LA @
‘HACKEO’ A LA EDUCACIÓN
Los asaltos a centros educativos no son algo anecdótico, obra de un francotirador del ciberespacio. Forman parte de un bombardeo a muchos sectores
El sector educativo está entre los tres objetivos preferidos de los piratas informáticos. La inmersión en el mundo digital de escuelas y universidades durante la pandemia las ha expuesto más a sus ataques. El gran número de datos que manejan es un gran botín de los hackers.
La imagen que tenemos de un pirata informático que ataca a una universidad es la de un joven con capucha o gorro de lana, aunque esté calentito en su habitación. En su monitor se suceden infinidad de números verdes fluorescentes hasta que le aparece el mensaje: “acceso permitido”. Accede a la base de datos de la universidad y cambia sus calificaciones. Bien.. pues nada más lejos de la realidad.
Los asaltos a centros educativos no son algo anecdótico obra de un francotirador del ciberespacio. Forman parte de un bombardeo a muchos sectores. Sin embargo, cuando una “bomba” , en forma de email pernicioso, revienta en una organización educativa, la explosión es en cadena por el alto número de usuarios a los que alcanza. Además la educación tiene una gran superficie de exposición a los ataques por su gran interconexión para recibir clases online o por su número de redes wifi públicas.
Los estudios son diversos pero coinciden. El de Ciberamenazas 2021 de SonicWall, una empresa de seguridad informática con más de 1,1 millones de sensores repartidos por 215 países, señala que los ataques a gobiernos se han multiplicado por nueve, al sector educativo y sanidad prácticamente por seis. Otro estudios también de empresas de ciberseguridad como SecurityHQ o Check Point Research (CPR) coinciden en que la educación está entre los tres sectores más ciberatacados.
¿ El objetivo es la educación?
Presentar a Marta Beltrán es difícil o bien porque su currículum es muy largo: ingeniería electrónica, licenciada en Físicas, doctora en Informática, etc. o porque estudia sobre áreas poco comunes para el resto de los mortales: “sistemas distributivos, seguridad en Cloud, Edge, gestión de identidades y accesos, etc.” Pero es de las más adecuada para hablar de ciberataques a centros educativos: es profesora y coordina el Grado en Ingeniería de la Ciberseguridad en la Universidad Rey Juan Carlos.
LA EDUCACIÓN TIENE UNA GRAN EXPOSICIÓN A LOS ATAQUES POR SU INTERCONEXIÓN PARA RECIBIR CLASES ‘ONLINE’ O POR SU NÚMERO DE REDES WIFI PÚBLICAS
“Los ataques no se dan porque los piratas tengan especial manía a la educación sino por su alto grado de digitalización”. ¿Por qué hay tan pocos ataques en la administración de justicia? “Porque todavía siguen con papel. En cambio, en la universidad hay miles de alumnos conectados, sobre todo después de la pandemia que nos trasladó completamente al mundo digital. Por probabilidad hay más posibilidades de éxito. Basta que un profesor/alumno se infecte de un virus y, si no hay la seguridad suficiente, caigan miles” , señala.
“Tenemos tus datos”
La mayor parte de los ataques son ransomware o “secuestro de datos”. Se trata de un software malicioso que cifra todos los archivos y piden un rescate a cambio de descifrárselo para que pueda volver a trabajar. Pero todo puede ir a peor, como señala Beltrán: “desde hace medio año a este chantaje se suma otro: si no pagan filtrarán todos los datos en internet”.
Es decir, aumentan la tensión en la víctima. Por un lado, por no poder trabajar al bloquear miles de historiales académicos, clases…y por otro, la fuga de datos supone un daño reputacional grave. Lo primero, se puede resolver si se han hecho copias de seguridad de los archivos. Pero en la fuga de datos no hay subsanación posible y es denunciable por alumnos o pacientes, si es un hospital. En España hay obligación de notificar una brecha se seguridad con fuga de datos personales antes de 72 horas a la Agencia Española de Protección de Datos. A continuación se le hace un examen para cerciorarse de que tenía las medidas adecuadas para proteger los datos según la ley (Reglamento General de Protección de Datos (GDPR) 2016/679 y Directiva (UE) 2016/1148). A partir de ahí, si concluyen que esa brecha de seguridad era inevitable no habría sanción pero si se descubre que no se tomaron las medidas adecuadas se multaría. Ahora bien, si no hay fuga de datos privados no hay obligación para una empresa privada de comunicar un ciberataque, por lo que muchos de estos no nos enteramos.
¿Pagar el chantaje?
