" (5.490) a que le den
importancia a los "book"s (20.984) y se especialicen en
"computer" (4.505) "science" (1.607) o un campo relacionado. STUDENT BOOK PASSWORD
Los "smart" (3,139) pueden solicitar un "job" (6.800) o una 5.490 20.984 65.420
"career" (1.541) en BlueVoyant... siempre que su contraseña no
sea tan simple como para basarse en la palabra
"password" (65.420).
BLUEVOYANT: INFORME SOBRE EL ESTADO DE LA EDUCACIÓN 2021 13Análisis de Inteligencia de Amenazas
En la preparación de este artículo, BlueVoyant analizó casi tres mil universidades - 2.702 - en 43 países
diferentes, para identificar los patrones más amplios posibles de vulnerabilidad y riesgo.
Los resultados fueron exhaustivos, aunque se destacaron varias ideas:
Más de la mitad de las universidades y colegios analizados BlueVoyant excluyó las violaciones accidentales de bases de
carecían de las configuraciones básicas de seguridad del e-mail. datos de la línea de tiempo de los eventos anteriores, aunque
Los protocolos de seguridad de e-mail basados en DNS - SPF, tales violaciones constituyen un número importante de eventos
DKIM y DMARC - autentican los correos e-mail entre usuarios y cibernéticos que afectan a las universidades (al menos una
los protegen contra los ataques de phishing. El 66% de las décima parte de todos los eventos identificados en los informes
universidades no tenía ninguna de estas configuraciones. de fuente abierta).
Más de una quinta parte de todas las universidades y colegios El 86% de todas las universidades y colegios universitarios
universitarios analizados tenían puertos de escritorio remoto observados mostraron evidencias de ataques de botnets
abiertos o no seguros. Los puertos abiertos de protocolo de entrantes. El aumento de la actividad de las redes de bots en el
escritorio remoto (RDP) son el segundo vector de amenaza – último año ha sido una característica importante de las noticias
por detrás del phishing – de las bandas de ransomware.40 El de ciberseguridad, muchas familias de bots activas se
22% de todas las universidades tenía al menos un puerto encuentran actualmente en un repentino resurgimiento -
RDP abierto. incluyendo Andromeda y el relativamente antiguo worm
Conficker. En cualquier caso, estas redes de bots pueden ser
Casi el 40% de todas las universidades y colegios analizados responsables de importantes daños y de comprometer las redes
tenían puertos de base de datos abiertos o inseguros. a las que apuntan.
BlueVoyant observó puertos de bases de datos MySQL,
Microsoft y Oracle abiertos o no seguros en el 38% de todas
las instituciones observadas.
66% 22% 38% 86%
de las universidades de las universidades de las universidades de todas las universidades y
carecían de las tenía al menos un analizadas tenían puertos colegios universitarios
configuraciones puerto RDP abierto de base de datos abiertos observados mostraban
básicas de seguridad o no seguros evidencias de ataques de
del e-mail botnets entrantes
BLUEVOYANT: INFORME SOBRE EL ESTADO DE LA EDUCACIÓN 2021 14
14El gráfico que muestra los ataques entrantes describe en forma simple el volumen de los ataques. La actividad saliente, por otro lado, describe el recuento masivo (13 millones) de dispositivos comprometidos observados. Un recuento mensual de los objetivos de las redes de bots entrantes de todas las universidades observadas (2702). Un recuento mensual de los objetivos de las redes de bots salientes de todas las universidades observadas (2702). BLUEVOYANT: INFORME SOBRE EL ESTADO DE LA EDUCACIÓN 2021 15
Análisis en Profundidad
Además del análisis de amplio alcance anterior, BlueVoyant también produjo información sobre un grupo más pequeño de
universidades con un análisis más profundo.
BlueVoyant seleccionó una serie de instituciones de educación superior con estructuras, ofertas e infraestructuras en línea muy variadas.
Las treinta instituciones que se muestran a continuación reflejan la diversidad presente en el sector de la educación superior en
Estados Unidos: instituciones de investigación con grandes redes heredadas de cientos de miles de dominios y direcciones IP;
escuelas estatales con enormes cuerpos de estudiantes; colegios comunitarios con programas y servicios en línea más variados y
dedicados.
