Más allá del virus, debemos ciberproteger nuestros centros educativos
La mayoría de las familias ha puesto el fin a las vacaciones de verano más atípicas que se recuerdan y ahora entramos de lleno en la “vuelta al cole”. Sin embargo, este año nada tiene de tradicional o rutinario. Se inicia un nuevo curso plagado de incertidumbres para las familias, ya que mucho se ha hablado sobre cómo podrán volver este año los alumnos a las aulas tras las consecuencias de la crisis sanitaria provocada por el coronavirus y las cifras actuales del aumento de los casos positivos. En la medida de lo posible, esta vuelta al cole 2020 será presencial o semipresencial, siempre que las circunstancias lo permitan. Aún así, la posibilidad de que parte del curso escolar se desarrolle de forma telemática y de que los alumnos tengan que volver a la educación a distancia es muy alta.
Los centros educativos en España han estado inmersos en procesos de digitalización en los últimos años que, al igual que en muchas empresas, se han visto acelerados por la crisis del coronavirus y, en muchas ocasiones, se han realizado con urgencia, provocando que la ciberseguridad no siempre haya estado entre los asuntos prioritarios. Para la mayoría de estos centros, la transición de modelos físicos a modelos online se ha realizado demasiado rápido, sin el tiempo adecuado para examinar los riesgos potenciales y con la consecuencia de exponer sus redes al despliegue de nuevas tecnologías y aplicaciones.
La securización de los sistemas educativos es tan fundamental como la protección de los sistemas empresariales o de las administraciones públicas, más aun teniendo en cuenta la vulnerabilidad de las víctimas que están en riesgo. Es común preguntarse, ¿por qué un cibercriminal atacaría un centro educativo si, aparentemente, no hay un gran beneficio económico detrás? Muchos ciberataques no se cometen con un gran objetivo único, sino que son pequeños ataques cotidianos que los cibercriminales llevan a cabo para obtener beneficios económicos y mantener así su actividad delictiva. Además, hay que tener en cuenta que en el momento en que un ciberatacante accede a una red educativa tiene acceso a toda la información de la red junto con la de todos los dispositivos conectados.
Un ciberataque a un colegio, por ejemplo, puede tener como objetivo lanzar un ataque de ransomware con el que secuestrar la información de la red a cambio de un rescate económico (habitualmente en bitcoins) con el que el atacante obtiene dinero para seguir delinquiendo. Otro objetivo puede ser el robo de datos mediante un ataque de malware para después vender esa información en la Deep Web (o internet profundo) a cambio de unos cientos de dólares que los ciberdelincuentes mueven de un sitio a otro dentro de la web profunda generando sus fortunas. Desde los datos personales de estudiantes, maestros, exalumnos y personal administrativo hasta datos confidenciales relacionados con la investigación y la propiedad intelectual pueden ser activos muy valiosos para los atacantes. Es obvio que, del mismo modo en que los cibercriminales aprovecharon la pandemia del coronavirus para llevar a cabo estafas de phishing o spam contra usuarios de la red, la “vuelta al cole” es un momento tan bueno como cualquier otro para sacar ventaja de las vulnerabilidades, en este caso, de los centros educativos.
El aumento de la educación online y, en consecuencia, del uso de dispositivos y aplicaciones, hasta ahora poco conocidas o utilizadas en el sector de la educación, abre un excelente nicho de mercado para el cibercrimen y los riesgos de ciberseguridad a los que se enfrentan estos centros no son pocos.
En primer lugar, hay que prestar atención a la vulnerabilidad de los alumnos. El uso de nuevas herramientas como intranets, plataformas para compartir documentos o aplicaciones de videollamadas o reuniones virtuales hacen a los alumnos a y los profesores más sensibles a compartir información o activar permisos que, de forma involuntaria, abren la puerta a los ciberatacantes. Por otro lado, el acceso cada vez más extendido de los alumnos a sitios web de contenidos piratas para descargar materiales, pone en riesgo la red al completo en el momento en que ese dispositivo se conecta. Esta amenaza se hace más pronunciada si tenemos en cuenta que muchos centros educativos simplemente no tienen el presupuesto necesario para revisar sus soluciones tecnológicas, por lo que algunos se sienten atraídos por herramientas y aplicaciones gratuitas. La mayoría de ellas están cargadas de controles de privacidad inadecuados, seguimiento de usuarios, contenido promocional inapropiado y, a veces, malware, todo lo cual eleva el riesgo de no cumplir con las regulaciones aplicables y la LOPD.
Otro punto crítico de los centros educativos son los accesos remotos. Tanto estudiantes como profesores necesitan acceder a herramientas en la nube (apps para compartir archivos, correo electrónico, etc.) junto con accesos remotos a la red escolar. Por su parte, el personal administrativo que trabaja desde casa también necesita acceder a documentos e información alojada en la red escolar. Si estos accesos no se realizan de forma segura, los ciberdelincuentes pueden entrar fácilmente en la red. Para minimizar estos riesgos será fundamental contar con una Red Privada Virtual (VPN) que ofrezca acceso seguro a los usuarios y proteja los datos que fluyen dentro de la VPN gracias a su cifrado. Además, es importante que el acceso este protegido con autenticación de dos factores (2FA) para generar un código único para cada acceso. Y ese mismo riesgo se corre a la inversa. No solo es importante quién entra sino con qué entra. La conexión de los dispositivos personales de los alumnos y profesores pueden ejecutar aplicaciones no protegidas en la red del centro y vulnerar todo el sistema. Para evitarlo es importante contar con una “lista blanca” de aplicaciones que pueden ejecutarse en la red y bloquear el resto de los accesos.
El phishing o los ciberataques mediante emails fraudulentos es otro de los riesgos en ciberseguridad a los que se enfrentan los centros educativos. Si durante estos meses se ha detectado un aumento en las estafas de phishing sobre el coronavirus, es muy probable que el aumento de la educación online también sea utilizado para lanzar estos ataques. Desde emails falsos enviados por profesores a sus alumnos para que accedan a material contaminado, a información sobre las medidas o falsos correos electrónicos de alumnos hacia profesores, las posibilidades son muchas. Por eso es importante concienciar y formar tanto al alumnado como al personal docente.
Por último, aunque no menos importante, es necesario destacar la escasez de personal cualificado en ciberseguridad en los centros educativos. Si bien este desafío no es exclusivo de las escuelas, la falta de personal de TI deja la red de una escuela particularmente susceptible a las amenazas. Esta situación supone que no haya nadie capaz de administrar los dispositivos y las políticas de seguridad, que no se aprovechen los informes críticos que detectan usuarios en riesgo, etc. Este desafío no tiene fácil solución en el corto plazo, pero si es posible subsanar parte de estos riesgos contando con servicios gestionados de respuesta frente a amenazas, que ofrecen un equipo de expertos en ciberseguridad que trabajan 24/7 para proteger las redes de cualquier ciberataque.
Todos estos riesgos ponen de relieve que, tras una fase inicial de emergencia en la que lo primordial era continuar con el curso académico y que ningún alumno se quedase atrás, ahora es el momento de valorar de forma seria la ciberseguridad en el sector educativo. Tanto el apoyo por parte de las instituciones como la oferta de soluciones especificas y herramientas sencillas por parte de los fabricantes de ciberseguridad podrán ayudar a que el curso 2020/2021 sea lo más seguro posible, tanto en la vida real como en la red.