Ciberseguridad en la Educación

-

Por Genaro Delgado – Cofundador </cyberwag>

El siguiente artículo es una recopilación de casos de incidentes referente a la seguridad informática en las instituciones educativas. Siendo este uno de los principales problemas de impacto operativo y reputacional difícil de enfrentar y recuperarse. Los consejos y opiniones, tienen su base en las mejores prácticas de ciber-resiliencia actuales, sin embargo solo se deberán de tomar como una referencia y no como una “receta” ya que en cada caso particular, estos marcos de trabajo y metodologías tendrían que adaptarse para que tengan impacto correcto.

CiberseguridadEscolar

A finales de marzo de 2020, las acciones contra el Covid-19 envió a casa a más de 156 millones de estudiantes en América Latina según datos de la UNESCO y con ello, por un lado, aceleró el liderazgo digital en todos los ámbitos sociales, económicos, políticos y culturales, sin embargo trajo retos muy grandes para los modelos educativos que no contemplaban un quehacer pedagógico a distancia. Pasando la barrera inicial como el acceso a internet y en general a los medios digitales como los programas educativos a través de TV, los alumnos que han tenido la oportunidad de continuar con sus estudios a través de las plataformas online, empezaron a tener otro tipo de retos en conjunto con sus instituciones educativas, entre estos retos están los riesgos digitales y ciberseguridad. 

De igual manera, a finales de marzo del 2020, el Foro Económico Mundial también comunicaba la importancia de la ciberseguridad en tiempos de Pandemia por Covid-19 con su artículo: ¿Por qué la ciberseguridad es más importante que nunca durante la pandemia de coronavirus? En el cual exponen tres verticales a discutir:

  • La pandemia COVID-19 plantea el riesgo de un aumento de los ataques cibernéticos.
  • Los cibercriminales eligen como blanco la dependencia cada vez mayor de las personas con respecto a las herramientas digitales.
  • Entre las estrategias para mantener la ciberseguridad se incluyen garantizar continuamente una buena higiene cibernética, verificar las fuentes y mantenerse actualizado sobre las actualizaciones oficiales.

Los dos grandes retos en este contexto que han tenido las instituciones y docentes son:

1 Proteger los datos confidenciales de sus alumnos, profesores, empleados en general y proveedores, y

2 Proteger las comunicaciones y clases en línea.

CiberseguridadEscolar

Como lo ha publicado la  Agencia de Ciberseguridad e Infraestructura (CISA) de los Estados Unidos, el FBI y el centro MS-ISAC a diferencia de otro tipo de organizaciones, los centros educativos no suelen estar lo suficientemente preparados para lidiar con este tipo de amenazas del cibermundo. Por otra parte, si bien esta advertencia está enfocada en el comportamiento detectado en los Estados Unidos, los grupos criminales responsables de muchos de estos ataques, operan a nivel global, por lo que no sería extraño ver que este escenario se repita en otros países como México.

Una de las ciberamenazas, con un profundo impacto en las instituciones, la ha protagonizado el ataque de RANSOMWARE. Dichos ataques apuntan a sus sistemas informáticos y provocan la interrupción de su dinámica de clases a distancia. Además, también se ha visto el uso de tácticas como el secuestro de información y la posterior extorsión a menos que paguen el rescate demandado.

ciberseguridadescolar

Las cifras pedidas pueden variar desde los $50 mil a $1.5 millones de dólares con pago en alguna criptomoneda, es decir, irrastreable. Esto es de especial relevancia ya que si tomamos en cuenta que las instituciones educativas recopilan y almacenan cantidades masivas de datos de los estudiantes y padres de familia, podría causar un gran daño a nivel familiar. En este sentido, las actividades maliciosas que se pueden ejecutar con el secuestro y exfiltración de información, comúnmente son:

1 El uso de la información del personal de centro educativo para realizar la suplantación de identidad con fines maliciosos, que pueden ir desde un fraude, pasando por el “grooming”, hasta perpetuar intimidación o secuestros físicos. 

