Escuelas Ciberseguras
Por Genaro Delgado cofundador de </cyberwag> Cybersecurity Intelligence
A finales de marzo de 2020, las acciones contra el Covid-19 envió a casa a más de 156 millones de estudiantes en América Latina según datos de la UNESCO y con ello, por un lado, aceleró el liderazgo digital en todos los ámbitos sociales, económicos, políticos y culturales, sin embargo trajo retos muy grandes para los modelos educativos que no contemplaban un quehacer pedagógico a distancia. Pasando la barrera inicial como el acceso a internet y en general a los medios digitales como los programas educativos a través de TV, los alumnos que han tenido la oportunidad de continuar con sus estudios a través de las plataformas online, empezaron a tener otro tipo de retos en conjunto con sus instituciones educativas, entre estos retos están los riesgos digitales y ciberseguridad.
Los dos grandes retos en este contexto que han tenido las instituciones y docentes son:
1) Proteger los datos confidenciales de sus alumnos, profesores, empleados en general y proveedores, y
2) Proteger las comunicaciones y clases en línea.
Como lo ha publicado la Agencia de Ciberseguridad e Infraestructura (CISA) de los Estados Unidos, el FBI y el centro MS-ISAC a diferencia de otro tipo de organizaciones, los centros educativos no suelen estar lo suficientemente preparados para lidiar con este tipo de amenazas del cibermundo. Por otra parte, si bien esta advertencia está enfocada en el comportamiento detectado en los Estados Unidos, los grupos criminales responsables de muchos de estos ataques, operan a nivel global, por lo que no sería extraño ver que este escenario se repita en otros países como México.
"Una de las ciberamenazas, con un profundo impacto en las instituciones, la ha protagonizado el ataque de RANSOMWARE"
Dichos ataques apuntan a sus sistemas informáticos y provocan la interrupción de su dinámica de clases a distancia. Aunado al problema anterior de la interrupción de las operaciones de la institución, éstas tienen que lidiar con el secuestro de información y la posterior extorsión a menos que paguen el rescate demandado.
Las cifras pedidas por RANSOMWARE pueden variar desde los $50 mil a $1.5 millones de dólares con pago en alguna criptomoneda, es decir, difícil de rastrear al cibercriminal. Esto es de especial relevancia ya que si tomamos en cuenta que las instituciones educativas recopilan y almacenan cantidades masivas de datos de los estudiantes y padres de familia, podría causar un gran daño a nivel familiar. En este sentido, las actividades maliciosas que se pueden ejecutar con el secuestro y exfiltración de información, comúnmente son:
El uso de la información del personal de centro educativo para realizar la suplantación de identidad con fines maliciosos, que pueden ir desde un fraude, pasando por el “grooming”, hasta perpetuar intimidación o secuestros físicos.
Comercialización de la información para fines diversos que pueden ser desde telemarketing (molesto para muchos pero sin repercusiones o daños), hasta los fraudes electrónicos, secuestros virtuales e intimidación, donde la integridad física y psicoemocional están en juego.
Con respecto a la protección de las comunicaciones y las clases en línea, las instituciones educativas han tenido que lidiar con desafíos nada simples ya que han tenido no solo que adaptarse sino comprender con mayor profundidad lo que es y cómo se deben de manejar en el cibermundo, y no solo para seguir operando, sino para proteger a su propia comunidad educativa (alumnos, docentes, operativos, padres de familia y proveedores)
Entre estos nuevos desafíos, los más manifestados son:
El envío/recepción de mensajes inapropiados entre alumnos. Entre los mensajes inapropiados, usando los medios de comunicación institucional y la información de contacto de alumnos, que han aumentando desde el encierro global causado por el Covid-19 son mensajes de odio (mensajes humillantes, misóginos, misándricos, xenofóbicos, incitadores a autolesiones incluso a suicidio), pornografía infantil (mensajes entre los mismos alumnos menores de edad), contenido “gore” y violencia desmedida (en la mayoría de las veces creada por efectos especiales, pero muchas ocasiones vienen de videos reales creados por redes terroristas y narcotráfico o redes de noticias amarillistas de accidentes reales), noticias falsas (fakenews), mensajes justificando e impulsando conductas autodestructivas entre los jóvenes como bulimia, anorexia y “cutting”, entre otros.
El mismo contexto del caso anterior pero los mensajes inapropiados hacia padres de familia o docentes.
Estos dos puntos anteriores se pueden perpetuar desde las infraestructuras de la institución educativa, siendo los atacantes parte de la comunidad, o siendo atacantes ajenos a la institución que han logrado obtener credenciales de acceso a la infraestructura con un simple correo electrónico. En el mejor de los casos se podrá cerrar la fuente de este ataque con el cierre de las credenciales de acceso maliciosas, pero en el peor de los casos, toda la información sustraída podrá materializarse en una acción que puede dañar algún miembro de la comunidad educativa.
