La filtración de datos llega a la universidad española

¿Por qué las universidades están en el punto de mira de los hackers?

Buscan números de cuentas bancarias asociadas a las matrículas, direcciones postales, papers y otros documentos confidenciales. En la secretaría de cualquier facultad hay guardados datos de gran valor, ya sea para llevar a cabo una suplantación de identidad u otro delito, es esencial protegerlos. Y no basta con echar la llave a los ficheros metálicos donde se acumulan los informes de los alumnos, profesores adjuntos y los más veteranos. La ciberseguridad es la asignatura pendiente de la universidad, que todavía se está adaptando al almacenamiento en la nube seguro.

Los hackers trabajan sin descanso para lograr la manera de explotar las vulnerabilidades de los sistemas de seguridad de los siguientes elementos:

• Redes wifi de los campus universitarios. Miles de usuarios, desde administrativos a investigadores, pasando por los matriculados en los grados, se conectan a la red wifi de su facultad para cumplir con sus tareas. Los hackers tienen presente la cantidad de potenciales víctimas que encuentran en este tipo de redes, que no siempre están protegidas correctamente.
• La nube. La tecnología ya forma parte del día a día de cualquier centro educativo. El alumnado no deja sin tinta los bolígrafos tomando apuntes, los descarga del aula virtual o teclea a gran velocidad y guarda el archivo en la nube. Los ciberataques adoptan diferentes formas, tan reales y atractivas que a veces se detecta el engaño demasiado tarde. El malware puede llegar a estar presente en las carpetas de plataformas online.
• Los correos electrónicos de la universidad. Tener un dominio diferente a @gmail o @yahoo, no asegura que tu bandeja de entrada esté a salvo. Los ataques phishing y los mensajes spam son métodos muy populares en la comunidad hacker, que perfeccionan constantemente para infectar los dispositivos electrónicos de terceros.

Facultades de todo el mundo están en el punto de mira de los hackers. En la lista de objetivos, hay nombres de instituciones españolas y por ello urge reforzar las medidas de ciberseguridad de las universidades de nuestro país. La reconocida UCM (Universidad Complutense de Madrid) ha ocupado los titulares en este mes de mayo.

La universidad española, víctima de filtraciones de datos

La Universidad Complutense reportó a las autoridades un complejo ciberataque, que terminó filtrando los datos de exalumnos, matriculados y docentes. Al conocer la vulneración de los sistemas de seguridad, el centro universitario lanzó un comunicado en sus canales oficiales para intentar esclarecer lo ocurrido:

“Se ha reforzado la seguridad y la UCM está trabajando con expertos en seguridad cibernética y autoridades competentes para abordar la situación y garantizar que se tomen todas las medidas necesarias para proteger la información de sus usuarios”.

En numerosas ocasiones, los datos robados terminan vendiéndose al mejor postor en la dark web. Un espacio en el que se manipula la información confidencial, extremadamente sensible, y que supone un ataque directo al principio básico de la ciudadanía digital, el derecho a la libertad y la seguridad online. Los ataques DDoS, que están detrás de las filtraciones de muchos datos relacionados con la universidad, son un tipo de negocio ilegítimo especializado en robar información privada que luego se vende.

Entre las medidas que pueden tomar los alumnos, así como cualquier trabajador vinculado a la vida universitaria, es protegerse con una VPN para estudiantes. Esta app permite encriptar el tráfico en línea, añadiendo una capa extra de seguridad sobre los datos confidenciales que se transmiten a través de las redes de la universidad: contraseñas, las cifras del DNI, las calificaciones de la EBAU, etc. Según NordVPN, solo un 26,5 % de los españoles usa una VPN.

Los ataques informáticos en otras universidades alrededor del mundo

En los últimos años, se han reportado casos de filtraciones de datos y secuestro de información confidencial, entre otros. A veces, la privacidad no se pone en riesgo por un despiste del usuario, que sin querer ha abierto la ventana que no debía, el clickjacking manipula el movimiento del ratón.

Los ciberdelincuentes que están atacando los centros educativos, saben todos los trucos. Nuestra tarea es identificar el modus operandi e intentar no picar. Para ello, hagamos un breve repaso por los hackeos a las universidades más comentados recientemente:

En las universidades norteamericanas

Al otro lado del charco, la Universidad de California reconoce haber pagado un rescate para recuperar los datos robados con un ataque de ransomware, en junio del 2023. A 800 kilómetros de distancia, se encuentra la Universidad de Utah, que calcula que el ataque informático sufrido en el verano del 2023 afectó al 0,02 % de sus servidores.