2 Comercialización de la información para fines diversos que pueden ser desde telemarketing (molesto para muchos pero sin repercusiones o daños), hasta los fraudes electrónicos, secuestros virtuales e intimidación, donde la integridad física y psicoemocional están en juego.

Con respecto a la protección de las comunicaciones y las clases en línea, las instituciones educativas han tenido que lidiar con desafíos nada simples ya que han tenido no solo que adaptarse sino comprender con mayor profundidad lo que es y cómo se deben de manejar en el cibermundo, y no solo para seguir operando, sino para proteger a su propia comunidad educativa (alumnos, docentes, operativos, padres de familia y proveedores) Entre estos nuevos desafíos, los más manifestados son:

1 El envío/recepción de mensajes inapropiados entre alumnos. Entre los mensajes inapropiados, usando los medios de comunicación institucional y la información de contacto de alumnos, que han aumentando desde el encierro global causado por el Covid-19 son mensajes de odio (mensajes humillantes, misóginos, misándricos, xenofóbicos, incitadores a autolesiones incluso a suicidio), pornografía infantil (mensajes entre los mismos alumnos menores de edad), contenido “gore” y violencia desmedida (en la mayoría de las veces creada por efectos especiales, pero muchas ocasiones vienen de videos reales creados por redes terroristas y narcotráfico o redes de noticias amalliristas de accidentes reales), noticias falsas (fakenews), mensajes justificando e impulsando conductas autodestructivas entre los jóvenes como bulimia, anorexia y “cutting”, entre otros.  

2 El mismo contexto del caso anterior pero los mensajes inapropiados hacia padres de familia o docentes.

3 Estos dos puntos anteriores se pueden perpetuar desde las infraestructuras de la institución educativa, siendo los atacantes parte de la comunidad, o siendo atacantes ajenos a la institución que han logrado obtener credenciales de acceso a la infraestructura con un simple correo electrónico. En el mejor de los casos se podrá cerrar la fuente de este ataque con el cierre de las credenciales de acceso maliciosas, pero en el peor de los casos, toda la información sustraída podrá materializarse en una acción que puede dañar algún miembro de la comunidad educativa.

4 Otra de las amenazas en contra a las comunicaciones e infraestructura de las instituciones educativas son los llamados “Script Kiddies”, éstos, son alumnos que están probando sus habilidades técnicas en el mundo de la informática, sobre todo en la parte de penetración de sistemas, y de manera inconsciente y un poco ingenua logran interrumpir los servicios escolares, tanto administrativos como los de sus sesiones, también pueden cometer un ciberdelito al momento de ejecutar una exfiltración de datos, dejando expuestos a los integrantes de la comunidad de la institución educativa.

5 Sumado a lo anterior, técnicas como “PHISHING” han comprometido la integridad de las infraestructuras informáticas de las instituciones, se han encontrado que estas infraestructuras forman parte de una “botnet” de minería de criptomonedas y con ello merman los recursos tecnológicos de la institución, haciendo que ésta haga inversiones mayores en infraestructura que no necesitan.

Cuando alguna de estas amenazas se hace realidad la institución educativa puede enfrentar consecuencias legales y hasta multas por incumplimiento de regulaciones, por ejemplo la Ley de protección de datos personales en posesión de particulares, sin contar que el “golpe” más duro vendrá por el desprestigio de la institución ante la comunidad no solo escolar sino en general

Los costos de multas y resiliencia ocasionados por las brechas de seguridad de la información en las instituciones educativas

Ransomware

De acuerdo con información del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), desde el 2012, cuando se aprobó la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), a la fecha, los sectores más sancionados han sido el sector financiero y de seguros, el sector de medios y comunicaciones, y el sector educativo.

