La imagen que tenemos de un pirata informático que ataca a una universidad es la de un joven con capucha o gorro de lana, aunque esté calentito en su habitación.  En su monitor se suceden infinidad de números verdes fluorescentes hasta que le aparece el mensaje: “acceso permitido”. Accede a la base de datos de la universidad y cambia sus calificaciones. Bien.. pues nada más lejos de la realidad.

Los asaltos a centros educativos no son algo anecdótico obra de un francotirador del ciberespacio. Forman parte de un bombardeo a muchos sectores. Sin embargo, cuando una “bomba” , en forma de email pernicioso, revienta en una organización educativa, la explosión es en cadena por el alto número de usuarios a los que alcanza. Además la educación tiene una gran superficie de exposición a los ataques por  su gran interconexión para recibir clases online o por su número de redes wifi públicas.

Los estudios son diversos pero coinciden. El de Ciberamenazas 2021 de SonicWall, una empresa de seguridad informática con más de 1,1 millones de sensores repartidos por 215 países, señala que los ataques a gobiernos se han multiplicado por nueve, al sector educativo y sanidad prácticamente por seis. Otro estudios también de empresas de ciberseguridad como SecurityHQ o Check Point Research (CPR)  coinciden en que la educación está entre los tres sectores más ciberatacados. 

¿ El objetivo  es la educación?

Presentar a Marta Beltrán es difícil o bien porque  su currículum es muy largo:  ingeniería electrónica, licenciada en Físicas, doctora en Informática, etc. o porque estudia sobre áreas poco comunes para el resto de los mortales: “sistemas distributivos, seguridad en Cloud, Edge, gestión de identidades y accesos, etc.”  Pero es de las más adecuada para hablar de  ciberataques a centros educativos: es profesora y coordina el Grado en Ingeniería de la Ciberseguridad en la Universidad Rey Juan Carlos.

LA EDUCACIÓN TIENE UNA GRAN EXPOSICIÓN A LOS ATAQUES POR SU INTERCONEXIÓN PARA RECIBIR CLASES ‘ONLINE’ O POR SU NÚMERO DE REDES WIFI PÚBLICAS

“Los ataques no se dan porque los piratas tengan especial manía  a la educación sino por su alto grado de digitalización”. ¿Por qué hay tan pocos ataques en la administración de justicia? “Porque todavía siguen con papel. En cambio, en la universidad hay miles de alumnos  conectados, sobre todo después de la pandemia que nos trasladó completamente al mundo digital. Por probabilidad hay más posibilidades de éxito. Basta que un profesor/alumno se infecte de un virus y, si no hay la seguridad suficiente, caigan miles” , señala.

“Tenemos tus datos”

La mayor parte de los ataques son ransomware o “secuestro de datos”. Se trata de un software malicioso que cifra todos los archivos y piden un rescate a cambio de descifrárselo para que pueda volver  a trabajar. Pero todo puede ir a peor, como señala Beltrán: “desde hace medio año a este chantaje se suma otro: si no pagan filtrarán todos los datos en internet”.

Es decir, aumentan la tensión en la víctima. Por un lado, por no poder trabajar al  bloquear  miles de historiales académicos, clases…y por otro, la fuga de datos supone un daño reputacional grave. Lo primero, se puede resolver si se han hecho copias de seguridad de los archivos.  Pero en la fuga de datos no hay subsanación posible y es denunciable por alumnos o pacientes, si es un hospital.  En España hay obligación de notificar una brecha se seguridad con fuga de datos personales antes de 72 horas a la Agencia Española de Protección de Datos. A continuación se le hace un examen  para cerciorarse de que tenía las medidas adecuadas para proteger los datos según la ley (Reglamento General de Protección de Datos (GDPR) 2016/679 y Directiva (UE) 2016/1148). A partir de ahí,   si concluyen que esa brecha de seguridad era inevitable no habría sanción pero si se descubre que no se tomaron las medidas adecuadas se multaría. Ahora bien, si no hay fuga de datos privados no hay obligación para una empresa privada de comunicar un ciberataque, por lo que muchos de estos no nos enteramos. 

 ¿Pagar el chantaje?

Hay algo que no cuadra. Una institución pública no puede pagar un chantaje a un delincuente  entonces: ¿qué sentido tiene atacar a una organización educativa si saben que no conseguirán dinero? Beltrán lanza tres claves :

Primero, porque el ataque se lanzó  de forma indiscriminada. Por ejemplo, en una campaña de  tres millones de correos fraudulentos es muy probable que uno de ellos acabe en una cuenta de un alumno o profesor porque son miles. Con que uno de ellos funcione puede contaminar al resto.  No es un ataque dirigido, fue probabilidad.

Segundo, el criminal que puede estar en un lejano país no sabe que la mayoría de universidades en España son públicas y que no pagarán. Pero lo lanza creyendo que se pueden comportar como una privada, como son la mayoría en EE.UU, que son autónomas para pagar o no un rescate.

Tercero, esta vez sí, el criminal busca el ataque concreto contra una universidad que sabe que no pagará por el rescate de sus datos. Pero lo comete para conseguir prestigio o también por interés político o estratégico para dañar la imagen de una universidad reconocida, por ejemplo.

EN ESPAÑA HAY OBLIGACIÓN DE NOTIFICAR UNA BRECHA DE SEGURIDAD CON FUGA DE DATOS PERSONALES ANTES DE 72 HORAS A LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

El ciberataque a la Autónoma

Fue el último y más importante contra una institución educativa en España. Ocurrió el 11 de octubre y aún tres meses después se notan sus efectos. Nos enteramos del ataque por los propios usuarios.  Anuló 1.200 servidores, 10.000 ordenadores y afectó a más de 50.000 usuarios entre alumnos y empleados. El tipo de ataque fue un  ransomware que encriptó los datos y solicitaba dinero para volver a hacerlos accesibles. La UAB ha negado pagar el rescate. Sin embargo, ha tenido que recibir una ayuda de casi 4 millones de euros para volver a la normalidad y garantizar su seguridad.  Si este es solo el coste para una universidad, a nivel mundial es difícil  imaginar el de todos ellos. Aún así, algunos medios especializados como  “Cybersecurity Ventures” señalan que el coste de todos los ciberataques en el mundo, no solo educación, es de cinco billones de euros.

 Sin embargo, pese a que la educación recibe muchos asaltos informáticos, Luis Blanco, jefe de tecnologías de la Información de la Universidad de Comillas, que apuesta fuerte por la seguridad, apunta a que  “de las 72 universidades, diría que un 50% está preocupado por la seguridad y tomando medidas, y el otro 50% está expectante a ver qué hace el resto”. Es decir, parece que se hace más bien poco. De hecho, no hay medidas estandarizadas entre universidades,  cada una se protege como quiere o puede.  Ahora bien, su título no corre peligro. Lo habitual es que el acceso a la información más importante (titulaciones, expedientes, etc.) tenga doble autentificación y cuentan con hasta cuádruple copia de seguridad. Pero como siempre la seguridad no existe al 100% . Por si acaso, no quite el diploma que tiene colgado.