Si el Distrito Escolar Unificado de Los Ángeles, el distrito escolar más grande del estado, puede verse afectado por un ataque de ‘ransomware’ (secuestro cibernético), ¿qué tan preparadas están las escuelas públicas de California para la creciente amenaza de los ataques cibernéticos?
Depende, según expertos que trabajan en el campo de la ciberseguridad y las tecnologías de la información en las escuelas públicas del estado. Algunos distritos pueden tener un puñado de profesionales de ciberseguridad en el personal, mientras que otros no tienen ninguno. Además de eso, actualmente no existen pautas estatales para la seguridad digital en los distritos escolares.
“La gran mayoría de los distritos no tienen un solo miembro dedicado a las amenazas de seguridad cibernética”, dijo Terry Loftus, superintendente asistente de la Oficina de Educación del Condado de San Diego. “No hay un estándar real establecido”.
Loftus tiene su propio equipo de cinco profesionales de ciberseguridad, el más grande del estado. Pero dice que eso se debe en gran parte a que hizo sus estudios de posgrado en seguridad cibernética y convirtió al equipo en una prioridad. No todos los distritos están tan equipados. Loftus dijo que el Distrito Escolar Unificado de Los Ángeles, que atiende a unos 400,000 estudiantes, tuvo la suerte de tener algunos expertos en seguridad cibernética en su nómina, pero el Departamento de Educación de California no los tiene.
El portavoz del Departamento de Educación de California, Scott Roark, dijo que la agencia comparte una lista con las mejores prácticas y recursos para la seguridad de los datos en su página web, pero los funcionarios escolares y del distrito toman sus propias decisiones con respecto a las medidas de seguridad cibernética.
Los ciberataques varían en severidad. Un ataque de ransomware, como el que afectó al Distrito Unificado de Los Ángeles este mes, involucra a un pirata informático que amenaza con publicar datos confidenciales a menos que se pague un rescate. Los atacantes de ransomware también pueden cifrar y bloquear el acceso de un objetivo a sus propios datos.
“La gran mayoría de los distritos no tienen un solo miembro dedicado a las amenazas de seguridad cibernética”.
TERRY LOFTUS, SUPERINTENDENTE ASISTENTE DE LA OFICINA DE EDUCACIÓN DEL CONDADO DE SAN DIEGO
Las escuelas públicas poseen datos confidenciales que van desde números de Seguro Social hasta registros de salud e información financiera. Si bien el ataque del Distrito Unificado de Los Ángeles ha atraído la atención nacional, Loftus dice que este caso destacado es solo el último ejemplo de la vulnerabilidad de la educación pública a los ataques cibernéticos.
“La educación es una mezcla de múltiples sectores diferentes”, dijo. “Somos proveedores de transporte. Brindamos servicios de alimentación y nutrición. Tenemos enfermeras escolares y mucho más”.
Y a medida que los distritos escolares y el estado tomaron medidas para cerrar la brecha digital durante la pandemia, más estudiantes en línea significan más puntos ciegos vulnerables a los ataques cibernéticos.
Sin lineamientos formales de seguridad cibernética a nivel estatal, algunas escuelas confían en las recomendaciones del Centro para la Seguridad de Internet, una organización de base creada por profesionales de seguridad cibernética en todo el país, tanto del sector público como del privado. Loftus dijo que el estado debería adoptar estas pautas para los más de 1,000 distritos escolares y escuelas chárter en California, considerando la creciente prevalencia de los ataques cibernéticos.
“Los ataques automatizados ocurren cada segundo”, dijo. Estos incluyen ‘bots’ (programas autónomos) que intentan iniciar sesión en las cuentas de los empleados tratando de adivinar las contraseñas.
Las pautas del Center for Internet Security contienen diferentes niveles de recomendaciones de seguridad, según el nivel de riesgo de la agencia o empresa. Un distrito escolar prominente y grande como el Distrito Unificado de Los Ángeles podría ser un objetivo más tentador que un distrito más pequeño, rural o suburbano. Otros distritos podrían depender más de la instrucción en línea, lo que significa que un ataque cibernético sería más perjudicial para la educación. Estos distritos, dicen los expertos, deberían considerar invertir más en seguridad cibernética.
“Si ha realizado una gran inversión en un plan de estudios en línea y su red no funciona debido a un problema de seguridad, su riesgo aumenta”, dijo David Thurston, director de tecnología del Superintendente de Escuelas del Condado de San Bernardino.