Hay algo que no cuadra. Una institución pública no puede pagar un chantaje a un delincuente entonces: ¿qué sentido tiene atacar a una organización educativa si saben que no conseguirán dinero? Beltrán lanza tres claves :
Primero, porque el ataque se lanzó de forma indiscriminada. Por ejemplo, en una campaña de tres millones de correos fraudulentos es muy probable que uno de ellos acabe en una cuenta de un alumno o profesor porque son miles. Con que uno de ellos funcione puede contaminar al resto. No es un ataque dirigido, fue probabilidad.
Segundo, el criminal que puede estar en un lejano país no sabe que la mayoría de universidades en España son públicas y que no pagarán. Pero lo lanza creyendo que se pueden comportar como una privada, como son la mayoría en EE.UU, que son autónomas para pagar o no un rescate.
Tercero, esta vez sí, el criminal busca el ataque concreto contra una universidad que sabe que no pagará por el rescate de sus datos. Pero lo comete para conseguir prestigio o también por interés político o estratégico para dañar la imagen de una universidad reconocida, por ejemplo.
EN ESPAÑA HAY OBLIGACIÓN DE NOTIFICAR UNA BRECHA DE SEGURIDAD CON FUGA DE DATOS PERSONALES ANTES DE 72 HORAS A LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS
El ciberataque a la Autónoma
Fue el último y más importante contra una institución educativa en España. Ocurrió el 11 de octubre y aún tres meses después se notan sus efectos. Nos enteramos del ataque por los propios usuarios. Anuló 1.200 servidores, 10.000 ordenadores y afectó a más de 50.000 usuarios entre alumnos y empleados. El tipo de ataque fue un ransomware que encriptó los datos y solicitaba dinero para volver a hacerlos accesibles. La UAB ha negado pagar el rescate. Sin embargo, ha tenido que recibir una ayuda de casi 4 millones de euros para volver a la normalidad y garantizar su seguridad. Si este es solo el coste para una universidad, a nivel mundial es difícil imaginar el de todos ellos. Aún así, algunos medios especializados como “Cybersecurity Ventures” señalan que el coste de todos los ciberataques en el mundo, no solo educación, es de cinco billones de euros.
Sin embargo, pese a que la educación recibe muchos asaltos informáticos, Luis Blanco, jefe de tecnologías de la Información de la Universidad de Comillas, que apuesta fuerte por la seguridad, apunta a que “de las 72 universidades, diría que un 50% está preocupado por la seguridad y tomando medidas, y el otro 50% está expectante a ver qué hace el resto”. Es decir, parece que se hace más bien poco. De hecho, no hay medidas estandarizadas entre universidades, cada una se protege como quiere o puede. Ahora bien, su título no corre peligro. Lo habitual es que el acceso a la información más importante (titulaciones, expedientes, etc.) tenga doble autentificación y cuentan con hasta cuádruple copia de seguridad. Pero como siempre la seguridad no existe al 100% . Por si acaso, no quite el diploma que tiene colgado.
AQUÍ HAY TRABAJO (Y MUCHO)
El mayor problema de las redes es la falta de profesionales bien formados. Así, según los datos de noviembre de 2021 del INCIBE (Instituto Nacional de Ciberseguridad) en Europa no se cubren 168.000 puestos en ciberseguridad, cifra que asciende a 3,1 millones a nivel mundial. Antes de dejar corriendo la revista y apuntarse a un curso. En esta dirección… tiene los centros reglados.
¿Somos una potencia en ciberseguridad?
España tiene varios organismos que se encargan de la seguridad digital: el Consejo Nacional de Ciberseguridad, el Foro Nacional de Ciberseguridad, el Centro Criptológico Nacional , el Instituto Nacional de Ciberseguridad (Incibe), etc. Además, somos el cuarto país más ciberseguro según el Global Cibersecurity Index de 2020, el principal informe sobre ciberseguridad internacional de la Unión Internacional de Telecomunicaciones (UIT), organismo dependiente de Nacionales Unidas. Sin embargo, nuestro país quedó fuera de la reunión virtual que convocó EE.UU. en octubre y que reunió a 30 naciones para coordinarse frente a los ciberataques. Nos dejaron fuera como a Rusia, y eso que en nuestro país no hay hackers organizados.
Suspenso en protección
Eduardo Brenes (en Twitter @BrenesEdu) es jefe de la división ibérica de Sonic Wall, empresa estadounidense de ciberseguridad. Viendo los fallos que han detectado en el sector educativo es fácil el remedio: hacer lo contrario. Según sus datos el 63% de las escuelas no revisan los permisos de forma regular; el 22% no sabe cómo se otorgan los derechos de acceso e incluso el 24% otorgó acceso directo a toda solicitud. Sólo el 18% de las instituciones educativas tiene un profesional de ciberseguridad dedicado a tiempo completo.