Ciberseguridad en el sector educativo
Autor: Eduard BardajíLa tecnología también ha irrumpido en el sector de la educación. La enseñanza a través de ordenadores y pantallas es el método más común y utilizado actualmente por los centros educativos.
No es ninguna novedad que los niños ya no “nacen con panes bajo el brazo”, sino con tabletas, ordenadores y móviles. Es sorprendente como bebés de un año ya conocen el movimiento de deslizar el dedo por la pantalla para conseguir que algo en ella se mueva o aparezca.
No obstante, el uso de las pantallas combinado con el internet, ha empezado a preocupar a padres y a centros educativos. ¿Está realmente a salvo la privacidad y anonimato de sus hijos menores? ¿Qué medidas de protección y seguridad utilizan los centros cada vez más digitalizados?
Pero en realidad…
¿Qué interés puede tener un colegio o centro educativo para un ciberdelincuente?
Cierto es que a los ciberdelincuentes no les interesa lo más mínimo los apuntes de los estudiantes del centro de sus asignaturas, pero sí sus datos personales.
Es importante tener en cuenta que uno de los principales objetivos de los ciberdelincuentes cuando deciden ciberatacar a una empresa, organización o institución es robar datos. Información sensible y confidencial con la que puedan sacar a cambio una recompensa económica.
En los colegios y centros educativos suele haber datos y, en la mayoría de casos, datos sobre menores, convirtiéndolos todavía en un activo más valioso.
Pero, ¿y en las universidades dónde hay mayores de edad? Las universidades pueden ser atractivas por sus trabajos de investigación. Muchas universidades realizan proyectos de I+D+i.
Uno de los problemas principales de los centros educativos e instituciones universitarias es que siguen pensando que su información no es relevante ni interesante para los ciberdelincuentes. Un pensamiento que provoca que muchas sigan sin apostar por las medidas de ciberseguridad adecuadas.
Tipos de ciberataques a los que puede enfrentarse un centro educativo
Los ataques de ransomware suelen ser los más utilizados por los ciberdelincuentes para atacar a un centro educativo o institución. Éstos les permiten acceder a la información, pudiéndola cifrar e impidiendo que el centro pueda acceder a ella. De esta manera, el ciberdelincuente puede pedir un rescate económico al centro educativo a cambio de recuperar la información. Para que éste acepte el trato, los ciberdelincuentes lo chantajean diciendo que si no paga, van a hacer pública la información.
El robo o suplantación de identidad en las redes sociales también puede ser un problema para los centros educativos. Cada vez son más los colegios en que los profesores realizan fotografías a los alumnos que cuelgan en la nube o en las redes sociales para poder compartirlas con los padres. En caso de que algún ciberdelincuente consiguiera las credenciales de dichas cuentas, tendría acceso a las imágenes e información compartida en dichas redes.
Consecuencias de un ciberataque en un centro educativo
Un ciberataque en un centro educativo puede suponer:
-
Consecuencias legales: Normalmente los ciberataques van acompañados de multas o sanciones por una mala praxis y protección de los datos, habiendo incumplido la Ley de Protección de datos. Por ley, es obligatorio que cualquier organización o institución, ante un incidente de seguridad, lo notifique para poder actuar en consecuencia.
-
Mala imagen y daños en la reputación del centro educativo: Cuando una organización o institución es ciberatacada, la confianza de los usuarios hacia ella disminuye. Esto podría provocar que los padres no quisieran matricular a sus hijos en el centro.
-
Pérdidas económicas: Ante un ciberataque se debe recurrir a profesionales del sector para que ayuden a solventar el incidente y mitigar los daños. No obstante, esto tiene un coste.
¿Qué pueden hacer los centros educativos para proteger la información de sus alumnos?
En primera instancia, la concienciación es fundamental, primero del personal docente y después de los alumnos. Si se está convencido de que no hay peligros y de que la ciberseguridad del centro no se encuentra en peligro, éste no querrá apostar por seguridad informática.
El primer paso de todos es entender y admitir que hay unos peligros y que estos pueden solventarse implementando soluciones de ciberseguridad.
La formación de la dirección del centro, así como de su personal docente y de los alumnos es fundamental para garantizar que se actúa en consecuencia y los datos estarán protegidos.
En ESED ofrecemos una solución conocida como ESED Training. Esta consiste en formar al personal de una empresa, institución u organización para que comprenda los peligros a los que puede enfrentarse en la red, o incluso, en el correo electrónico. ¿Sabías que el 95% de los ciberataques empiezan con un correo electrónico? Por eso es importante implementar soluciones de antiphishing.
Una vez se es consciente de las amenazas a las que se enfrenta el centro educativo, es importante implementar soluciones de ciberseguridad en todos los equipos informáticos como:
-
Antivirus
-
Firewalls
-
Sistema de backups
Para garantizar que la información está protegida.
Por otro lado es importante seguir las siguientes recomendaciones:
-
Establecer contraseñas seguras en todos los dispositivos, redes sociales o plataformas que se utilicen y añadir el doble factor de verificación (2FA).
-
Prestar atención a lo que se comparte. No exponer datos confidenciales o información sensible y tener especial cuidado con el rostro de los menores.
-
Realizar copias de seguridad de forma periódica para poder recuperar la información de forma inmediata en caso de pérdida.
-
Visitar siempre páginas HTTPS//: que garanticen la seguridad del sitio.
En ESED, como especialistas en ciberseguridad, antes de proteger un sistema, primero lo analizamos para saber a las vulnerabilidades y brechas de seguridad a la que se enfrenta, para cubrir al cien por cien sus necesidades. Para ello utilizamos nuestra solución de hacking ético, ESED Attack, para la validación de seguridad de un sistema. Ésta consiste en lanzar ataques controlados e inocuos contra un sistema, conociendo así, de primera mano, las posibles entradas que podría utilizar un ciberdelincuente para colarse en el sistema.