BlueVoyant llevó a cabo un análisis de las amenazas y riesgos pasivos en treinta escuelas, buscando patrones y tendencias distintos,
pero sobre todo tratando de identificar las vulnerabilidades que coincidían con los vectores de amenaza los riesgos conocidos a los
que se enfrenta la educación superior en la actualidad. El análisis arrojó algunos datos interesantes.
INSTITUCIÓN NÚMERO DE ESTUDIANTES INSTITUCIÓN NÚMERO DE ESTUDIANTES
Ohio State 66.444 UPenn 22.432
Georgia Tech 36.489 Harvard 20.970
UFlorida 8.231 Princeton 8.623
UMichigan 44.718 New Mexico 412
Military Institute
UVirginia 25.018
Valencia 42.631
UC Irvine 33.467
Western Iowa Tech 5.674
UNC 29.469
Fox Valley Technical 10.888
UCLA 45.742
College
UC Santa Barbara 26.314
Lake Area 2.245
UC San Diego 35.821
Mitchell Technical Institute 1.187
UCBerkeley 41.910
Cloud County 1.839
UChicago 14.739
Indian Capital 15.134
CalTech 2.233 Technology Center
Stanford 17.249 University of South 1.588
Carolina Lancaster
Columbia 33.413
Yale 13.609
CATEGORÍA
MIT 11.520
Estado Colegio Comunitario (CC)
BLUEVOYANT: INFORME SOBRE EL ESTADO DE LA EDUCACIÓN 2021 16Las treinta universidades mostraron evidencias de DATOS PII VIOLADOS
torrenting en sus redes. El torrenting es un método
2,6M
popular para compartir fácilmente archivos grandes y
distribuidos en línea, normalmente películas, juegos, música
y otros contenidos pirateados. A los estudiantes les encanta
utilizar torrents, ya que proporcionan acceso a enormes
1,8M
bibliotecas de contenidos multimedia de forma gratuita.
Gratis, es decir, excepto por las grandes cantidades de
malware que a menudo se incluyen junto con los medios
"gratuitos" en el archivo .torrent.
En relación a los juegos, las treinta universidades también
tenían observaciones de dispositivos de juegos en sus redes,
lo que no es una sorpresa, por supuesto, excepto a veces por
la gran escala de la actividad de juegos. Georgia Tech tenía
más de 4.400 consolas de juego visibles en sus redes. Ohio
State tenía más de 8.000. Pero el premio se lo lleva la
Universidad de Florida, que contaba con algo menos de
4.000 consolas - no parecen tanto como las de Ohio o
60K
Georgia Tech, pero equivale a un dispositivo de juego por
cada dos estudiantes. Kudos, Florida. CC TOP DIEZ ESTADO
Las treinta universidades tenían puertos no seguros. Y lo
que es más preocupante, tres cuartas partes de estas Recuentos de credenciales únicas
universidades tenían puertos de desktop remotos observados por BlueVoyant cotejados
abiertos y más del 60% tenían puertos de bases de datos según la categoría de HE.
abiertos, lo que significa que la mayoría de las
universidades tienen puntos débiles evidentes para las
amenazas más comunes de la educación superior Si bien estos son puntos de datos interesantes, lo realmente
(ransomware y violaciones de datos). A veces, estas impactante es la escala de datos de credenciales disponibles.
vulnerabilidades aparecían en números extremadamente El Informe de Verizon sobre la violación de datos de 2019
altos. Por ejemplo, algo menos del 0,5% de las direcciones IP indicó que el 53% de todos los ataques observados contra
de las escuelas de la Ivy League tenían un RDP abierto o colegios y universidades implicaban credenciales robadas.41
puertos de base de datos abiertos, lo que supone casi 10.000
Estos totales de credenciales superan ampliamente las cifras
puertos. Del mismo modo, algo menos del 1% de todas las
encontradas para cualquier otro sector. Por ejemplo,
direcciones IP de las escuelas estatales tenían la misma
mientras que el número total actual de todos los estudiantes
vulnerabilidad: esto equivale a más de 22.000 puertos.