Las sanciones por parte del INAI sobre el cumplimiento de la LFPDPPP pueden ir desde los 100 UMA hasta los 320,000 UMA (UMA 2021= $89.62), es decir, desde MXN$8,962 hasta MXN$28,678,400

En el sector educativo, las sanciones reportadas han sido desde las 100 UMAs y hasta 22,400 UMAs, es decir, desde los $8,962 pesos hasta $2,007,488 aproximadamente (tiene variación de acuerdo al año de aplicación) Los casos más comunes sancionados han sido la violación del principio de finalidad, previsto por la LFPDPPP, en la cual trata los datos de una persona con un fin distinto al autorizado y sin su consentimiento. Otros de los motivos merecedores de las sanciones son: 

  • Actuar con negligencia o dolo en la tramitación de solicitudes de acceso, rectificación, cancelación u oposición de datos personales
  • Incumplir el deber de confidencialidad
  • Vulnerar la seguridad de bases de datos, locales, programas o equipos, cuando resulte imputable al responsable
  • Recabar o transferir datos personales sin el consentimiento expreso del titular, en los casos en que este sea exigible
  • Tratar los datos personales de manera que se afecte o impida el ejercicio de los derechos ARCO

El desconocimiento de la institución (sus operadores y comunidad escolar en general), la falta de concientización y cultura de seguridad de la información, y los ciberataques, han sido la mezcla perfecta de “dinamita”, que al momento de explotar en multas y todo tipo de sanciones por parte de las autoridades competentes, a esto se debe sumar los costos de demandas civiles y comerciales para resarcir daños por parte algunos de los afectados, que puede ser miembro de la comunidad escolar o un proveedor. Por ello, muchas de estas instituciones no vuelven a levantarse. Las que logran salir adelante, las inversiones para corregir las vulnerabilidades detectadas en los tres ejes de la institución educativa: sus infraestructuras, su personal y su estatus jurídico, pueden ser muy altas porque no estaban como parte de su estrategia de operación, aceleración y entrega de valor.

A continuación se comentan algunos casos de incidentes de ciberseguridad en contra de instituciones educativas en México. Su relato ha sido editado para su ejemplificación de los daños que pueden sufrir los centros educativos y su comunidad que los conforman por este tipo de incidentes. Por tal motivo se omiten nombres, lugares y demás información que pueda ligarlos, respetando su derecho a su anonimato. Algunos casos, cuando existen sanciones por organismos federales y por la ley de transparencia, pueden ser consultados en los sitios oficiales. 

Relatando un caso de Ransomware y extorsión en una institución educativa

En 2020, cuando el gobierno federal en México tomó la decisión de que los alumnos de todas las edades y grados escolares de todas las instituciones educativas del país no regresaran a sus actividades después de un “paro de actividades preventivo” y sin una visión de cuánto tiempo se tendría que estar de esa manera, todo esto causado por los efectos de la pandemia por Covid-19, todos los centros educativos tuvieron que ser lo más flexible posibles para adoptar tecnologías que no tenían contempladas dentro de sus modelos de enseñanza-aprendizaje, los profesores tuvieron que aprender, al menos lo básico, para ejecutar una clase, o al menos lo que ellos pensaban que era una clase. El objetivo es que ningún alumno se quedara sin terminar su ciclo escolar. Como se ha mencionado, esto trajo innumerables retos, entre ellos la ciberseguridad y la cultura de higiene digital tanto en el hogar como en la escuela. Al estar “todos” conectados, y saber que las escuelas empezaron a formar bases de datos cada vez más robustas, los cibercriminales vieron una gran oportunidad para actividades de extorsión principalmente y usaron como arma el malware tipo RANSOMWARE

ransomware

En este tipo de ataques los costos y pérdidas asociados son:

  • Pérdida de beneficios por interrupción de negocio
  • Robo de datos
  • Gastos por extorsión
  • Daños o pérdida de datos en los sistemas informáticos
  • Coste por responsabilidades legales por sanciones según la afectación
  • Gastos en notificación de afectados
  • Gestión de crisis, y recuperación de información
  • Pérdida de confianza ante los clientes / usuarios

Bajo el contexto anterior, una institución educativa, que maneja cuatro niveles: preescolar, primaria, secundaria y prepa, que tiene presencia en 5 ciudades del país, tuvieron un incidente de ransomware en el último trimestre del 2020, con un costo de recuperación cercano a los 3.5 millones de pesos.