No son las únicas instituciones que se vieron en esta situación. La Universidad de Stanford fue víctima del ransomware Akira, que consiguió robar 430 GB de sus discos duros en octubre de 2023. Entre la información adquirida de forma ilegítima, se encontraban datos muy sensibles que comprometen la privacidad de la comunidad educativa.

Los ciberdelincuentes que atacaron a la Universidad de Bluefield se comunicaron con las víctimas a través del sistema de alertas de seguridad de la institución, RamAlert. En los mensajes anunciaban un supuesto robo de datos, cuya recuperación requería una elevada cantidad de dinero. El SMS incluía un link manipulado que llevaba a los estudiantes a un sitio web malicioso.

Fuera del ámbito educativo, los ciberataques diseñados para enviar mensajes de texto masivos en los que se incluye un enlace malicioso, aumentan en determinadas fechas en España, por ejemplo, durante la campaña electoral o la celebración de festividades como Sant Jordi.

La ingeniería social también tuvo en la diana a la Universidad de Dakota del Norte, a la que poco le faltó para ser la víctima de una estafa de más de 5 USD millones en octubre del 2023.

En las universidades europeas

Empecemos hablando de lo ocurrido en la Universidad de Oxford mientras se investigaba la Covid-19, cuando un ciberataque puso en jaque la seguridad de los ordenadores de una de las mejores universidades del mundo. Los hackers pretendían acceder al contenido de las memorias de los laboratorios y los informes en los que se estaba trabajando todavía.

El gobierno del Reino Unido, cuyo estudio “Cyber security breaches survey 2023: education institutions annex” está disponible en línea, concluye que el 85 % de las universidades de su país han detectado ataques o brechas de seguridad en los meses del pasado año. En concreto, cerca del 82 % de los centros de formación superior reportaron algún tipo de ciberataque. A este dato, le siguen los incidentes en los institutos (63 %) y los ciberataques a las escuelas de primaria (41 %). Por lo tanto, los hackers no solo atacan a las universidades, sino a todos los centros educativos.

Si bien el caso de Oxford, donde se intentó robar la información de sus investigaciones durante la pandemia, ocupó más páginas en la prensa debido al alto prestigio de la institución, existen otros ejemplos de universidades europeas hackeadas en los últimos años:

• Universidad de Ciencias Aplicadas de Kaiserslautern (HS Kaiserslautern). En junio del 2023, este centro educativo alemán fue víctima de un ataque de ransomware que comprometió todas sus infraestructuras IT.
• Universidad de Zúrich (UZH). Las facultades suizas fueron el objetivo de un grave ataque informático en febrero del 2023. En el comunicado que la universidad hizo llegar a la prensa, destacamos la siguiente declaración: “Este ciberataque forma parte de otros ataques a instituciones educativas y de salud que están teniendo lugar en nuestro país”.

En universidades de habla hispana

Las facultades en que el español es la lengua vinculante, tampoco son ajenas a la oleada de hackeos. Estos son solo algunos ejemplos:

• Universidad Pompeu Fabra de Barcelona (UPF). En junio del 2023, su agenda institucional frenó en seco. Un ciberataque bloqueó los sistemas operativos de los ordenadores de sus facultades y las clases (entre otros actos programados) tuvieron que parar. Junto a las autoridades de la UPF, la Agencia de Ciberseguridad de Cataluña alertó de los ataques.
• Universidad de Castilla-La Mancha (UCLM). Sin salir de España, encontraremos otro caso en el que los ciberataques pusieron en jaque la ciberseguridad de otra universidad. En abril del 2022, las infraestructuras críticas de la UCLM quedaron completamente inoperativas. Sin embargo, gracias a la rápida respuesta de la institución y las lecciones aprendidas a raíz de este lamentable suceso, la universidad recibió el premio Socinfo Digital en la categoría de Seguridad e Infraestructuras de Comunicaciones. El jurado destacó el papel desempeñado por sus expertos en TIC.
• Universitat Oberta de Catalunya (UOC). En plena época de exámenes, justo después de las vacaciones de navidad del 2021, los estudiantes de la UOC se quedaron sin acceso al aula virtual. ¿El motivo? Un ciberataque que bloqueó la web oficial de la institución en el momento más importante del cuatrimestre.
• Universidad de Buenos Aires (UBA). Las universidades latinoamericanas, entre ellas, la prestigiosa UBA, han sufrido otros ataques informáticos que consiguieron dañar sus servidores. En el caso de la Universidad de Buenos Aires, docentes y alumnos (incluidos los que estudian a distancia) no pudieron utilizar la nube de sus facultades en diciembre del 2023.
• Universidad Nacional Autónoma de México (UNAM). El grupo de hackers Mexican Mafia, conocido como Dyce, atacó virtualmente al Instituto de Investigaciones Filológicas (IIFL) en abril del 2024. Este mismo colectivo son responsables de otras filtraciones de datos, en los que se encuentran afectados trescientos periodistas que ejercen en México, muchos relacionados con las mañaneras de Andrés Manuel López Obrador.