en todas las escuelas estatales analizadas por BlueVoyant,
asciende a aproximadamente 160.000, el número de
credenciales únicas observadas es de aproximadamente
Las 30 universidades tenían 2.600.000, más de 6 veces el número total de estudiantes. A
modo de comparación, el número de credenciales de las
PUERTOS NO SEGUROS
escuelas estatales disponibles en las combolistas expuestas
60%
TENÍA
PUERTOS públicamente es equivalente al número total de credenciales
DE BASE
DE DATOS posibles de los últimos 24 años de los graduados de las
ABIERTOS escuelas estatales.
lo que significa que la mayoría de las
universidades tienen puntos débiles
En el caso de las escuelas de la Ivy League, el total es aún más
evidentes para las amenazas más exagerado - la cantidad de credenciales únicas encontradas
comunes de la educación superior fue 13 veces mayor al número total de estudiantes de las diez
mejores escuelas actuales.
BLUEVOYANT: INFORME SOBRE EL ESTADO DE LA EDUCACIÓN 2021 17Existen muchas razones para que esto sea así. Los
estudiantes utilizan sus direcciones de e-mail de la
universidad y el colegio mucho después de graduarse.
Las credenciales también incluyen al profesorado y al
personal visitante. Independientemente de ello, estas
cifras tan elevadas son responsables de impulsar un
10K
volumen extraordinario de ataques dirigidos contra los
datos de acceso y otras páginas web vulnerables en todo
el espacio universitario en línea.
BRUTE FORCE
NÚMERO DE INTENTOS DE FUERZA BRUTA
ATTACKS
PER INSTITUTION
PER WEEK
159950
143605
33981
CC TOP DIEZ ESTADO
Intentos de fuerza bruta en una semana contra
universidades estatales, Ivy y comunitarias.
La tabla anterior muestra las cifras totales de los ataques de fuerza bruta (o de relleno de credenciales) contra páginas
web de inicio de sesión de las universidades identificadas. Los eventos de escaneo y sondeo de entrada se producen a
diario en gran volumen contra instituciones de todos los sectores. Los ataques de fuerza bruta, sin embargo, constituyen
normalmente una proporción mucho menor de toda la actividad maliciosa entrante observada por los análisis de
BlueVoyant.
Estas elevadas cifras de fuerza bruta están impulsadas por el enorme número de credenciales universitarias disponibles
para la venta (o gratuitamente) en línea - un promedio de 10.000 ataques de fuerza bruta por institución por
semana. Estos ataques conducen directamente a comprometer las redes críticas: cuentas de e-mail, portales, servicios de
terceros, etc.
BLUEVOYANT: INFORME SOBRE EL ESTADO DE LA EDUCACIÓN 2021 18Recomendaciones Mirando hacia el Futuro
La educación superior está entrando en un período de profundos cambios. Después de
Por el momento, las que las clases se reanuden en su totalidad – incluso después de que los estudiantes
universidades deben vuelvan a las aulas en forma masiva – el cambio hacia entornos de aprendizaje totalmente
combinados ha dado un paso irrevocable. Por ahora, las universidades deben reconocer
reconocer que la que la ciberseguridad es un factor crítico de su éxito – y de su supervivencia – en los
ciberseguridad es un próximos años.
factor crítico para su La seguridad de los entornos de aprendizaje de los estudiantes, la seguridad de los datos y
las credenciales de acceso que poseen y gestionan las universidades, son preocupaciones
éxito - y su primordiales para cualquier institución de educación superior.
supervivencia - en los
Afortunadamente, la mayoría de los riesgos señalados en este informe son
próximos años. remediables. La ciberseguridad sólida requiere varios niveles de defensa, que deben
implementarse sistemáticamente a lo largo del tiempo. Para conocer un debate más
detallado sobre la aplicación de estos niveles de defensa, póngase en contacto
enviando un mensaje a contact@bluevoyant.com.
Además, existen varias medidas sencillas que se pueden tomar para reducir el riesgo,
incluyendo las cuatro acciones que se enumeran a continuación:
Se debe garantizar la autenticación multifactor (MFA) utilizando una solución de
inicio de sesión único basada en la nube (por ejemplo, Azure AD, Okta, etc.)
La MFA se debe implementar en todas las cuentas. Esto está presente en algunas
instituciones de educación superior, aunque no en un porcentaje suficiente y tiene
demasiadas excepciones en la mayoría de las organizaciones. La mayor parte del riesgo de
cuentas comprometidas se evitará con solo este paso adicional de autenticación. Al
habilitar el SSO, también se agilizarán las experiencias de inicio de sesión de los usuarios,
así como su capacidad para detectar y responder a cualquier compromiso que logre
vencer la MFA.
