Ciberseguridad en la Educación

-

Por Genaro Delgado – Cofundador </cyberwag>

El siguiente artículo es una recopilación de casos de incidentes referente a la seguridad informática en las instituciones educativas. Siendo este uno de los principales problemas de impacto operativo y reputacional difícil de enfrentar y recuperarse. Los consejos y opiniones, tienen su base en las mejores prácticas de ciber-resiliencia actuales, sin embargo solo se deberán de tomar como una referencia y no como una “receta” ya que en cada caso particular, estos marcos de trabajo y metodologías tendrían que adaptarse para que tengan impacto correcto.

CiberseguridadEscolar

A finales de marzo de 2020, las acciones contra el Covid-19 envió a casa a más de 156 millones de estudiantes en América Latina según datos de la UNESCO y con ello, por un lado, aceleró el liderazgo digital en todos los ámbitos sociales, económicos, políticos y culturales, sin embargo trajo retos muy grandes para los modelos educativos que no contemplaban un quehacer pedagógico a distancia. Pasando la barrera inicial como el acceso a internet y en general a los medios digitales como los programas educativos a través de TV, los alumnos que han tenido la oportunidad de continuar con sus estudios a través de las plataformas online, empezaron a tener otro tipo de retos en conjunto con sus instituciones educativas, entre estos retos están los riesgos digitales y ciberseguridad. 

De igual manera, a finales de marzo del 2020, el Foro Económico Mundial también comunicaba la importancia de la ciberseguridad en tiempos de Pandemia por Covid-19 con su artículo: ¿Por qué la ciberseguridad es más importante que nunca durante la pandemia de coronavirus? En el cual exponen tres verticales a discutir:

  • La pandemia COVID-19 plantea el riesgo de un aumento de los ataques cibernéticos.
  • Los cibercriminales eligen como blanco la dependencia cada vez mayor de las personas con respecto a las herramientas digitales.
  • Entre las estrategias para mantener la ciberseguridad se incluyen garantizar continuamente una buena higiene cibernética, verificar las fuentes y mantenerse actualizado sobre las actualizaciones oficiales.

Los dos grandes retos en este contexto que han tenido las instituciones y docentes son:

1 Proteger los datos confidenciales de sus alumnos, profesores, empleados en general y proveedores, y

2 Proteger las comunicaciones y clases en línea.

CiberseguridadEscolar

Respecto al desafío de proteger la información en un entorno educativo, como lo ha publicado la  Agencia de Ciberseguridad e Infraestructura (CISA) de los Estados Unidos, el FBI y el centro MS-ISAC a diferencia de otro tipo de organizaciones, los centros educativos no suelen estar lo suficientemente preparados para lidiar con las amenazas del cibermundo. Por otra parte, si bien esta advertencia está enfocada en el comportamiento detectado en los Estados Unidos, los grupos criminales responsables de muchos de estos ataques, operan a nivel global, por lo que no sería extraño ver que este escenario se repita en otros países como México.

Una de las ciberamenazas, con un profundo impacto en las instituciones, la ha protagonizado el ataque de RANSOMWARE. Dichos ataques apuntan a sus sistemas informáticos y provocan la interrupción de su dinámica de clases a distancia. Además, también se ha visto el uso de tácticas como el secuestro de información y la posterior extorsión a menos que paguen el rescate demandado.

ciberseguridadescolar

Las cifras pedidas pueden variar desde los $50 mil a $1.5 millones de dólares. Esto es de especial relevancia ya que si tomamos en cuenta que las instituciones educativas recopilan y almacenan cantidades masivas de datos de los estudiantes y padres de familia, podría causar un gran daño y no solo para el centro educativo, sino que también para los hogares. En este sentido, las repercusiones causadas por el secuestro y exfiltración de información, comúnmente son:

1 El uso de la información del personal de centro educativo para realizar la suplantación de identidad con fines maliciosos, que pueden ir desde un fraude, pasando por el “grooming”, hasta perpetuar intimidación o secuestros físicos. 

2 Comercialización de la información para fines diversos que pueden ser desde telemarketing (molesto para muchos pero sin repercusiones o daños), hasta los fraudes electrónicos, secuestros virtuales e intimidación, donde la integridad física y psicoemocional están en juego.

