1

MIT reprueba mediciones de ciberseguridad

Una encuesta de seguridad cibernética realizada a 485 grandes colegios y universidades, el Instituto de Tecnología de Massachusetts (MIT) se situó en la parte inferior de la tabla

El reto de la ciberseguridad requiere de los mejores talentos de nuestras instituciones pero, como lo muestra una encuesta de seguridad cibernética aplicada a 485 grandes colegios y universidades, no están sencillo. De hecho el Instituto de Tecnología de Massachusetts – contra todo pronóstico – se situó en la parte inferior de la lista.
En el más reciente informe publicado, SecurityScorecard analizó a las instituciones educativas sobre la base de la seguridad de aplicaciones web, seguridad de red, seguridad de punto final, la reputación de IP, parches y otros indicadores.

Centro de pruebas

El jefe de investigación de SecurityScorecard, Alex Heid, dijo que tienen la sensación de que las puntuaciones bajas del MIT se debieron en parte a sus esfuerzos de investigación de seguridad cibernética lo cual los mantendría más expuestos.

“Ellos hacen su propia investigación de malware”, dijo. “Corren honeypots. Están corriendo nodos de salida Tor”.

Pero, además de esa exposición, también hay otras razones para estos resultados, aparentemente, insólitos.

“Cuando cavamos, nos encontramos con que hay una gran cantidad de contraseñas expuestas, los sistemas heredados de edad, y un montón de subdominios administrativos que parecen haber sido olvidados“, destacó.

Otros problemas incluyen rezagos del viejo gusano Conficker, puertos vulnerables, y servicios de edad todavía en funcionamiento que no se deberían seguir ejecutando ya.

Según Heid, es común en los colegios que estudiantes y profesores sigan adelante y se olviden de apagar viejos proyectos.

El error humano

MIT recibió altas calificaciones en seguridad de aplicaciones web, la salud DNS, y la seguridad de la aplicación.

¿Por qué? Porque la calificación reprobatoria del MIT para la exposición contraseña – en realidad – no cuenta para la baja puntuación global, según explicó el experto. “A menudo las contraseñas están expuestas cuando los estudiantes y el personal reutilizan sitios que ya han sido violados”, dijo Heid agregando que las organizaciones no son penalizados por factores fuera de su control.

No obstante, las 10 instituciones que recibieron menor puntuación, según el informe, tenían todas en común – además de una calificación reprobatoria – contraseñas expuestas.

“Cuando nos fijamos en las fuentes reales de violaciones a las universidades, una gran cantidad de la brecha de información era de la propia universidad”, agregó.

Otra condición destacable es que las instituciones educativas tienden a empeorar en sus indicadores de seguridad en forma similar a organizaciones de tamaño similar en otros sectores.

Como desventaja adicional, las empresas suelen tener equipos profesionales que velan no sólo por evitar los ataques sino, también, por resolverlos rápidamente.

“Toma a las instituciones educativas un promedio de 28 días para reparar vulnerabiliddades críticas. Eso es mucho tiempo en comparación con otras grandes instituciones”, explicó Heid.

Lo atribuye a que, a menudo, utilizan los estudiantes para realizar algunas de sus infraestructuras. “Y se animan errores porque así es como se aprende. Además, las universidades han sido tradicionalmente un asidero favorito para los hackers. Eso todavía sucede hoy en día”, dijo.