¿Qué está fallando en la universidad en materia de ciberseguridad?

Los ciberataques en el sector educativo están en auge, entre otras razones, por el desconocimiento generalizado en materia de ciberseguridad. La seguridad online ya se imparte en la universidad, incluso hay grados especializados más allá de formaciones esporádicas o conferencias, pero sigue siendo la materia pendiente. Ni el personal administrativo, ni el claustro de profesores mantienen los mejores hábitos online para proteger su propia privacidad y la de la propia universidad.

Además de los errores humanos que se puedan cometer, los sistemas de seguridad de las facultades pueden tener brechas. El proveedor en la nube más empleado en España, ASAC, ha sido vulnerado en varias ocasiones. Esta interfaz se utiliza en otras organizaciones de la Administración, por ejemplo, el SEPE.

Una vez identificado el problema, toca tomar medidas de prevención.

Algunos consejos para evitar los ciberataques en el ámbito educativo

A nivel institucional, estas son algunas medidas que se pueden tomar con el fin de evitar los ciberataques:

• Auditorías que evalúen el nivel de seguridad de las páginas web de la institución. Si bien es cierto que en las facultades, lo que más se utiliza es el campus virtual y la plataforma digital de la facultad, en este reporte en profundidad incluimos las apps, dispositivos IoT y otros elementos electrónicos que deben estar protegidos correctamente para prevenir los ciberataques. Los hackeos de impresoras quizá sean los más subestimados.
• Formaciones en ingeniería social y otras amenazas online. La divulgación y desarrollar programas de formación continúa, accesibles a estudiantes y otro personal educativo, son esenciales para reconocer las señas de identidad de una ciberamenaza.
• Perfeccionar el funcionamiento de los departamentos de gestión IT. La rápida actuación del personal de la Universidad de Alicante sirvió para evitar ser víctima de un ciberataque lanzado en la Semana Santa del 2024. Cualquier incidente, aunque a simple vista parezca menor, debería ser reportado a la brevedad y activar los mecanismos de seguridad indicados.

A título personal, el alumnado o los equipos administrativos pueden familiarizarse con herramientas de ciberseguridad que añaden una capa de seguridad extra a la información privada que manejan a diario. Instalar una VPN no significa encriptar solo el tráfico online, ya que la app viene acompañada de funciones diseñadas para que las experiencias digitales sean más seguras.

• La Protección contra amenazas. Esta función sirve para bloquear molestos anuncios, localizar malware durante la descarga y bloquear rastreadores. En otras palabras, refuerza la cerradura de tu caja fuerte universitaria, en la que se guardan desde información personal básica a una tesis doctoral en la que alguien ha invertido muchos años.
• La Red Mesh. Es la herramienta que hace posible crear una red privada a la que solo tienen acceso un número reducido de personas: el equipo de investigadores, el personal de secretaría, los alumnos de tercer año del Grado de Periodismo, etc. Entre otras acciones que se pueden llevar a cabo, es útil para compartir y enviar archivos a otros usuarios de la universidad con más seguridad.
• El Dark Web Monitor. Este software envía una notificación al usuario cuando detecta que sus credenciales privadas han sido filtradas. Al conectarse al campus virtual, todo alumno debe introducir una clave secreta y, en muchos casos, el nombre de usuario es el DNI. Esta información es demasiado sensible como para que esté desprotegida.

Los ciberataques no parece que vayan a parar, seguirán involucrando al sector educativo de España y otros países, pero el primer paso para evitarlos es identificar cuál es su aspecto. Al analizar los diferentes casos, se observan características comunes y esto está siendo tenido en cuenta en los departamentos IT de las facultades, escuelas e institutos. Asimismo, al igual que en otros ámbitos de la vida, los individuos pueden reforzar su privacidad digital con diferentes herramientas de ciberseguridad.