Con respecto a la protección de las comunicaciones y las clases en línea, las instituciones educativas han tenido que lidiar con desafíos nada simples ya que han tenido no solo que adaptarse sino comprender con mayor profundidad lo que es y cómo se deben de manejar en el cibermundo, y no solo para seguir operando, sino para proteger a su propia comunidad educativa (alumnos, docentes, operativos, padres de familia y proveedores) Entre estos nuevos desafíos, los más manifestados son:

1 El envío/recepción de mensajes inapropiados entre alumnos. Entre los mensajes inapropiados, usando los medios de comunicación institucional y la información de contacto de alumnos, que han aumentando desde el encierro global causado por el Covid-19 son mensajes de odio (mensajes humillantes, misóginos, misándricos, xenofóbicos, incitadores a autolesiones incluso a suicidio), pornografía infantil (mensajes entre los mismos alumnos menores de edad), contenido “gore” y violencia desmedida (en la mayoría de las veces creada por efectos especiales, pero muchas ocasiones vienen de videos reales creados por redes terroristas y narcotráfico o redes de noticias amalliristas de accidentes reales), noticias falsas (fakenews), mensajes justificando e impulsando conductas autodestructivas entre los jóvenes como bulimia, anorexia y “cutting”, entre otros.  

2 El mismo contexto del caso anterior pero los mensajes inapropiados hacia padres de familia o docentes.

3 Estos dos puntos anteriores se pueden perpetuar desde las infraestructuras de la institución educativa, siendo los atacantes parte de la comunidad, o siendo atacantes ajenos a la institución que han logrado obtener credenciales de acceso a la infraestructura con un simple correo electrónico. En el mejor de los casos se podrá cerrar la fuente de este ataque con el cierre de las credenciales de acceso maliciosas, pero en el peor de los casos, toda la información sustraída podrá materializarse en una acción que puede dañar algún miembro de la comunidad educativa.

4 Otra de las amenazas en contra a las comunicaciones e infraestructura de las instituciones educativas son los llamados “Script Kiddies”, éstos, son alumnos que están probando sus habilidades técnicas en el mundo de la informática, sobre todo en la parte de penetración de sistemas, y de manera inconsciente y un poco ingenua logran interrumpir los servicios escolares, tanto administrativos como los de sus sesiones, también pueden cometer un ciberdelito al momento de ejecutar una exfiltración de datos, dejando expuestos a los integrantes de la comunidad de la institución educativa.

5 Sumado a lo anterior, técnicas como “PHISHING” han comprometido la integridad de las infraestructuras informáticas de las instituciones, se han encontrado que estas infraestructuras forman parte de una “botnet” de minería de criptomonedas y con ello merman los recursos tecnológicos de la institución, haciendo que ésta haga inversiones mayores en infraestructura que no necesitan.

Cuando alguna de estas amenazas se hace realidad la institución educativa puede enfrentar consecuencias legales y hasta multas por incumplimiento de regulaciones, por ejemplo la Ley de protección de datos personales en posesión de particulares, sin contar que el “golpe” más duro vendrá por el desprestigio de la institución ante la comunidad no solo escolar sino en general

Los costos de multas y resiliencia ocasionados por las brechas de seguridad de la información en las instituciones educativas

Ransomware

De acuerdo con información del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), desde el 2012, cuando se aprobó la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), a la fecha, los sectores más sancionados han sido el sector financiero y de seguros, el sector de medios y comunicaciones, y el sector educativo.

Las sanciones por parte del INAI sobre el cumplimiento de la LFPDPPP pueden ir desde los 100 UMA hasta los 320,000 UMA (UMA 2021= $89.62), es decir, desde MXN$8,962 hasta MXN$28,678,400

En el sector educativo, las sanciones reportadas han sido desde las 100 UMAs y hasta 22,400 UMAs, es decir, desde los $8,962 pesos hasta $2,007,488 aproximadamente (tiene variación de acuerdo al año de aplicación) Los casos más comunes sancionados han sido la violación del principio de finalidad, previsto por la LFPDPPP, en la cual trata los datos de una persona con un fin distinto al autorizado y sin su consentimiento. Otros de los motivos merecedores de las sanciones son: 

