Crédito: CC0 Dominio público
Los jubilados del sistema escolar de Baltimore tienen problemas con los pagos de pensión y atención médica dos años después de un ataque de ransomware. La identidad de un niño en Toledo, Ohio, se está utilizando para solicitar crédito meses después de un ataque cibernético en las escuelas allí. Un distrito escolar mediano de Texas pagó el año pasado más de medio millón de dólares en rescate para restaurar el acceso a su sistema y evitar la publicación de datos confidenciales en línea.
Las repercusiones de un ataque a sistemas escolares vulnerables pueden ser fuertes, duraderas y costosas, razón por la cual los expertos en seguridad cibernética advierten que no se debe esperar una resolución rápida y limpia del hackeo masivo en septiembre en el Distrito Escolar Unificado de Los Ángeles.
Las incertidumbres sobre los datos robados persistirán en el futuro no solo para el distrito sino también para aquellos cuya información personal se publicó en la web oscura, dijeron.
Aunque el superintendente de Los Ángeles, Alberto Carvalho, expresó su confianza la semana pasada en que el sindicato criminal detrás del ataque en gran medida no logró robar datos valiosos, las implicaciones y el alcance total de la violación siguen siendo difíciles de conocer.
Las instituciones educativas han sido un objetivo cada vez mayor en los últimos años, en parte porque tienen múltiples portales públicos y aplicaciones de terceros accesibles para estudiantes, padres y la comunidad. Y la costosa prevención de la seguridad cibernética tiene que competir con otras necesidades apremiantes, convirtiéndose en una carga financiera y de personal para los distritos pequeños y una tarea extraordinariamente complicada para un gigante como LA Unified, que administra los registros de millones de estudiantes, empleados y contratistas actuales y anteriores.
«Los estudiantes confían en que el distrito escolar mantendrá segura su información y claramente no lo han logrado», dijo Runa Sandvik, investigadora de seguridad y fundadora de Granitt, una empresa emergente que se enfoca en la seguridad de periodistas y personas en riesgo alrededor. el mundo.
Los expertos advierten que no hay motivo para confiar en los ciberdelincuentes sobre la cantidad de datos que dijeron que robaron. Además, los datos podrían explotarse en el futuro, de maneras que son difíciles de detectar, y mucho menos prevenir.
«Desafortunadamente, revertir una violación de datos es como volver a poner pasta de dientes en el tubo», dijo Jeremy Kirk, editor ejecutivo de seguridad y tecnología de Information Security Media Group.
El ataque del LAUSD se descubrió el sábado 3 de septiembre durante el fin de semana del Día del Trabajo. Los técnicos apagaron rápidamente los sistemas informáticos para mitigar la intrusión, aunque algunas interrupciones continúan más de un mes después.
Aproximadamente la mitad de los servidores estaban encriptados en la división de instalaciones, lo que los hacía inaccesibles. Aún así, los funcionarios del distrito creen que la rápida contrarrestación evitó el robo generalizado de datos. El sistema escolar se negó a pagar un rescate y, como resultado, los piratas informáticos publicaron en línea alrededor de 500 gigabytes de datos del distrito.
La cantidad de personas con datos personales comprometidos parece ser pequeña, en comparación con los millones de personas que tienen datos almacenados en los sistemas del distrito. Sin embargo, los funcionarios no estaban preparados la semana pasada para decir cuántas personas están afectadas. Ese análisis está en curso.
Los datos en juego en cualquier ataque al sistema escolar incluirían nombres, direcciones, fechas de nacimiento y números de Seguro Social, un asunto más serio que, digamos, un hackeo «efímero» en una tienda de materiales de construcción que arrojaría nombres y números de tarjetas de crédito, dijo John Childs, director de soluciones de seguridad de la información de DynTek, un servicio nacional de consultoría en tecnología de la información con sede en Irvine.
LA Unified no recopila los números de Seguro Social de los estudiantes, y los funcionarios dijeron que no se accedió a ninguna base de datos de empleados que almacenara información de nómina, banca, Seguro Social o médica, pero algunos contratistas que trabajan en la división de instalaciones no tuvieron tanta suerte.
Incluso sin números de Seguro Social, los agentes de Internet pueden comenzar a crear un perfil de una persona, incluso de un niño, que puede usarse de manera fraudulenta, tarde o temprano. Los datos perdidos incluían la fecha de nacimiento y la dirección de muchos estudiantes matriculados en algún momento entre 2013 y 2016 y de algunos empleados durante ese período.
Es posible que tales víctimas deban estar «siempre mirando por encima de su espalda», dijo Childs, quien no ha analizado la violación del LAUSD. “No es solo un riesgo mientras las autoridades están enfocadas en la violación”.
Meses después de una reciente filtración de datos en las escuelas de Toledo, los padres de un estudiante de primaria informaron que alguien había robado la identidad de su hijo para solicitar un préstamo de automóvil, una tarjeta de crédito y tarifas de servicios públicos con descuento.
Los efectos dominó incluyen posibles litigios contra el sistema escolar por no salvaguardar los datos. LA Unified podría enfrentar riesgos similares, dijeron los expertos.
Sandvik señaló que LA Unified fue advertido sobre vulnerabilidades en una auditoría interna de 2020: «Lo que realmente me llama la atención es que tienes un distrito escolar que ha estado al tanto durante bastante tiempo de algunas deficiencias que tienen y no las ha abordado».
Los funcionarios del distrito dijeron que tratarían de comunicarse con aquellos cuya información fue robada y ofrecer un control crediticio, aunque algunos expertos dijeron que dudaban que el control crediticio proporcionara mucho valor. Carvalho anunció una serie de medidas para prevenir futuros ataques, al tiempo que reconoció que el distrito no actuó según las principales recomendaciones de la auditoría de seguridad de 2020.
