Las universidades del Reino Unido están bajo ataque: así es como responden ISMS.online

Las universidades del Reino Unido están bajo ataque: así es como responden

Por Phil Muncaster • 25 de junio de 2024

Las universidades del Reino Unido están siendo atacadas por todos lados. Un informe El año pasado reveló que docenas de instituciones habían aceptado al menos entre 122 y 156 millones de libras esterlinas de fuentes chinas durante los seis años anteriores. ¿El problema? Alrededor de una quinta parte de estas donaciones provino de entidades sancionadas por Estados Unidos por sus vínculos con el ejército chino. Las revelaciones destacan la investigación de vanguardia que realizan muchas universidades y su importancia estratégica para ciertos gobiernos.

Siempre alerta a la amenaza, MI5 informó recientemente vicerrectores de 24 universidades líderes sobre los persistentes esfuerzos respaldados por el estado para obtener propiedad intelectual. Pero no sólo deben defenderse de los Estados-nación. La amenaza que suponen los ciberdelincuentes con fines financieros también cobra gran importancia.

Difícil de defender

El sector de la educación superior (ES) hace una contribución a la economía nacional a menudo infravalorada. De acuerdo con la últimas cifras, las universidades y otros proveedores de educación superior representan £71 mil millones anualmente en valor agregado bruto (VAB) y £130 mil millones en producción económica general. Sólo eso es motivo para protegerlo de los estados nacionales y de los grupos de delitos cibernéticos.

"Lo cibernético ofrece una ruta negable para obtener información que de otro modo no estaría disponible para ellos", dijo el Centro nacional de seguridad cibernética (NCSC) dice sobre los agentes respaldados por el estado. "Es probable que se explote en lugar de, o junto con, las rutas tradicionales para obtener acceso a la investigación, como la asociación, los 'estudiantes destacados' o la inversión directa".

Sin embargo, las instituciones de educación superior tienen que enfrentar múltiples desafíos en sus esfuerzos por mejorar la ciberresiliencia. Por un lado, la mayoría tiene una gran cantidad de personal y estudiantes que utilizan sus redes. Eso hace que el phishing sea un método popular para obtener credenciales de acceso a la red e información de identificación personal (PII). No ayuda que, aunque el 84% de las universidades imponen capacitación en seguridad de la información para el personal, sólo el 5% la hace obligatoria para Oak Life.

Las universidades también deben gestionar el riesgo en una topología de red de TI potencialmente grande y compleja. Según el NCSC, muchas redes universitarias contienen “un conjunto de redes privadas más pequeñas que brindan servicios muy unidos para facultades, laboratorios y otras funciones”. Esto puede hacer que la aplicación constante de políticas de seguridad sea más desafiante. Esto se ve agravado por el riesgo potencial en el borde distribuido, incluidos los trabajadores a domicilio y los estudiantes remotos.

“La naturaleza de la investigación académica se nutre de la colaboración y el intercambio abierto de información. Esto requiere acceso abierto a redes y recursos, lo que dificulta la implementación de medidas de seguridad demasiado restrictivas. Lograr un equilibrio entre apertura y seguridad sólida es una lucha constante”, dice a ISMS.online el CTO de Axians UK, Chris Gilmour.

“Esto solo se ve agravado por el uso de dispositivos personales por parte de los estudiantes y el personal (computadoras portátiles, teléfonos inteligentes), donde las universidades tienen que encontrar un equilibrio entre BYOD y permitir el acceso a recursos clave, manteniendo al mismo tiempo una postura de seguridad adecuada en general. Estos dispositivos no administrados, si no se protegen adecuadamente, pueden introducir vulnerabilidades y actuar como posibles puntos de entrada para ataques cibernéticos”.

Finalmente, los proveedores de educación superior enfrentan “presiones sistémicas a largo plazo sobre su sostenibilidad y viabilidad financiera”, según un Comité de Cuentas Públicas de 2022. (reporte). Un límite continuo a las tasas de matrícula y factores a corto plazo, como el aumento de los costos de energía y de endeudamiento y la inflación, han hecho que la elaboración de presupuestos sea más difícil. Esto puede tener un impacto en cadena en los presupuestos de ciberseguridad, al tiempo que amplifica el daño resultante de las violaciones de seguridad. Aparte de los costos directos, las universidades también deben considerar el impacto potencial de una violación grave de la reputación ante los ojos de los futuros estudiantes.

La amenaza es real

Cuando los estados no pueden conseguir lo que quieren haciendo grandes donaciones "altruistas" a instituciones de educación superior, recurren al ciberespionaje tradicional. Mientras tanto, los grupos de ciberdelincuencia atacan cada vez más la información personal y de los estudiantes y los sistemas expuestos mediante ransomware. Según el socio de TI de la universidad jisco, el ransomware se considera la principal amenaza cibernética para el sector, seguido de la ingeniería social/phishing y las vulnerabilidades sin parches. La organización sin fines de lucro afirma que el 97% de los proveedores de educación superior ahora incluyen el riesgo cibernético en su registro de riesgos, y el 87% informa periódicamente sobre el riesgo cibernético a su junta ejecutiva. Pero eso no significa que el desafío simplemente desaparezca.

