3 conclusiones clave
- El phishing es una amenaza mayor de lo que las escuelas creen: Solo el 27% de los distritos escolares considera que el phishing es un alto riesgo, pero es una de las principales formas en que los piratas informáticos atacan a las escuelas primarias y secundarias, poniendo en peligro a los estudiantes, el personal y los datos.
- La concientización y la verificación son clave: Enseñe al personal escolar a detectar correos electrónicos de phishing y verificar las solicitudes sospechosas por teléfono o mensaje de texto, no por correo electrónico, para evitar caer en ataques sofisticados.
- Utilice herramientas gratuitas y MFA resistentes: Plataformas como Microsoft 365 y Google Workspace tienen funciones integradas para detectar phishing, y la MFA resistente al phishing, como PassKeys, puede bloquear a los piratas informáticos incluso si roban credenciales.
El phishing es una gran amenaza para las escuelas primarias y secundarias, especialmente porque muchas carecen del presupuesto o el personal necesarios para abordarlo directamente. En el episodio 6 de Lightning Chat, John Genter, director de seguridad de la información de Lightspeed Systems, y Brad White, arquitecto principal de seguridad de aplicaciones, conversaron sobre el phishing en escuelas primarias y secundarias. Con más de 30 años de colaboración en ciberseguridad y un profundo vínculo con la educación (John fue miembro del consejo escolar durante 22 años y Brad proviene de una familia de docentes), explicaron por qué el phishing es un problema mayor de lo que la mayoría de las escuelas creen y compartieron métodos prácticos y económicos para combatirlo.
Las escuelas son blancos más grandes del phishing de lo que crees
John empezó con un hecho sorprendente de un Informe de CoSN: Solo el 271% de los distritos identificaron el phishing como un riesgo alto. Esto es un error grave, especialmente si consideramos lo que afirma la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA): «Los ciberdelincuentes atacan a las organizaciones educativas de primaria y secundaria en todo el país, con consecuencias potencialmente catastróficas para los estudiantes, sus familias, el profesorado y el personal administrativo». Brad coincidió: «La educación primaria y secundaria es un objetivo relativamente fácil por varias razones». ¿Por qué? Aquí está el desglose:
- Presupuestos ajustados: Las escuelas a menudo no pueden permitirse herramientas de ciberseguridad de primera categoría.
- Pequeños equipos de TI: Menos gente significa que es más difícil mantenerse al tanto de las amenazas.
- Mentalidad equivocada: Mucha gente piensa que las escuelas no merecen ser atacadas, pero los piratas informáticos saben que son un blanco fácil.
John compartió un ejemplo real: "En las últimas semanas, hemos visto cinco cuentas comprometidas de clientes que intentaban suplantar a los empleados de Lightspeed". Brad explicó cómo funcionan estos ataques: "Los actores de amenazas utilizan sofisticados ataques de intermediario, robando tanto el nombre de usuario y la contraseña del usuario como su token de sesión, incluso si usan MFA". Estos ataques pueden afectar a cualquiera (personal de TI, profesores, etc.) y pueden burlar la autenticación multifactor (MFA) estándar si no está diseñada para detener el phishing.
Formas sencillas y gratuitas de protegerse de los intentos de phishing en la escuela
John y Brad fueron claros: no se necesita un gran presupuesto para empezar a combatir el phishing. La concienciación es el primer paso. Brad lo explicó sencillamente: «Lo más económico es simplemente una mayor concienciación. Asegúrate de que tus usuarios sepan que son blanco de ataques de phishing y que deben tener especial cuidado con los correos electrónicos inesperados». John tenía una frase pegadiza para esto, haciendo referencia a Ronald Reagan: «Confía, pero verifica», o mejor aún, «No respondas, verifica». Sus consejos incluyen:
- Vuelva a verificar los correos electrónicos extraños: Si un correo electrónico te pide que hagas algo extraño, como hacer clic en un enlace, no lo respondas. Llama o envía un mensaje de texto al remitente. Brad advirtió: «Hemos visto casos en los que los cibercriminales controlan la bandeja de entrada del remitente».
- Consiga que todos participen: Desde los directores hasta los conserjes, asegúrese de que todo el personal sepa que podrían ser el objetivo de un ataque y cómo se manifiesta el phishing.
Trucos tecnológicos para bloquear cosas
En el ámbito tecnológico, impulsaron una MFA resistente al phishing. Brad afirmó que los métodos comunes de MFA, como los códigos enviados por SMS o las notificaciones de aplicaciones, "pueden ser robados por ataques de intermediarios". En su lugar, opten por tokens basados en FIDO, como UVKeys o PassKeys... como Windows Hello. John añadió: "Incluso una MFA básica es mejor que nada", pero la MFA resistente al phishing es revolucionaria. También mencionaron herramientas gratuitas en plataformas como Microsoft 365 o Google Workspace:
- Vigila los registros: Comprueba si hay reglas de correo electrónico extrañas, como mensajes marcados como leídos y movidos a carpetas ocultas o inicios de sesión desde lugares extraños.
- Mantente alerta ante ataques furtivos: Brad señaló: “Observarán el comportamiento de un usuario una vez que obtenga acceso... y tenga una máquina cerca”, lo que dificultará la detección de inicios de sesión no autorizados.
Limitar el daño del phishing con el mínimo privilegio
Otra gran idea fue limitar el acceso para reducir los daños si alguien es atacado. Brad dijo: «No les des acceso a todo automáticamente. Dales acceso a lo que necesitan». John lo comparó con un submarino: «Si hay una brecha en una parte... no hunde todo el submarino». Así es como se hace:
- Dar sólo el acceso necesario: En Office 365 o Google Workspace, permita que el personal utilice únicamente las herramientas que necesita, como el correo electrónico o Word, no SharePoint o Teams.
- Ajuste a medida que avanza: Si el trabajo de alguien cambia, actualice su acceso para mantener las cosas seguras sin ralentizarlo.
Un entrenamiento breve y frecuente es mejor que una conferencia larga
Olvídate de las sesiones de entrenamiento de una hora una vez al año. John y Brad dijeron que los recordatorios breves y regulares funcionan mejor. John compartió cómo Lightspeed incluye un "consejo de la semana" en su boletín informativo, y a Brad le gustó la idea de una comunicación más breve y regular para mantener a todos informados. Sugirieron:
- Actualizaciones semanales: Envíe correos electrónicos breves con ejemplos reales, como "esto es lo que está sucediendo ahora mismo... aquí hay algunos enlaces de otras organizaciones K-12 que se vieron comprometidas".
- Facilite la elaboración de informes: Incentive al personal a marcar los correos electrónicos extraños rápidamente, sin juzgarlos.
Conclusión: Manténgase alerta ante el phishing
La última palabra de Brad fue contundente: «Asegúrense de que sus usuarios sepan que son víctimas de phishing. Sin duda, lo son, ¡garantizado!». Instó a usar claves de acceso, que funcionan en la mayoría de los dispositivos, para las cuentas de usuarios que no sean estudiantes. John sugirió consultar el informe de CoSN y el sitio web de CISA para obtener más información.
El phishing no es solo un problema para las grandes empresas; está afectando gravemente a las escuelas. Al crear conciencia, usar MFA resistente al phishing y aprovechar las herramientas gratuitas, las escuelas pueden reducir considerablemente sus riesgos. Como demostraron John y Brad en el episodio 6 de Lightning Chat, algunas medidas inteligentes y de bajo costo pueden proteger a los estudiantes, al personal y a los datos. Mira el episodio completo ¡Y mantente alerta!