Otra de las amenazas en contra a las comunicaciones e infraestructura de las instituciones educativas son los llamados “Script Kiddies”, éstos, son alumnos que están probando sus habilidades técnicas en el mundo de la informática, sobre todo en la parte de penetración de sistemas, y de manera inconsciente y un poco ingenua logran interrumpir los servicios escolares, tanto administrativos como los de sus sesiones, también pueden cometer un ciberdelito al momento de ejecutar una exfiltración de datos, dejando expuestos a los integrantes de la comunidad de la institución educativa.
Cuando alguna de estas amenazas se hace realidad la institución educativa puede enfrentar consecuencias legales y hasta multas por incumplimiento de regulaciones, por ejemplo la Ley de protección de datos personales en posesión de particulares, sin contar que el “golpe” más duro vendrá por el desprestigio de la institución ante la comunidad no solo escolar sino en general.
Los costos de multas y resiliencia ocasionados por las brechas de seguridad de la información en las instituciones educativas
De acuerdo con información del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), desde el 2012, cuando se aprobó la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), a la fecha, los sectores más sancionados han sido el sector financiero y de seguros, el sector de medios y comunicaciones, y el sector educativo.
En el sector educativo, las sanciones reportadas han sido desde las 100 UMAs y hasta 22,400 UMAs, es decir, desde los 9 mil hasta los 2 millones de pesos mexicanos aproximadamente (tiene variación de acuerdo al valor de la UMA)
Los casos más comunes sancionados han sido la violación del principio de finalidad, previsto por la LFPDPPP, en la cual trata los datos de una persona con un fin distinto al autorizado y sin su consentimiento. Otros de los motivos merecedores de las sanciones son:
Actuar con negligencia o dolo en la tramitación de solicitudes de acceso, rectificación, cancelación u oposición de datos personales
Incumplir el deber de confidencialidad
Vulnerar la seguridad de bases de datos, locales, programas o equipos, cuando resulte imputable al responsable
Recabar o transferir datos personales sin el consentimiento expreso del titular, en los casos en que este sea exigible
Tratar los datos personales de manera que se afecte o impida el ejercicio de los derechos ARCO
El desconocimiento de la institución (sus operadores y comunidad escolar en general), la falta de concientización y cultura de seguridad de la información, y los ciberataques, han sido la mezcla perfecta de “dinamita”, que al momento de explotar en multas y todo tipo de sanciones por parte de las autoridades competentes, a esto se debe sumar los costos de demandas civiles y comerciales para resarcir daños por parte algunos de los afectados, que puede ser miembro de la comunidad escolar o un proveedor. Por ello, muchas de estas instituciones no vuelven a levantarse. Las que logran salir adelante, las inversiones para corregir las vulnerabilidades detectadas en los tres ejes de la institución educativa: sus infraestructuras, su personal y su estatus jurídico, pueden ser muy altas porque no estaban como parte de su estrategia de operación, aceleración y entrega de valor.
"Por eventos como los anteriores, todas las organizaciones, y en este caso, los centros y comunidades escolares deberán contemplar dentro de su estrategia de operación, crecimiento y valor, el ser un centro escolar ciberseguro, donde contemplen el cómo proteger sus sistemas, la información que guardan, generan y transfieren de todo el ecosistema que conforma el centro educativo, y además deberán contemplar como una vertical la formación sobre higiene digital y ciudadanía digital tanto para sus docentes como para sus alumnos. Esto porque el mundo no está dispuesto a desconectarse, entonces tendremos que formarnos para saber cómo gestionar los desafíos en el cibermundo"
Blindaje digital para tu institución
Desde el 2020, derivado y acelerado por el encierro causado por la pandemia de COVID19, hemos desarrollado e implementado BeWag, un marco de Blindaje Digital para instituciones educativas, el cual es una triada de servicios y productos comprendidos por un blindaje legal, blindaje técnico y blindaje operacional generando una conciencia de ciberseguridad y seguridad de la información a través de programas educativos en los diferentes niveles escolares dirigido a toda la comunidad educativa (alumnos, padres de familia, docentes y administrativos)
Conoce más dando click en el siguiente enlace:
Si necesitas asesoría en los temas de ciberseguridad para tu institución educativa, o necesitas una charla a los profesores y/o padres de familia para concientizarlos de la importancia de la higiene digital en sus hogares y entorno educativo, contáctame vía email: genaro@sociedadcibersegura.com