  • Actuar con negligencia o dolo en la tramitación de solicitudes de acceso, rectificación, cancelación u oposición de datos personales (Derechos ARCO)
  • Incumplir el deber de confidencialidad
  • Vulnerar la seguridad de bases de datos, programas o equipos
  • Recabar o transferir datos personales sin el consentimiento expreso del titular, en los casos en que este sea exigible

El desconocimiento de la institución (sus operadores y comunidad escolar en general), la falta de concientización y cultura de seguridad de la información, y los ciberataques, han sido la mezcla perfecta de “dinamita”, que al momento de explotar se convierte en multas y todo tipo de sanciones por parte de las autoridades competentes, sumando los costos de demandas civiles y comerciales para resarcir daños por parte algunos de los afectados, éstos pueden ser miembros de la comunidad escolar o un proveedor. Por ello, muchas de estas instituciones no vuelven a levantarse. Las que logran salir adelante, las inversiones para corregir las vulnerabilidades detectadas en los tres ejes de la institución educativa: sus infraestructuras, su personal y su estatus jurídico, suelen ser muy altas y “dolorosas”.

A continuación se comentan algunos casos de incidentes de ciberseguridad en contra de instituciones educativas en México. Su relato ha sido editado para su ejemplificación de los daños que pueden sufrir los centros educativos y su comunidad que los conforman por este tipo de incidentes. Por tal motivo se omiten nombres, lugares y demás información que pueda ligarlos, respetando su derecho a su anonimato. Algunos casos, cuando existen sanciones por organismos federales y por la ley de transparencia, pueden ser consultados en los sitios oficiales. 

Relatando un caso de Ransomware y extorsión en una institución educativa

En 2020, por contexto pandémico del COVID-19, cuando en México se tomó la decisión de que los alumnos de todas las edades y grados escolares, de todas las instituciones educativas del país, no regresaran a sus actividades después de un “paro de actividades preventivo” y sin una visión de cuánto tiempo se tendría que estar de esa manera, todos los centros educativos tuvieron que ser lo más flexible posibles para adoptar tecnologías que no tenían contempladas dentro de sus modelos de enseñanza-aprendizaje. El objetivo es que ningún alumno se quedara sin terminar su ciclo escolar. Como se ha mencionado, esto trajo innumerables retos, entre ellos la ciberseguridad y la cultura de higiene digital tanto en el hogar como en la escuela. Al estar “todos” conectados, y saber que las escuelas empezaron a formar bases de datos cada vez más robustas, los cibercriminales vieron una gran oportunidad para actividades de extorsión principalmente y usaron como arma el malware tipo RANSOMWARE

ransomware

En este tipo de ataques los costos y pérdidas asociados son:

  1. Interrupción de operaciones
  2. Robo de datos
  3. Gastos por extorsión
  4. Daños o pérdida de datos en los sistemas informáticos
  5. Coste por responsabilidades legales por sanciones según la afectación
  6. Gastos en notificación de afectados
  7. Gestión de crisis, y recuperación de información
  8. Pérdida de confianza ante los clientes / usuarios

Bajo el contexto anterior, una institución educativa, que maneja cuatro niveles: preescolar, primaria, secundaria y prepa, que tiene presencia en 5 ciudades del país, tuvieron un incidente de ransomware en el último trimestre del 2020, con un costo de recuperación cercano a los 3.5 millones de pesos.

Esta institución educativa reportó que empezó con la descarga de un archivo malicioso enviado a uno de los departamentos administrativos. Este archivo no venía adjunto al mensaje, sino que venía, en el cuerpo del correo, una liga de descarga, y el remitente era un posible proveedor el cual enviaba su factura de pago. El archivo descargado, era una archivo de EXCEL y con “macros” para activarse, éstos fueron activados y corroboró que la información dentro del archivo era irrelevante para la institución, y simplemente se eliminó el archivo. 

A partir del día siguiente y durante los dos días siguientes, todas las cuentas de correo asociadas a personal administrativo y docente empezaron a recibir gran cantidad de correo SPAM

Así mismo, algunas de las aplicaciones de gestión contable, y administrativas en general, dejaron de funcionar correctamente. Este hecho levantó muchas peticiones de soporte de TI, haciendo visible un problema grave.   