De hecho, es más pronunciado que nunca. Un gobierno (reporte) de abril de 2023 afirma que el 85% de las instituciones de educación superior identificaron infracciones o ataques en los 12 meses anteriores, en comparación con solo el 32% de las empresas.

Devastador violación en la Universidad de Manchester en 2023 resultó en el compromiso de más de un millón de registros de pacientes del NHS y se debió a un ataque de phishing. De hecho, los ataques de ransomware como este son algo común y los ataques se programan para coincidir con el período crítico de limpieza. como muchos son – puede tener un impacto enorme.

La amenaza de los actores estatales es más sutil pero aún prevalece. En febrero de 2021, probablemente hackers respaldados por el estado violados la División de Biología Estructural de la Universidad de Oxford, que en ese momento estaba trabajando en una vacuna COVID-19 con AstraZeneca. Ya en 2018, Hackers iraníes atacados Universidades del Reino Unido para robar investigaciones confidenciales.

Contraatacar

Afortunadamente, según Gilmour, incluso las instituciones de educación superior con problemas de liquidez pueden mejorar su ciberresiliencia con algunas mejores prácticas probadas.

“Dar prioridad a la formación del personal en materia de concienciación sobre ciberseguridad permite a todos identificar y evitar amenazas”, argumenta. “La implementación de herramientas de seguridad de código abierto y el aprovechamiento de recursos gubernamentales gratuitos pueden cerrar algunas brechas de seguridad. Y fomentar una cultura de minimización de datos y priorización de sistemas críticos les permite hacer más con menos”.

Tim Line, jefe de servicios de Secure Schools, añade que la defensa en profundidad es clave. La autenticación multifactor, la planificación de respuesta a incidentes, las copias de seguridad sólidas, la detección de puntos finales (EDR), los firewalls y el cifrado deberían ser una prioridad, le dice a ISMS.online. La implementación de dichos controles y las mejores prácticas operativas, incluida la aplicación rápida de parches, el uso aceptable y la configuración segura, deben describirse en políticas claras "que describan las expectativas y establezcan reglas", añade Line.

"Piense en cada control seguro como si fuera una rebanada de queso suizo", explica. “Un trozo tiene muchos agujeros y se puede romper fácilmente. Agregue otra porción de control de seguridad y esto cerrará algunos de los agujeros en la primera porción, y así sucesivamente hasta que el riesgo se reduzca a un nivel que se mida como aceptable”.

Tanto Line como Gilmour también señalan el valor de los estándares de seguridad de mejores prácticas como ISO 27001 y ofertas como el Marco de ciberseguridad del NIST.

“ISO 27001 ofrece un enfoque estructurado para la gestión de la seguridad de la información. Al implementar sus controles, las universidades pueden identificar y gestionar los riesgos de ciberseguridad, desarrollar una cultura de concienciación sobre la seguridad y establecer procesos claros para la respuesta a incidentes”, afirma Gimour.

Incluso más iniciativas básicas como Cyber Essentials pueden resultar útiles para reducir el riesgo, añade Line.

“Nunca reducirán el riesgo a cero, del mismo modo que la implementación de detectores de humo, puertas cortafuegos, alarmas contra incendios y procedimientos de evacuación no reduce a cero el riesgo de sufrir un incendio”, concluye. "Sin embargo, reduce significativamente el riesgo de que ocurra, de que el incendio se propague y de que el incendio tenga un impacto significativo en las personas y las operaciones".

Phil Muncaster

Phil Muncaster ha sido periodista de TI durante 20 años. Comenzó como reportero en el título de TI empresarial IT Week en 2005 y ascendió al puesto de editor de noticias antes de dejarlo para seguir una carrera independiente. Desde entonces, Phil ha escrito para títulos como The Register, donde trabajó como corresponsal en Asia mientras residía en Hong Kong durante más de dos años, MIT Technology Review, SC Magazine, Infosecurity Magazine y otros.

Lea más de Phil Muncaster

La seguridad cibernética 20 de enero de 2026

Cerrando la brecha de gobernanza de la IA con el blog ISO 42001

Cerrando la brecha de gobernanza de la IA con la norma ISO 42001

El Reino Unido tiene un problema de gobernanza de la IA. Esto podría no haber sido un problema hace unos años, cuando los proyectos se fragmentaban en la mayoría de las organizaciones. Pero hoy...

Phil Muncaster

La seguridad cibernética 6 de enero de 2026

Cinco tendencias de seguridad y cumplimiento a tener en cuenta en 2026

¿Cómo podrían ser los próximos 12 meses para los profesionales de la ciberseguridad y el cumplimiento normativo? Hemos analizado las noticias y analizado las predicciones de la industria...

Phil Muncaster

La seguridad cibernética 11 December 2025

¿Es inevitable una brecha de seguridad de inteligencia artificial en 2026?

¿Es inevitable una vulneración de seguridad de la IA agente en 2026?

Puede que hayan pasado tres años desde que el lanzamiento de ChatGPT desencadenó una nueva carrera tecnológica, pero ahora todas las miradas están puestas en la IA agentica. Sus promotores afirman que...

Phil Muncaster