Los funcionarios dicen que no saben cómo ingresaron los piratas informáticos, pero los remedios incluirán la autenticación multifactor, que generalmente requiere más de una contraseña. El distrito también limitará el uso de aplicaciones externas que crean una posible puerta trasera en el sistema.
Un ejemplo de ello es la violación de datos a principios de este año en Illuminate, una empresa que brinda servicios educativos. Esa brecha afectó a los distritos escolares de todo el país, incluido el LAUSD. Más de 4,700 estudiantes del LAUSD matriculados entre 2008 y 2010 tenían datos personales comprometidos, dijo el distrito a una publicación de tecnología en respuesta a una solicitud de la ley de registros públicos. Illuminate envió avisos a los afectados desde LA Unified en mayo, según los registros estatales.
Aunque el hackeo más grande del LAUSD en septiembre fue notable debido al tamaño del sistema escolar, algunos expertos minimizaron su magnitud.
«No es genial», dijo el tecnólogo de seguridad Bruce Schneier, sobre la piratería. «Pero en el esquema de las cosas, no aterrorices a la gente. Este tipo de tonterías suceden todo el tiempo».
Los hospitales han sido «cerrados» por ataques cibernéticos, dijo Schneier, quien escribe el blog Schneier on Security «Eso se siente más grande». Un ataque cibernético la semana pasada en CommonSpirit Health, la segunda cadena de hospitales sin fines de lucro más grande del país, obligó a «desviaciones de ambulancias, cierres del sistema y reprogramación de citas de pacientes», incluso para procedimientos críticos, informó The Washington Post.
Pero para las escuelas hambrientas de recursos, los ataques pueden ser financieramente dolorosos y difíciles de manejar.
Un ataque en 2020 a las escuelas de Baltimore resultó en más de $8 millones en costos, incluidos $900 000 para la reparación del sistema de información de los estudiantes, $860 000 para investigación, $50 000 para relaciones públicas y $11 500 para servicios de negociación de ransomware. Persisten problemas importantes con los pagos de pensión y seguro médico para los jubilados. Algunos jubilados recibieron avisos de cobranza por «pagar de menos» las primas de seguros, una factura era de $20,000, a pesar de que dijeron que habían pagado lo que exigía el distrito.
Carvalho dijo que el costo en dólares del Distrito Escolar Unificado de LA hasta la fecha es insignificante (esencialmente horas extra de los empleados) debido a los servicios gratuitos y la ayuda de otras agencias gubernamentales y del orden público. Pero habrá costos significativos para prevenir otro ataque, dijo.
El distrito también tiene un seguro contra ataques cibernéticos, pero si tomó las medidas preventivas adecuadas podría afectar el pago de un reclamo, dijeron los expertos.
El seguro contra ataques cibernéticos ha tenido algunas consecuencias no deseadas, dijo Brett Callow, analista de amenazas de la firma de seguridad digital Emsisoft.
«Creo que hemos terminado en un círculo vicioso en los últimos años con mayores demandas que llevan a las organizaciones a contratar más seguros, lo que les permite y están dispuestas a pagar más cuando se ven afectados», dijo Callow.
Algunos distritos, incluido el Distrito Escolar Independiente de Judson en San Antonio, concluyeron que no tenían otra alternativa que pagar el rescate. Los sistemas informáticos de ese distrito el año pasado fueron encriptados por piratas informáticos y los datos privados se exportaron en masa. El distrito de 23,000 estudiantes pagó $547,000.
Este año, los piratas informáticos han atacado al menos 27 distritos escolares de EE. UU. y 28 universidades, dijo Callow. Al menos a 36 de esas organizaciones les robaron datos y los publicaron en línea, y al menos dos distritos y una universidad pagaron a los atacantes, dijo Callow.
Los recursos pueden limitar lo que un distrito hace para prevenir y responder a un ataque, dijo el superintendente Stephen Nellman del Distrito de Escuelas Secundarias Centinela Valley Union, que fue atacado el año pasado.
«Cuando un distrito escolar sufre un ataque, no hay una oficina de apoyo en todo el estado que coordine una respuesta», dijo Nellman. «Se espera que cada distrito coordine su propia respuesta, y no todos los distritos tienen la experiencia o los fondos para reaccionar de manera oportuna».
Centinela Valley dijo que la cobertura de seguro ha valido la pena porque la aseguradora requiere que el distrito mantenga un alto nivel de seguridad de la red, que se audita anualmente.
Los distritos escolares suelen ser reacios a reconocer o revelar detalles sobre un ataque, incluso si pagaron un rescate.
El Distrito Escolar Unificado de Rialto se negó a responder preguntas sobre un ataque reciente debido a la «sensibilidad» del tema.
«En nuestro distrito, creamos un plan de recuperación y seguimos la guía del equipo forense cibernético», dijo la portavoz del distrito, Syeda Jafri. «Continuamos con las actualizaciones y procesos de seguridad».
Atacantes cibernéticos del LAUSD exigen rescate
2022 Los Ángeles Times.
Distribuido por Tribune Content Agency, LLC.
Citación: Los problemas y las incertidumbres de los ciberataques del LAUSD podrían ser duraderos, dicen los expertos (11 de octubre de 2022) consultado el 11 de octubre de 2022 en https://techxplore.com/news/2022-10-la-cyberattack-woes-uncertainties-long- duradero.html
Este documento está sujeto a derechos de autor. Aparte de cualquier trato justo con fines de estudio o investigación privados, ninguna parte puede reproducirse sin el permiso por escrito. El contenido se proporciona únicamente con fines informativos.