Lo que esta institución educativa reportó fue que al parecer todo empezó con la descarga de un archivo malicioso enviado a uno de los departamentos administrativos, cabe mencionar que para esos momentos, algunas personas del área administrativa, ya habían vuelto a trabajar en sitio a las oficinas centrales de la institución. Este archivo no venía adjunto, sino que venía de una liga de descarga, y el remitente era un posible proveedor el cual enviaba su factura de pago. Según comentan, el correo se veía “normal”, por lo que se prosiguió a descargar “la factura”, sin embargo “la factura” venía en un archivo de Excel y al momento de habilitar los “macros”, simplemente “no hizo nada”. El archivo de Excel tenía datos como de una factura normal, sin embargo el destinatario y los ítems de compra no tenían ninguna adjudicación para esta institución. 

A partir del día siguiente y durante los dos días siguientes, todas las cuentas de correo asociadas a personal administrativo y docente empezaron a recibir mucho SPAM hasta que dejaron de poder entrar a algunos servicios administrativos como aplicaciones de revisión de pagos, proveedores, correos electrónicos, etc.  

El personal de TI de cada una de las instituciones que conformaban esta red, empezaron a revisar los servidores donde se alojaban algunos de estos servicios y bases de datos, y gran parte de los archivos estaban encriptados. Esto mismo empezó a suceder con las computadoras del personal que había estado recibiendo SPAM, sus archivos de MS Office, PDF, TXT, imágenes, etc. habían sido “encriptadas” y en varios casos se generaba una nota de rescate de los archivos, en términos generales, estas notas mencionaban el tipo de RANSOMWARE, las condiciones para la desencripción, el costo, la forma de contacto y las consecuencias si no se seguía las instrucciones. El precio que les pedían era de 100 mil dólares americanos en bitcoins para liberar el software de desencripción, y si no se tenía respuesta en 72 horas, las bases de datos las pondrían en venta en foros.

En ese momento, prácticamente todas las operaciones administrativas se habían detenido, además de que se había mandado una alerta para tratar de mitigar el daño y no pasarlo hacia los hogares de sus alumnos, cosa que sí detuvo en gran medida el ataque hacia los hogares, sin embargo 2 de los alumnos ya había reportado que a través de un correo malicioso se había encriptado sus archivos de su computadora. 

La institución se puso en contacto de manera inmediata con su proveedor de antimalware, éstos les dieron una lista de pasos para aislar parte de la infraestructura posiblemente comprometida y les pidieron muestras de los archivos encriptados para analizar el tipo de amenaza que enfrentaban y saber si podrían hacer algo para su recuperación, 24 horas después les habían confirmado que no se tenía laguna herramienta para recuperar los archivos encriptados. 

Tenían poco tiempo para tomar la decisión de pagar la extorsión y evitar la exfiltración de datos o mantenerse sin pagar y medir el riesgo de dicha exfiltración, ya que no sabían si esta acción realmente la podrían ejecutar los cibercriminales detrás del ataque. 

Los directivos y accionistas de la institución mandó llamar a un equipo que lo conformaba abogados, personal de TI especializado en seguridad de la información y parte de su equipo de finanzas para tomar una decisión y formular la estrategia de continuidad de operaciones y remediación de daños. Este equipo ayudó a analizar los costos, acciones y consecuencias asociadas para ambas decisiones, es decir, el pago de la extorsión o no hacerlo. La junta directiva y accionistas tomó la decisión de no pagar la extorsión. Por tanto, se dió aviso a las autoridades para sentar un precedente y denuncia, se preparó el comunicado para los posibles afectados por la posible exfiltración de datos, se empezó a preparar la estrategia legal para las posibles demandas y multas por parte de organismos como el INAI, y la estrategia de continuidad y recuperación de operaciones.

