Las escuelas de Estados Unidos han perdido 24.5 millones de registros en violaciones desde 2005


Un informe de Comparitech descubrió que desde 2005 los distritos K – 12 y los colegios / universidades han sido atacados más de 1.300 veces.

Violación de seguridad de datos

gustavofrazao, Getty Images / iStockphoto

Un informe de Comparitech examinó los ataques cibernéticos contra instituciones educativas en los Estados Unidos y descubrió que hubo más de 1.300 violaciones desde 2005 y más de 24 millones de registros perdidos.

El investigador de datos de Comparitech, Sam Cook, profundizó en los datos y descubrió que todos los estados, además de Wyoming, han reportado al menos una violación desde 2005, y California y Arizona sufrieron la mayor cantidad de registros perdidos.

Si bien las cifras muestran que 2008 tuvo la mayor cantidad de violaciones de datos educativos, estas cifras están un poco sesgadas porque la mayoría de los estados solo han implementado leyes de notificación de violaciones en los últimos años. Fue solo en 2018 que el Departamento de Educación federal ordenó que todas las instituciones del Título IV tengan que informar todas las infracciones, independientemente de su tamaño.

Los años con la mayor cantidad de registros perdidos fueron 2013 y 2017. Los datos del estudio muestran que las escuelas públicas y las universidades a menudo sufrieron más violaciones que las privadas.

VER: Seguridad de confianza cero: una hoja de trucos (PDF gratuito) (TechRepublic)

"Si observamos el número de infracciones por estado de los EE. UU., Podemos ver que California tuvo la mayor cantidad de lejos, representando 157 de las 1,328 infracciones (11.8 por ciento)", encontró el informe. "La lista de los estados más afectados también incluye Nueva York con 89, Texas con 79, Illinois y Ohio, cada uno con 60, y Florida con 58", afirman los investigadores del estudio, agregando que estos números no fueron sorprendentes porque California, Texas, Nueva York, Illinois y Ohio son los estados más grandes del país y tienen un gran número de escuelas y estudiantes.

California sigue siendo un punto de acceso, según el informe, "sin embargo, Arizona se convierte en uno de los estados más afectados con solo un poco menos de personas afectadas en sus violaciones que California (2,83 millones en comparación con 2,88 millones). Virginia Occidental y Georgia también muestran un alto número de registros afectados en contraste con el número de violaciones con 1.3 millones y 1.6 millones de registros afectados, respectivamente. Otros estados con un alto número de registros expuestos o robados en violaciones incluyen Ohio (1.4 millones), Massachusetts (1.7 millones) y Florida (1.6 millones ) ".

El informe encuentra grandes diferencias entre los estados con un alto número de ataques contra escuelas K-12 y aquellos con más infracciones en colegios o universidades.

Texas, California, Illinois, Nueva York y Florida tuvieron el mayor número de infracciones en las escuelas K-12 desde 2005 hasta 2020, pero algunos estados, como Nevada, todavía tuvieron una gran cantidad de registros perdidos a pesar de las bajas cantidades de infracciones.

El estudio señala que el alto número de registros perdidos de Nevada se puede atribuir en gran parte a dos infracciones específicas que tuvieron lugar en el condado de Washoe y el condado de Clark. Los dos condados perdieron 114,000 y 559,487 registros, respectivamente, en sus distritos escolares como parte de la violación de datos de Pearson Education, que afectó a docenas de escuelas en todo el país.

Según el estudio y los informes de noticias, el hackeo involucró una herramienta de evaluación de estudiantes violada creada por AIMSweb de Pearson y expuso la información de miles de estudiantes. Se violó la herramienta, dejando al descubierto cierta información de identificación personal del estudiante en más de 13,000 escuelas.

En una entrevista por correo electrónico, Cook dijo que estados como California, Texas y Florida tenían números altos debido a sus enormes poblaciones, número de universidades y el tamaño de los distritos escolares K-12, lo que los convirtió en objetivos atractivos.