Se deben desarrollar líneas de base y alertas de anormalidades para todos los
inicios de sesión
Se deben comprender los patrones de inicio de sesión de los usuarios y desarrollar la
visibilidad de la línea de base, así como de la desviación de la actividad normal del
usuario en los eventos de autenticación en todos los sistemas y servicios.
Se debe garantizar que todas las contraseñas se examinan para evitar el
riesgo y la actividad maliciosa
Incluso si las contraseñas están protegidas mediante MFA, saber que la contraseña de una
cuenta ha sido violada y que se está explorando activamente para comprometerla, le ayudará a
defender sus cuentas de usuario de una posible invasión o de una denegación de servicio
forzando un bloqueo del sistema.
Se debe implementar la seguridad de e-mail por niveles en todas las cuentas
de e-mail
El phishing sigue siendo el origen de más del 90% de los incidentes cibernéticos. Se debe intentar
phishing de forma regular y activa con los propios usuarios para ayudar a mejorar la toma de
conciencia. También se puede reducir drásticamente el riesgo de phishing asegurándose de tener los
registros SPF, DKIM y DMARC configurados de acuerdo con las mejores prácticas para cada uno.
Además del antiphishing, todos los archivos adjuntos y las urls de cualquier e-mail deben ser
escaneados y comprobados automáticamente con las bases de datos de amenazas y reputación, para
evitar dirigir a los usuarios a sitios web maliciosos o comprometer sus máquinas o datos.
BLUEVOYANT: INFORME SOBRE EL ESTADO DE LA EDUCACIÓN 2021 19FUENTES
1 https://www.weforum.org/agenda/2020/11/covid-19-higher-education- 21 https://www.databreaches.net/ph-san-beda-student-portal-hacked-
and-the-impact-on-society-what-we-know-so-far-and-what-could-happen/ personal-data-of-thousands-stolen/
2 https://time.com/5883098/higher-education-broken-pandemic/ 22 https://www.9news.com.au/technology/get-ticketing-data-privacy/
f7343ce6-a8ab-4b19-9604-8503b313b204
3 https://www.insidehighered.com/news/2020/06/11/colleges-face-evolving-
cyber-extortion-threat 23 https://mailchi.mp/fountainhopper/foho-89startup-garage-project-queer-
chart-exposes-data-on-200-stanford-students-team-allegedly-knew-about-
4 https://www.fireeye.com/blog/executive-perspective/2019/04/higher- vulnerability-according-to-tipsters
education-faces-a-unique-cyber-threat-landscape.html
24 https://www.cnn.com/2020/07/16/politics/russia-cyberattack-covid-
5 https://www.insidehighered.com/news/2019/03/06/report-top-universities- vaccine-research/index.html
us-targeted-chinese-hackers
25 https://blog.malwarebytes.com/malwarebytes-news/2020/10/silent-
6 https://library.educause.edu/-/media/ librarian-apt-phishing-attack/
files/library/2019/10/2019ssinfograph.