En términos generales, 3.5 millones de pesos mexicanos fue suma de liquidar servicios de los especialistas de gestión de riesgos y ciberseguridad, abogados, licencias de software, levantamiento de infraestructura, análisis de vulnerabilidades, servicios de capacitaciones a personal, entre otras más.  Las erogaciones a la fecha (marzo 2021) asociados por este ataque no han acabado, y hay un rubro que ha tenido mucho impacto en su red de escuelas, y es la confianza por parte de los padres de familia. Y aunque el número de bajas escolares por este incidente ha permanecido solo para control interno, reconocen que el impacto ha sido fuerte en este rubro, y que el comentario común de los padres de familias que han tomado la decisión de baja de sus hijos es que sienten temor que a través de ellos (la institución) puedan sufrir algún tipo de fraude, incluso acoso por toda la información que manejan sobre la familia y que no está resguardada correctamente. 

Por el nuevo contexto, a lo que llamamos “la nueva normalidad”, donde un cibermundo es parte esencial de nuestras vidas, y al cual llegamos de una manera abrupta, es decir, sin mucho conocimiento del nuevo entorno y sus reglas, desafortunadamente los problemas adjudicados a la ciberseguridad no paran de aumentar, por ejemplo los ataques tipo ransomware, en 2020 se ejecutó uno cada 11 segundos, cada vez son más rentables para los cibercriminales, pero no solo son los únicos ataques o amenazas del cibermundo, como lo hemos mencionado, amenazas de contenido, comunicaciones, acoso, etc. que se perpetúan a través de internet cada vez son mayores y con mayor penetración en los hogares, en centros de trabajo, y por supuesto en los centros escolares.

Relatando un caso de suplantación de identidad de un alumno sumando acciones de ciberacoso

En el 2019, una institución educativa privada terminó haciendo una erogación cercana a los 850 mil pesos mexicanos por una suplantación de identidad entre alumnos de secundaria a través de correo electrónico y mensajería instantánea. 

Los hechos de este incidente inician con la suplantación de identidad a través de la dirección de correo electrónico de un joven de segundo se secundaria para enviar mensajes de correo y mensajería instantánea obscenos a una de sus compañeras. Una mala higiene de gestión de contraseñas por parte de los administradores de sistemas del centro educativo, provocó que un par de jóvenes pudiera “acertar” en la contraseña de acceso al perfil de un compañero de clase; ésto porque las contraseñas se creaban con las iniciales del nombre completo de la persona seguido por el día, mes y año de su nacimiento, parecido a la estructura del RFC o CURP, seguido por las siglas del nombre de la institución educativa, provocando “adivinar” prácticamente cualquier contraseña ya fuera de alumno, profesor o administrativo de la institución, ya que no era obligatorio cambiar la contraseña creada en un principio y no concientizar a los usuarios en hacerlo de cualquier forma.

