En este artículo analizaremos cómo nos podría afectar un ataque de secuestro de información, en qué consiste y cómo podemos protegernos como Instituciones de Educación Superior.
La semana pasada se publicó una noticia de un ataque a la Universidad del Bosque en Colombia.
De acuerdo a la información que se obtiene en medios de noticiosos, sus correos institucionales, almacenamiento en la nube y cuentas en redes sociales aparentemente fueron accedidos y, posiblemente, borrados.
Aunque la Universidad del Bosque ha pedido no dar crédito a las aseveraciones de los atacantes en las redes sociales, es evidente que hubo algún intento, muy serio, de ingreso no autorizado a cuentas y/o sistemas institucionales.
Ante estos posibles hechos debemos pensar profundamente:
¿Cómo afectaría un incidente similar a nuestra institución académica?
Toda institución académica debe elaborar, de forma inmediata, una lista lo más exhaustiva posible de lo que podría ocurrir en caso de que un ataque conlleve filtrado de su información, tenga como consecuencia una alteración de la información o un secuestro de esta información para demandar un pago (ransom). Este proceso se facilita enormemente al disponer de un inventario de activos de información de la institución previamente levantado.
Los secuestros de información se están volviendo más comunes a medida que pasa el tiempo, a la fecha los atacantes están apuntando a secuestrar información a organizaciones más que a individuos, pues consiguen impactar a un número mayor de personas, clientes, empleados, pacientes, etc.
Las instituciones académicas deben hacer mucho énfasis en sus sistemas académicos (de notas, listados de estudiantes, materias, horarios, reportes de asistencia, etc), sus sistemas de pago de nómina, sistemas de cobros de matrículas, sus sistemas de educación virtual (LMS), en fin, todo sistema que, si dejara de funcionar, impactaría de forma muy visible y fuerte a la institución.
¿En qué consiste este tipo de ataque?
El ataque de secuestro (ransom) de información se basa en imposibilitar que la institución pueda acceder de forma legítima a sus datos, solicitando por parte del atacante, un monto económico importante, dándole al mismo tiempo la esperanza al afectado, de que le restaurará la información una vez pague. Como todo secuestro, el desenlace del mismo no es siempre a favor del afectado, puede suceder que el atacante desaparezca una vez recibido el pago pues nada le obliga a cumplir con el ofrecimiento de restaurar la información.
¿Cómo protegerse de ataques de secuestro de información?
Podemos mencionar algunas formas de protegerse de este tipo de ataques, todas son importantes y sugerimos que urgentemente se adopten medidas para implementar estas sugerencias:
| Medida | Descripción | Recomendaciones |
| Concienciación al personal | El personal que hace uso de los sistemas informáticos debe ser capaz de detectar indicios de ataques provenientes de correos electrónicos falsos, mensajes en redes sociales o aplicaciones de mensajería instantánea e, incluso, de llamadas telefónicas de números desconocidos. Otra fuente de entrada es a través de programas descargados de sitios poco confiables (crackeados, etc) La mayoría de estos ataques son el paso previo para lograr tomar control del equipo y/o credenciales de un usuario y entonces ingresar a los sistemas para sustraer o secuestrar información. | Previa planificación CSIRT CEDIA puede llevar a cabo una campaña de concienciación para preparar al personal de su institución ante estos ataques. |
| Endurecimiento de los sistemas | No es raro toparse con sistemas informáticos expuestos al público que están insuficientemente asegurados, ya sea desde el punto de vista de la infraestructura, los servicios que están expuestos, como, muy importante, desde el punto de vista de la programación de estos sistemas.Un sistema insuficientemente asegurado es presa fácil para que pueda ser accedido por parte de un tercero no autorizado | Previo requerimiento y análisis CSIRT CEDIA puede apoyar en un análisis de código y una auditoría ética para determinar falencias en los sistemas. |
| Actualizaciones | Es muy frecuente que las empresas mantengan sistemas operativos y aplicaciones obsoletas. Esto es: mantienen sistemas de virtualización (vmware, hyperv, kvm, etc) desactualizados, manejan antivirus desactualizados, versiones de Windows o Linux sin soporte. El atacante aprovecha vulnerabilidades conocidas para ingresar a los equipos de los usuarios. | CEDIA puede apoyar a las instituciones interesadas con licencias para actualizar su software o consultorías para determinar y definir caminos para eliminar la obsolesencia en sus sistemas operativos y aplicaciones |
| Respaldos de la información | Todo sistema de importancia para una institución debe respaldarse de forma frecuente y hacia un sitio remoto. Un respaldo local, en la misma infraestructura o red donde está el sistema sirve de poco ya que muchas veces el intruso no solamente entra a un servicio o servidor, sino que comienza a acceder libremente a toda la red. | Previo requerimiento CEDIA puede implementar una solución de respaldo de información offsite de los sistemas que la universidad indique son de importancia para ellos. |
Para mayor información puede contactarnos a csirt