"Nueva York es un caso interesante, sin embargo", dijo Cook. "Aunque su tamaño universitario y K-12 está entre los mejores, y como resultado ha experimentado una gran cantidad de violaciones de datos, colectivamente ha perdido muy pocas por la cantidad de violaciones de datos que ha tenido. No hemos hablado con ningún CIO en ninguna parte , pero podría suponer que el sistema universitario más centralizado de Nueva York, en particular, es la razón por la que han visto menos pérdidas como resultado ".

"Es probable que implementen los mismos estándares de mitigación en todas sus instituciones de educación superior, mientras que la mayoría de los colegios y universidades de otros estados no están tan controlados centralmente", agregó Cook. "Aquí y allá, algunas brechas de datos en los EE. UU. Son un problema de infraestructura de TI deficiente o divulgaciones no intencionales debido a algunos descuidos severos que dejan los datos expuestos".

California lidera en violaciones y registros perdidos

Cuando se trata de ataques a universidades, el estudio encontró que los números de California eran muy superiores a los de cualquier otro estado, duplicando y a veces triplicando la cantidad de violaciones y registros perdidos.

Según la investigación de Cook, California representó el 12.2% de las 985 violaciones de datos de la universidad y el 10.6% de los 21.5 millones de registros afectados. Nueva York quedó en segundo lugar con más de 60 violaciones y casi medio millón de registros perdidos. Seis estados tuvieron más de un millón de registros perdidos por infracciones: Florida, Arizona, Massachusetts, Georgia, Ohio y Washington.

Cook se concentró específicamente en Arizona, que tenía una gran cantidad de registros perdidos en comparación con el insignificante número de infracciones.

"Esto surge de una gran violación que afectó a casi 2.5 millones de registros de Maricopa Community Colleges. El sistema universitario fue criticado debido al tiempo que tardó en notificar a los involucrados (siete meses). Según los informes, la limpieza costó $ 26 millones", dijo Cook. escribió

El estudio también tiene datos valiosos sobre el porcentaje de escuelas en cada estado que sufrieron infracciones, y descubrió que si bien California tenía números descomunales, los estados relativamente más pequeños tenían porcentajes más altos de escuelas afectadas entre 2005 y 2020.

Cook también desglosa los números por registros perdidos por incumplimiento, descubriendo que las escuelas públicas K-12 perdieron 8.847 registros por incumplimiento, mientras que los colegios o universidades públicas perdieron 25.312 registros por incumplimiento. Las escuelas privadas K-12 tuvieron 3.657 registros afectados por incumplimiento y los colegios o universidades privadas perdieron 14.046 registros por incumplimiento.

Casi la mitad de todos los incidentes involucraron piratería, pero una cantidad considerable de violaciones ocurrieron debido a revelaciones involuntarias por parte de las instituciones o robo o pérdida de dispositivos portátiles. Las mayores violaciones desde 2005 fueron la violación de datos del Distrito de Colegios Comunitarios del Condado de Maricopa 2013, que resultó en la pérdida de 2.49 millones de registros y la violación de la Harvard Computer Society de 2017 que involucró 1.4 millones de registros perdidos.

Colin Bastable, CEO de la compañía de capacitación de seguridad Lucy Security, dijo que las escuelas son particularmente vulnerables porque la mayoría de las personas que trabajan para instituciones educativas no esperan ser víctimas.

Agregó que las escuelas deben realizar mayores inversiones en seguridad y enseñar a su personal cómo mantenerse seguro en el trabajo y en el hogar.

"Los hackers son muy inteligentes y están muy motivados, mientras que el personal se centra en la vida escolar y su servicio público. Es una batalla desigual. El sector público generalmente está menos equipado para defenderse contra el cibercrimen", dijo Bastable.

"En mis pruebas y demostraciones con clientes y prospectos, el 30% de los correos electrónicos de phishing pasan directamente a través de firewalls estatales y locales, en comparación con el 10% de los ataques simulados en el sector privado. Ahora se gasta mucho dinero estatal y local en pensiones de maestros, privando a los distritos escolares de los medios financieros para invertir en defensa cibernética, obligando a los equipos de seguridad a tomar decisiones difíciles sobre los gastos. muy alta propensión a abrir involuntariamente la puerta a los piratas informáticos ".

Ver también



Enlace a la noticia original