suplantacion

Los jóvenes comentaron que habían tenido una fuerte discusión unos días antes del incidente, donde involucraron de manera indirecta a la compañera que recibió los mensajes obscenos. A uno de ellos se le ocurrió la manera de cómo hacerle daño a su compañero, como muestra de venganza y superioridad. Intentó simplemente apoderarse del usuario y perfil del estudiante y de ahí perpetuar un ataque en nombre de él. Como ya se comentó, el obtener la contraseña de los perfiles era súmamente fácil, así que lo logró a la primera. El siguiente paso fue empezar a mandar mensajes en su nombre a diferentes compañeros y compañeras, entre estas compañeras estaba la víctima principal del ataque dirigido. El par de jóvenes empezaron a mandarle mensajes directos privados con obscenidades usando un lenguaje altisonante y con violencia sexual hacia ella, sumando imagenes de pornografia explicita, violenta y muchas de ellas de diferentes parafilias. Esto lo hicieron durante toda una tarde sumando 135 mensajes con este contenido. La niña (de 13 años en ese entonces), empezó hacer capturas de pantalla de los mensajes e imágenes enviadas, dio aviso a sus padres de todo el contenido que estaba recibiendo, éstos alejaron a su hija de la lectura y visualización del contenido, pero siguieron documentando el hecho. Esa misma noche, el joven que había sido víctima de la suplantación, empezó a recibir mensajes y llamadas de compañeros y padres de familia con reclamos y amenazas, éste avisó a sus padres y se conectaron a la cuenta del joven, y efectivamente había todavía algunos mensajes e imágenes que él supuestamente había enviado, muchos otros habían sido ya borrados. Al día siguiente, se convocó a una reunión de padres de familia y directivos de manera urgente, los padres de familia de la compañera que había recibido el contenido obsceno, habrían ya preparado una acción legal hacia el joven que supuestamente había mandado los mensajes. Y los padres de familia del joven víctima de la suplantación habían ya emprendido su acción legal en contra la institución por no tener los mecanismos para proteger las identidades e información de sus alumnos. 

Una vez que el centro educativo pidió hacer las investigaciones correspondientes, y se esclareció el problema, las sanciones que se impusieron fueron respecto a la participación del daño causado a las dos víctimas en este caso, la compañera que recibió los mensajes y el joven que fue suplantada su identidad.

En el caso del centro educativo, la suma de erogaciones para resarcir parte del daño hacia sus alumnos, sumando los servicios especializados de forense informático, abogados y ciclos de formación en ciberseguridad, ascendió alrededor de $850 mil de pesos mexicanos. Sin embargo, como en el caso de ransomware, el costo pagado por la baja de varios estudiantes por la falta de confianza y desprestigio de la institución, fue muy alto. 

INAI sanciona institución superior por infracción a la LFPDPPP

En 2018, el INAI impuso una multa de 580 mil pesos a una institución educativa por no respetar el principio de finalidad respecto al uso de datos personales por parte de un empleado.

La falta de formación y una política sólida sobre una cultura de seguridad de la información, hizo que un representante de una institución de educación superior usase la información otorgada por un prospecto de estudiante para enviarle de manera privada y acosante, mensajes ajenos a los fines que se había otorgado esa información, es decir, información sobre la institución, sus planes, costos, fechas importantes, etc. 

Al tornarse una situación acosadora, el particular hizo la denuncia ante el INAI, y este organismo determinó que la institución había violado de manera grave el principio de finalidad de la información recabada, por ello la suma financiera tan grande impuesta. 

Es importante aclarar que las acciones o inacciones y sus consecuencias, dentro del contexto de la LFPDPPP, de todo el personal dentro de una organización es responsabilidad de su figura jurídica ante los organismos reguladores. 

Por eventos como los anteriores, todas las organizaciones, y en este caso, los centros y comunidades escolares deberán contemplar dentro de su estrategia de operación, crecimiento y valor, el ser un centro escolar ciberseguro, donde contemplen el cómo proteger sus sistemas, la información que guardan, generan y transfieren de todo el ecosistema que conforma el centro educativo, y además deberán contemplar como una vertical la formación sobre higiene digital y ciudadanía digital tanto para sus docentes como para sus alumnos. Esto porque el mundo no está dispuesto a desconectarse, entonces tendremos que formarnos para saber cómo gestionar los desafíos en el cibermundo.

Si su institución educativa está pasando por evento similar a los aquí expuestos, o cree que puede estar bajo alguna amenaza de ciberseguridad, no dude en contactarnos para ayudarle a través de los servicios y productos especializados en ello que hemos diseñado.

Share this article

Recent posts

Popular categories

Recent comments