El personal de TI de cada una de las instituciones que conformaban esta red, empezaron a revisar los servidores donde se alojaban algunos de estos servicios y bases de datos, y gran parte de los archivos estaban encriptados. En estos servidores empezaron a aparecer notas de rescate de los archivos (un archivo de texto .txt en el escritorio, visible), en términos generales, estas notas mencionaban el tipo de RANSOMWARE, las condiciones para la desencripción, el costo, la forma de contacto y las consecuencias si no se seguía las instrucciones. El precio que les pedían era de 100 mil dólares americanos en bitcoins para liberar el software de desencripción, y si no se tenía respuesta en 72 horas, las bases de datos las pondrían en venta en foros.

En ese momento, prácticamente todas las operaciones administrativas se habían detenido, además de que se había mandado una alerta para tratar de mitigar el daño y no pasarlo hacia los hogares de sus alumnos.

Tenían poco tiempo para tomar la decisión de pagar la extorsión y evitar la exfiltración de datos o mantenerse sin pagar y medir el riesgo de dicha exfiltración, ya que no sabían si esta acción realmente la podrían ejecutar los cibercriminales detrás del ataque. 

Los directivos y accionistas de la institución mandó llamar a un equipo que lo conformaba abogados, personal de TI especializado en seguridad de la información y parte de su equipo de finanzas para tomar una decisión y formular la estrategia de continuidad de operaciones y remediación de daños. Este equipo ayudó a analizar los costos, acciones y consecuencias asociadas para ambas decisiones, es decir, el pago de la extorsión o no hacerlo. La junta directiva y accionistas tomó la decisión de no pagar la extorsión. Por tanto, se hizo el aviso a las autoridades para sentar un precedente y denuncia, se preparó el comunicado para los posibles afectados por la posible exfiltración de datos, se empezó a preparar la estrategia legal para las posibles demandas y multas por parte de organismos como el INAI, y la estrategia de continuidad y recuperación de operaciones.

En términos generales, 3.5 millones de pesos mexicanos fue suma de liquidar servicios de los especialistas de gestión de riesgos y ciberseguridad, abogados, licencias de software, levantamiento de infraestructura, análisis de vulnerabilidades, servicios de capacitaciones a personal, entre otras más.  Las erogaciones a la fecha (marzo 2021) asociados por este ataque no han acabado, y hay un rubro que ha tenido mucho impacto en su red de escuelas, y es la confianza por parte de los padres de familia. Y aunque el número de bajas escolares por este incidente ha permanecido solo para control interno, reconocen que el impacto ha sido fuerte en este rubro, y que el comentario común de los padres de familias que han tomado la decisión de baja de sus hijos es que sienten temor que a través de ellos (la institución) puedan sufrir algún tipo de fraude, incluso acoso por toda la información que manejan sobre la familia y que no está resguardada correctamente. 

Los ataques tipo ransomware, en 2020 se ejecutaron uno cada 11 segundos, y cada vez son más rentables para los cibercriminales, pero no solo son los únicos ataques o amenazas del cibermundo, como lo hemos mencionado, amenazas de contenido, comunicaciones, acoso, etc. que se perpetúan a través de internet cada vez son mayores y con mayor penetración en los hogares, en centros de trabajo, y por supuesto en los centros escolares.

Relatando un caso de suplantación de identidad de un alumno sumando acciones de ciberacoso

En el 2019, una institución educativa privada terminó haciendo una erogación cercana a los 850 mil pesos mexicanos por una suplantación de identidad entre alumnos de secundaria a través de correo electrónico y mensajería instantánea. 

Los hechos de este incidente inician con la suplantación de identidad a través de la dirección de correo electrónico de un joven de segundo se secundaria para enviar mensajes de correo y mensajería instantánea obscenos a una de sus compañeras.

