Las violaciones expusieron la información personal de estudiantes, profesores, exalumnos y donantes.
Ilustración fotográfica de Justin Morrison/Inside Higher Education | Jumping Rocks/Colección Universal Images/Getty Images | Imentang y Matgmo/iStock/Getty Images
Una serie de filtraciones de datos recientes ponen de relieve por qué las instituciones de educación superior ricas y de alto perfil son particularmente vulnerables a ataques cibernéticos cada vez más sofisticados.
La semana pasada, los piratas informáticos Hackear una base de datos Lo mantiene la Oficina de Avance de la Universidad de Princeton y contiene información sobre ex alumnos, donantes, ciertos profesores, estudiantes y padres. hace dos semanas, Los piratas informáticos robaron registros similares De la Universidad de Pensilvania. Estos ataques siguieron a otros ataques a principios de este año en la Universidad de Columbia -que expusieron los datos de 870.000 personas, entre estudiantes y solicitantes- y Universidad de Nueva YorkLo que provocó la vulneración de los datos personales de unos tres millones de personas que solicitaron ingreso a la universidad desde 1989.
Si bien las universidades ricas y selectivas no son las únicas instituciones víctimas de ataques cibernéticos, los expertos dicen que su reputación, recursos y perfiles de investigación las convierten en objetivos particularmente atractivos. Para protegerse, las instituciones deben invertir en personal y sistemas de TI y educar a los estudiantes y empleados sobre las amenazas potenciales.
“Si voy a irrumpir en un banco, irrumpo en el banco más grande que pueda encontrar”, afirmó Doug Thompson, arquitecto senior de aprendizaje y director de ingeniería de soluciones de Tanium, una empresa de gestión de ciberseguridad. “Están dispuestos a hacerlo porque son muy grandes y tienen mucho dinero. Si un hacker intenta irrumpir en una universidad, intentarán sacar el máximo provecho de su dinero”.
Además de obtener información de identificación personal que puede venderse en el mercado negro, transmitir la lista de donantes de una universidad adinerada crea más oportunidades para futuras estafas. “Ahora, los piratas informáticos tienen una serie de objetivos especiales”, dijo Thompson. “Tienen los nombres de personas que tienen suficiente dinero para donar a estas organizaciones”.
Pero el dinero no es la única motivación. A medida que la Ivy League y otras instituciones de élite se conviertan en el rostro de ataques políticos más amplios a la educación superior, es probable que atraigan a los llamados hacktivistas.
“En el clima político actual, las instituciones académicas y sus empleados están provocando la ira de todo tipo de grupos marginales, manifestantes y entidades que podrían enojarse por algo que dicen o hacen y lanzar este tipo de ataques”, dijo Brent Riley, vicepresidente de análisis forense digital y respuesta a incidentes de la división norteamericana de Cyxcel, una firma de consultoría de riesgos digitales.
Además de robar datos valiosos, los hackers de Pensilvania alardeaban de su trabajo El correo electrónico masivo es vulgar y fraudulento. Se envía desde tu dirección de correo electrónico upenn.edu a la comunidad universitaria. El correo electrónico se refería a Penn como una organización “elitista”, “despertada” y “no meritocrática” con “prácticas de seguridad terribles” que contrata y admite “idiotas porque amamos los legados y los donantes y reconoce la acción afirmativa sin reservas”.
“Nos encanta violar leyes federales como FERPA (Todos tus datos serán filtrados) y fallos de la Corte Suprema como Students for Fair Admissions v. Harvard”, decía el correo electrónico. “Por favor, deja de darnos dinero”. Asimismo, los piratas informáticos de las Universidades de Columbia y Nueva York atribuyeron sus motivos a la obtención de datos de inscripción para demostrar su supuesta impugnación del fallo de 2023 de la Corte Suprema en la SFFA de que las admisiones por motivos raciales son inconstitucionales.
La investigación avanzada realizada por universidades ricas también las hace más vulnerables a los ataques cibernéticos que otros países.
“Se dirigirán a las instituciones para robar datos de investigación para que no tengan que gastar dinero para producirlos ellos mismos”, dijo Reilly. “Cualquier universidad que realice investigaciones en el ámbito militar, farmacéutico o manufacturero es un objetivo de alto valor para los actores de amenazas de otros países, ya que el gobierno emplea piratas informáticos para robar secretos comerciales e información patentable”.
Todos los factores de riesgo de ciberseguridad de las instituciones de élite, así como la configuración operativa que hace que casi todos los colegios y universidades sean vulnerables a los ciberataques, se están volviendo más sofisticados en la era de la IA generativa.
“La educación es un blanco fácil para los actores de amenazas, principalmente porque muchos usuarios poco sofisticados tienen que estar en la red”, dijo Reilly.
A pesar de Una demanda presentada por un grupo Los graduados de la Universidad de Pensilvania afirmaron a principios de este mes que el reciente ataque fue el resultado de la “negligencia y la seguridad inadecuada de los datos” de la universidad, y Reilly dijo que los piratas informáticos aún podrían comprometer algunos de los sistemas de ciberseguridad más sofisticados.
Esto se debe en parte a que las violaciones en Penn y otras universidades se lograron mediante una táctica conocida como ingeniería social, en la que un hacker utiliza pretextos falsos para convencer a un empleado de que le dé acceso a información confidencial.
“El mejor índice de defensa de seguridad del mundo no puede evitar que los humanos sean propensos a cometer errores, manteniendo datos donde no deberían estar, permitiendo que actores de amenazas roben sus contraseñas y los engañen para que proporcionen una identificación multifactor, o los convenzan para que concedan acceso para compartir archivos”, dijo Reilly.
Con la llegada de la IA generativa, estos trucos se han vuelto más difíciles de detectar.
“Antes entrenábamos a personas para detectar un posible ataque de ingeniería social buscando mala gramática o palabras mal escritas”, dijo Reilly. “Esto ha desaparecido casi por completo ahora con la IA generativa, que crea correos electrónicos o comunicaciones de ingeniería social basados en patrones de comunicación locales”.
