En una encuesta de ciberseguridad a 485 grandes facultades y universidades, el Instituto Tecnológico de Massachusetts (MIT)se situó en la parte inferior de la lista.
En un informe publicado la semana pasada, SecurityScorecard analizó las instituciones educativas sobre la base de la seguridad de aplicaciones web, seguridad de red, seguridad de punto final, la reputación IP, parches y otros indicadores de seguridad.
Alex Heid, jefe de investigación de SecurityScorecard, dijo que tienen la sensación de que las bajas puntuaciones del MIT se debieron en parte a sus esfuerzos en investigación de ciberseguridad.
“Ellos hacen su propia investigación de malware”, señaló. “Corren honeypots. Están corriendo nodos de salida TOR”.
Pero eso es solo parte de la historia, añadió.
“Cuando profundizamos, nos encontramos con que hay una gran cantidad de contraseñas expuestas, sistemas legados y muchos subdominios administrativos que parecen haber sido olvidados”, añadió.
Entre otros problemas se tienen las instancias del viejo gusano Conficker, puertos vulnerables y viejos servicios todavía en funcionamiento que ya no deberían estar en ejecución.
Es común en las facultades que los estudiantes y catedráticos se vayan y olviden cerrar sus viejos proyectos, indicó Heid.
El MIT recibió altas calificaciones en seguridad de aplicaciones web, salud de DNS y seguridad de las aplicaciones.
La calificación reprobatoria del MIT por exposición de contraseñas en realidad no cuenta para su baja puntuación general, añadió, porque a menudo las contraseñas quedan expuestas cuando los estudiantes y el personal reutilizan las credenciales en otros sitios que sufren de filtración de datos.
Las organizaciones no son penalizadas por factores que se encuentran fuera de su control, señaló.
Pero las 10 instituciones de menor puntuación en el informe recibieron una calificación reprobatoria por las contraseñas expuestas, anotó Heid.
“Cuando nos fijamos en las fuentes reales de las filtraciones de datos de las universidades, una gran cantidad de la información filtrada provenía de la propia universidad”, agregó.
¿La institución con las calificaciones más altas? Merced Community College en Merced, California.
Las instituciones educativas tienden a estar peor en indicadores de seguridad que las organizaciones de tamaño similar en otros sectores, señaló Heid.
A menudo utilizan a los estudiantes para hacerse cargo de algunas partes de su infraestructura, indicó. “Y se fomentan los errores porque así es como se aprende”.
Además, las compañías de finanzas, seguros o defensa probablemente tienen equipos de seguridad profesionales internos para asegurarse de que sus problemas sean pocos, y se arreglen rápidamente cuando se presentan.
Por ejemplo, las instituciones educativas requieren de un promedio de 28 días para reparar las vulnerabilidades críticas, añadió Heid.
“Eso es mucho tiempo en comparación con otras grandes instituciones”, indicó.
Además, las universidades han sido tradicionalmente un lugar favorito para los hackers. Eso todavía sucede hoy en día”, finalizó.
– Maria Korolov, CSO.