A pesar del drama del ataque de ransomware en el Distrito Escolar Unificado de Los Ángeles, Thurston dijo que no debería haber una respuesta de pánico por parte del estado. Si bien los funcionarios estatales deberían centrarse más en la seguridad cibernética, no deberían comenzar a emitir mandatos estatales de inmediato para reforzar los cortafuegos de los distritos y otras medidas de seguridad.
“Es genial que L.A. esté destacando la ciberseguridad”, dijo Thurston. “Pero la reacción instintiva es la reacción equivocada”.
Falta de inversión en ciberseguridad
Si bien el ataque del Distrito Escolar Unificado de Los Ángeles atrajo la atención de los medios, los ataques cibernéticos en los distritos escolares ocurren con frecuencia en todo el país. Según Emsisoft, una empresa de software de seguridad cibernética que rastrea los ataques cibernéticos, hubo 58 distritos escolares y 1,681 escuelas en todo el país afectadas por ataques cibernéticos en 2021. En lo que va del año, 29 distritos y 1,735 escuelas se han visto afectados.
Brett Callow, analista de amenazas de Emsisoft, dijo que es probable que haya muchos otros que no se hayan informado. Saber con qué frecuencia ocurren los ataques cibernéticos, dijo, sería el primer paso hacia una política estatal preventiva.
“Recopilar buenos datos es absolutamente fundamental para idear una solución”, dijo Callow. “Sin datos, solo estás adivinando”.
Pero invertir en seguridad cibernética podría ser una ocurrencia tardía, especialmente para los distritos escolares con escasos recursos que, en cambio, podrían usar ese dinero para mejorar los edificios escolares, contratar más personal o comprar tecnología para el aula.
“La gente no quiere que inviertan millones de dólares en IT (Soporte Técnico) y personal de IT cuando luchan por educar a los niños”, dijo Callow. “Si los niños están sentados en aulas antiguas y en ruinas, el público no se impresionará con eso”.
Callow dijo que algunos distritos usan seguros cibernéticos para ayudar a pagar rescates durante los ataques cibernéticos, pero no está claro qué tan extendida está esa práctica.
La asambleísta Jacqui Irwin, demócrata de Camarillo, ha estado presionando a las agencias estatales para fortalecer la ciberseguridad durante años. Ella dijo que piratear un distrito escolar o una pequeña agencia gubernamental podría no ser lucrativo, pero son objetivos fáciles.
“Creo que las entidades más pequeñas simplemente no tienen los recursos para protegerse”, dijo. “Tienes que tener empleados, y tienes que tener capacitación de empleados”.
Una ley escrita por Irwin y promulgado el mes pasado requiere que más agencias gubernamentales adopten estándares de seguridad cibernética establecidos por el gobierno federal y presenten informes a la Legislatura estatal cada dos años. Irwin dijo que los funcionarios del gobierno a menudo se resisten a medidas de ciberseguridad más estrictas debido al costo de contratar más profesionales de IT y comprar más software de seguridad.
Los mismos obstáculos existen en los distritos escolares, donde la adopción de prácticas de seguridad, como la autenticación de dos factores, podría necesitar la aprobación de los sindicatos de empleados. Thurston, del Superintendente de Escuelas del Condado de San Bernardino, dijo que exigir a los maestros o empleados que usen otra herramienta de seguridad podría cambiar sus condiciones de trabajo, lo que podría requerir negociación colectiva.
En una conferencia de prensa la semana pasada, el superintendente del Distrito Escolar Unificado de Los Ángeles, Alberto Carvalho, dijo que el distrito comenzó a usar la autenticación de múltiples factores en julio. Pero dijo que los investigadores “tal vez nunca sepan” cómo los piratas informáticos ingresaron al sistema del distrito.
Thurston dijo que la comunidad de profesionales de IT y seguridad cibernética en la educación pública a menudo comparte detalles de ataques cibernéticos anteriores para ayudar a sus colegas a prepararse para incidentes similares. La portavoz del Distrito Escolar Unificado de Los Ángeles, Shannon Haber, no comentó si el distrito planea hacer lo mismo.
Irwin y Thurston dijeron que el costo de un ciberataque malicioso puede superar fácilmente el costo de preparación. Pero algunas medidas son más fáciles de adoptar, como asegurarse de que sus empleados sepan cómo identificar correos electrónicos o mensajes sospechosos.
“Necesitamos asegurarnos de que las personas en los distritos escolares entiendan cuál es su responsabilidad”, dijo Irwin. “Han ocurrido grandes hackeos debido a los eslabones más débiles”.
