Defender el aula digital: así ha vivido la universidad el curso en que la ciberseguridad se volvió crítica
La enseñanza en remoto ha aumentado la exposición de los centros de educación superior a potenciales ciberataques. Después de un año en internet, y no exento de sobresaltos, academia y expertos hacen balance positivo
El pasado 27 de enero, poco antes de las diez de la mañana, las páginas de la Universidad de Granada (UGR) dejaron de estar accesibles en internet. En las condiciones de lejana normalidad, esta caída generalizada habría sido un contratiempo importante, pero que no necesariamente habría afectado a las rutinas de los alumnos. Con la pandemia galopando a la cima de la tercera ola y las actividades presenciales suspendidas, el impacto fue distinto. “Esto puede afectar a la normal realización de las pruebas de evaluación, por lo que los estudiantes afectados deben contactar con sus profesores para ...
El pasado 27 de enero, poco antes de las diez de la mañana, las páginas de la Universidad de Granada (UGR) dejaron de estar accesibles en internet. En las condiciones de lejana normalidad, esta caída generalizada habría sido un contratiempo importante, pero que no necesariamente habría afectado a las rutinas de los alumnos. Con la pandemia galopando a la cima de la tercera ola y las actividades presenciales suspendidas, el impacto fue distinto. “Esto puede afectar a la normal realización de las pruebas de evaluación, por lo que los estudiantes afectados deben contactar con sus profesores para recibir indicaciones al respecto”, informaba el centro en un comunicado emitido durante esa mañana.
Desde hace prácticamente un año, la enseñanza universitaria tiene en internet una segunda casa en la que pasa cada vez más tiempo. Y esas estancias prolongadas por los picos de la pandemia exponen la infraestructura digital a la impepinable visita de la ciberdelincuencia. “Esto es como los terremotos: hay pequeños que pasan todos los días y nadie los nota, pero de vez en cuando se da uno más grande”, explica Francisco Cano, director del CSIRC y responsable de seguridad de la Red UGR.
El terremoto de enero se hizo notar porque sucedió en pleno periodo de exámenes, los segundos que la universidad convocaba en remoto después de los que se hicieron en junio. Según explica Cano, la causa fue lo que se conoce como ataque DDoS —de denegación de servicios—, cuya estrategia es abarrotar los servidores con más visitas de las que pueden admitir hasta que, saturados, se vienen abajo. “Fueron millones de ordenadores que se dedicaban a intentar acceder a los servidores de la universidad”, explica el experto. La respuesta a esto fue poner barreras para prevenir el colapso, pero esas mismas barreras, aunque imprescindible también dejaban temporalmente fuera a profesores y alumnos en medio de sus evaluaciones. “Lo que sí tenemos claro es que no se llegó a entrar en el castillo”. La muralla aguantó y evitó males mayores. “Los servidores son equipos que muchas veces están años funcionando. Y cuando se tiran abajo, es un problema”.
Según explica Cano, el ataque que la universidad identificó como un intento de boicotear los exámenes es el único ciberataque que ha logrado perturbar las rutinas de la UGR desde que comenzó la pandemia y, con ella, la mudanza apresurada a la enseñanza en línea. Los demás incidentes memorables de este año en internet los resume en una avalancha de phishing y un puñado de intentos boicotear reuniones en Zoom u otras plataformas de videoconferencia (zoombombing). Hervé Lambert, responsable de operaciones del área de consumo de Panda Security, se quita el sombrero ante el modo en que las universidades han respondido a esta transición a lo digital: “Han tenido una revolución brutal. Ni las empresas han tenido tantos cambios como lo que esto ha supuesto para alumnos y profesores. No nos hacemos a la idea de lo que supone para una universidad hacer todo de forma remota”.
De acuerdo con un estudio de la compañía de ciberseguridad Bluevoyant, elaborado con datos de 2.702 universidades de 43 países, la principal amenaza para estos centros, en línea con lo que ocurre en otros sectores, son los ataques de ransomware, en los que un virus encripta la información almacenada en el equipo de manera que sus contenidos solo pueden descifrarse mediante el pago de un rescate. En promedio, el coste de estos incidentes fue, según el mismo informe, de más de 370.000 euros. “Las universidades son como cualquier otra empresa que tiene que proteger sus activos. Nosotros tenemos datos de los estudiantes, información bancaria y también guardamos sus calificaciones”, explica Juan José Nombela, director del área de Ciencias de la Computación y Tecnología de la Universidad Internacional de La Rioja, cuya docencia siempre se ha impartido a distancia. “Por ser nativos digitales y porque nuestros alumnos y profesores ya estaban así, no hemos hecho nada nuevo ahí. Lo que ha cambiado la pandemia es que ahora el personal de administración también ha ido a casa a trabajar”.
Filtraciones
Las filtraciones de datos también son un dolor de cabeza en este ámbito donde a las credenciales del personal de cada centro se suman las de los alumnos. “Las universidades tienen una frontera muy abierta donde por su propia naturaleza tienen muchísima gente de diferentes condiciones. Casi todos usuarios de sistemas de información y están en una organización en la que por narices van a tener que compartir información. Es un cóctel peligroso”, explica Miguel Juan, socio director de la empresa de ciberseguridad S2Grupo. Según los datos del Ministerio de Universidades, el sistema universitario Español contaba durante el curso pasado con más de 1,6 millones de estudiantes matriculados. En el apartado de personal estaríamos hablando de más de 215.000 personas entre docentes, administración y servicios, investigadores y técnicos de apoyo, de acuerdo con los datos del curso 2018-2019.
La finalidad principal del robo de credenciales es la posterior venta de estas en el mercado negro. “Si vas a la darkweb —internet oscuro, no accesible desde navegadores convencionales— en busca de credenciales, encuentras muchísimas, muchísimas que vienen de entornos universitarios“, explica Lambert. El experto prescribe el endurecimiento de las políticas de cambio de claves de acceso, uso generalizado de sistemas de autentificación de doble factor y un esfuerzo de concienciación que ve especialmente necesario entre la comunidad estudiantil. “Mi hijo utilizaba tres contraseñas distintas y a lo mejor tiene credenciales de 100 servicios”.
A los ataques dirigidos al secuestro de información o robo de datos personales se suman además los intentos de acceder a trabajos que estudiantes e investigadores almacenan en las redes de la universidad. “Muchas están haciendo investigación sobre temas que pueden ser muy interesantes para terceros”, señala Juan. Un estudio de las Universidades de Kentucky y Michigan reveló que más de un centenar de páginas de universidades americanas, incluidas Stanford y Columbia, habían sido pirateadas o comprometidas en robos de artículos y ensayos. Nombela confirma que han visto y denunciado la presencia de trabajos de estudiantes de la Universidad Internacional de La Rioja en páginas de este tipo, pero no lo atribuye a accesos no autorizados a sus sistemas. “Lo que más nos preocupa es proteger los datos personales de nuestros estudiantes”.
Tarifa plana de ciberataques
"Muchas veces nos preguntan: '¿pero esto quién tiene capacidad de hacerlo?'", comenta Cano. El problema es que para lanzar un ataque como el que sufrió la UGR no es necesario ser un maestro del cibercrimen. Basta saber donde buscar... y tener 30 euros.
"Lo triste de esto es que es muy barato promover ataques de este tipo. En la dark web —internet oscuro, no accesible desde navegadores convencionales—, tienes tarifas planas de 30 euros al mes te posibilitan un ataque a los servidores que tú quieras".
Puedes seguir a EL PAÍS TECNOLOGÍA RETINA en Facebook, Twitter, Instagram o suscribirte aquí a nuestra Newsletter.