Esto fue provocado por una mala higiene de gestión de contraseñas por parte de los administradores de sistemas del centro educativo, ya que las contraseñas se creaban con las iniciales del nombre completo de la persona seguido por el día, mes y año de su nacimiento, parecido a la estructura del RFC o CURP, seguido por las siglas del nombre de la institución educativa. Por lo tanto era muy sencillo “adivinar” prácticamente cualquier contraseña, ya fuera de alumno, profesor o administrativo de la institución, ya que no era obligatorio cambiar la contraseña creada y no se concientizaba de esta vulnerabilidad.

suplantacion

Los jóvenes comentaron que habían tenido una fuerte discusión unos días y a uno de ellos se le ocurrió una manera de cómo hacerle daño a su compañero, como muestra de venganza y superioridad. Intentó simplemente apoderarse del usuario y perfil del estudiante y de ahí perpetuar un ataque suplantando su identidad. Empezó a mandar mensajes en su nombre a diferentes compañeros y compañeras, entre estas compañeras estaba la víctima principal del ataque dirigido. Sumaron 135 mensajes con contenido violento y sexual. La niña (de 13 años en ese momento), empezó hacer capturas de pantalla de los mensajes e imágenes enviadas, dio aviso a sus padres de todo el contenido que estaba recibiendo, y éstos empezaron a documentarlo.

Esa misma noche, el joven que había sido víctima de la suplantación, empezó a recibir mensajes y llamadas de compañeros y padres de familia con reclamos y amenazas, éste avisó a sus padres y se conectaron a la cuenta del joven, y efectivamente había todavía algunos mensajes e imágenes que él supuestamente había enviado, muchos otros habían sido ya borrados. Al día siguiente, se convocó a una reunión de padres de familia y directivos de manera urgente, los padres de familia de la compañera que había recibido el contenido obsceno, habrían ya preparado una acción legal hacia el joven que supuestamente había mandado los mensajes. Y los padres de familia del joven víctima de la suplantación habían ya emprendido su acción legal en contra la institución por no tener los mecanismos para proteger las identidades e información de sus alumnos. 

Una vez que el centro educativo pidió hacer las investigaciones correspondientes, y se esclareció el problema, las sanciones que se impusieron fueron respecto a la participación del daño causado a las dos víctimas en este caso, la compañera que recibió los mensajes y el joven que fue suplantada su identidad.

En el caso del centro educativo, la suma de erogaciones para resarcir parte del daño hacia sus alumnos, sumando los servicios especializados de forense informático, abogados y ciclos de formación en ciberseguridad, ascendió alrededor de $850 mil de pesos mexicanos. Sin embargo, como en el caso de ransomware, el costo pagado por la baja de varios estudiantes por la falta de confianza y desprestigio de la institución, fue muy alto. 

INAI sanciona institución superior por infracción a la LFPDPPP

En 2018, el INAI impuso una multa de $580 mil pesos a una institución educativa por no respetar el principio de finalidad respecto al uso de datos personales por parte de un empleado.

La falta de formación y una política sólida sobre una cultura de seguridad de la información, hizo que un representante de una institución de educación superior usase la información otorgada por un prospecto de estudiante para enviarle de manera privada y acosante, mensajes ajenos a los fines que se había otorgado esa información, es decir, información sobre la institución, sus planes, costos, fechas importantes, etc. 

Al tornarse una situación acosadora, el particular hizo la denuncia ante el INAI, y este organismo determinó que la institución había violado de manera grave el principio de finalidad de la información recabada, por ello la suma financiera tan grande impuesta. 

Es importante aclarar que las acciones o inacciones y sus consecuencias, dentro del contexto de la LFPDPPP, de todo el personal dentro de una organización es responsabilidad de su figura jurídica ante los organismos reguladores. 

Por eventos como los anteriores, todas las organizaciones, y en este caso, los centros y comunidades escolares deberán contemplar dentro de su estrategia de operación, crecimiento y valor, el ser un centro escolar ciberseguro, donde contemplen el cómo proteger sus sistemas, la información que guardan, generan y transfieren de todo el ecosistema que conforma el centro educativo, y además deberán contemplar como una vertical la formación sobre higiene digital y ciudadanía digital tanto para sus docentes como para sus alumnos. Esto porque el mundo no está dispuesto a desconectarse, entonces tendremos que formarnos para saber cómo gestionar los desafíos en el cibermundo.

Si su institución educativa está pasando por evento similar a los aquí expuestos, o cree que puede estar bajo alguna amenaza de ciberseguridad, no dude en contactarnos para ayudarle a través de los servicios y productos especializados en ello que hemos diseñado.

Share this article

Recent posts

Popular categories

Recent comments