pdf?la=en&hash=5E6F0F5E29347E57526F808D8B10CE79993DCEEF 26 https://www.wsj.com/articles/chinese-hackers-target-universities-in-
pursuit-of-maritime-military-secrets-11551781800?mod=hp_lead_pos1
7 https://www.jisc.ac.uk/sites/default/files/student-dei-he-report-2020.pdf
27 https://hechingerreport.org/losing-international-students-because-of-the-
8 http://www.newschools.org/wp-content/uploads/2019/09/Gallup-Ed-Tech- pandemic-will-damage-colleges-financially/
Use-in-Schools-2.pdf
28 https://www.campuscomputing.net/content/2019/10/15/the-2019-
9 https://www.cnbc.com/2020/06/08/edtech-how-schools-education- campus-computing-survey
industry-is-changing-under-coronavirus.html#:~:text=Even%20 before%
20the%20outbreak%2C%20 education,look%20for%20 learning% 29 https://static1.squarespace.com/
20resources%20online. static/5757372f8a65e295305044dc/t/5da60e02c69e0005bf9369
0e/1571163656824/Campus+Computing+-+2019+Report.pdf 30https://
10 https://www.bleepingcomputer.com/news/security/proctoru-confirms- er.educause.edu/blogs/2020/5/educause-covid-19-quickpoll-results-it-
data-breach-after-database-leaked-online/ budgets-2020-2021
11 https://www.blackbaud.com/securityincident 31 https://www.chicagomaroon.com/article/2020/4/21/student-petition-
halve-tuition-gains-1700-signatur/
12 https://www.forbes.com/sites/leemathews/2020/06/28/oneclass-
accidentally-exposed-millions-of-student-records/#730b74dc3f90 32 https://www.insidehighered.com/news/2020/04/10/students-file-class-
action-seeking-tuition-reimbursement
13 https://www.bleepingcomputer.com/news/security/over-500-000-zoom-
accounts-sold-on-hacker-forums-the-dark-web/ 33 https://www.bleepingcomputer.com/news/security/over-25-percent-of-all-
uk-universities-were-attacked-by-ransomware/
14 https://www.cpomagazine.com/cyber-security/half-a-million-zoom-
accounts-compromised-by-credential-stuffing-sold-on-dark-web/ 34 https://www.kaspersky.com/resource-center/threats/deep-web
15 http://udreview.com/handshake-security-breach-affects-thousands-of- 35 https://resources.digitalshadows.com/whitepapers-and-reports/from-
university-students/ exposure-to-takeover
16 https://ndsmcobserver.com/2019/10/saint-marys-email-addresses-appear- 36 https://haveibeenpwned.com/PwnedWebsites#Chegg
in-credential-dump-following-chegg-data-breach/
37 https://dailyfreepress.com/2019/10/10/following-flood-of-spam-emails-
17 https://dailyfreepress.com/2019/10/10/following-flood-of-spam-emails- more-than-1000-student-accounts-temporarily-disabled/ 38https://
more-than-1000-student-accounts-temporarily-disabled/ medium.com/@svanas/why-an-unsalted-md5-hash-is-bad-
practice-6a0d7d017856
18 https://news.sky.com/story/warwick-university-was-hacked-and-kept-
breach-secret-from-students-and-staff-11978792 39 https://dailyfreepress.com/2019/10/10/following-flood-of-spam-emails-
more-than-1000-student-accounts-temporarily-disabled/
19 databreaches.net/hackers-breach-62-us-colleges-by-exploiting-erp-
vulnerability/ 40 https://www.zdnet.com/article/top-exploits-used-by-ransomware-gangs-
are-vpn-bugs-but-rdp-still-reigns-supreme/
20 https://www.news.gatech.edu/2019/04/02/unauthorized-access-georgia-
tech-network-exposes-information-13-million-individuals 41 https://www.nist.gov/system/files/documents/2019/10/16/1-2-dbir-
widup.pdf
BLUEVOYANT: INFORME SOBRE EL ESTADO DE LA EDUCACIÓN 2021 20Sobre BlueVoyant BlueVoyant es una empresa de servicios de seguridad cibernética dirigida por expertos, cuya misión es defender proactivamente a las organizaciones de todos los tamaños contra los constantes y sofisticados ataques y amenazas avanzadas de hoy en día. Dirigida por el CEO Jim Rosenthal, el equipo altamente cualificado de BlueVoyant incluye ex funcionarios de ciberseguridad del gobierno, con amplia experiencia de primera línea en la respuesta a amenazas cibernéticas avanzadas, en nombre de la Agencia de Seguridad Nacional, la Oficina Federal de Investigación, la Unidad 8200 y GCHQ, junto con expertos del sector privado. Los servicios de BlueVoyant utilizan grandes conjuntos de datos en tiempo real con tecnologías y análisis líderes en la industria. Fundada en 2017 por ejecutivos de Fortune 500, incluido el presidente ejecutivo, Tom Glocer, y ex funcionarios cibernéticos del Gobierno, BlueVoyant tiene su sede en la ciudad de Nueva York y cuenta con oficinas en Maryland, Tel Aviv, San Francisco, Manila, Toronto, Londres y América Latina. Para saber más sobre BlueVoyant, visite nuestro sitio web www.bluevoyant.com o envíe un e-mail a contact@bluevoyant.com 022221 21
También puede leer
