Dos días después de sufrir un ataque a sus plataformas digitales, la Universidad del Bosque emitió un comunicado en el que afirma que recuperó el control de sus sistemas: «La información, los procesos académicos y financieros de la institución ya se encuentran reestablecidos y funcionando. Lo anterior fue posible gracias al sistema informático de primer nivel con el que cuenta la universidad y al trabajo realizado por el personal especializado y las directivas de la institución».

Si bien los ataques a sistemas informáticos que tienen más difusión suelen ser los que se realizan contra instituciones financieras, del gobierno o empresas, el sector educativo no es ajeno a esta realidad: en febrero de 2021, la Universidad de Oxford fue víctima de un ciberataque a un laboratorio en el que se estudia el Cóvid-19; debido a un ataque a la infraestructura tecnológica de la Universidad de Córdoba (en España), ocurrido a comienzos de junio pasado, los servicios informáticos de la institución advirtieron que para poder matricularse para el próximo periodo, los estudiantes deberán cambiar sus claves de acceso por unas seguras. También en España, a mediados de 2020, la Universidad de Cádiz denunció que cientos de cuentas corporativas de correo electrónico recibieron un mensaje desde la cuenta [email protected], que podría contener código malicioso para desencadenar un ataque de ransomware.

Casos similares, que se cuentan por miles, se han presentado en Francia, Italia, Reino Unido, Alemania, Suiza… el fenómeno no conoce fronteras. Colombia tampoco es ajena a esta práctica, lo que no solo se demuestra con el reciente ataque a la infraestructura tecnológica de la Universidad del Bosque. El sitio de la Universidad Santo Tomás recuerda que en 2015, un estudiante de la Universidad de los Andes pudo capturar las contraseñas de docentes para acceder al sistema de notas y alterarlas. Seguramente no son los únicos casos.

¿Por qué atacar una universidad?

Cambiar notas, acceder a resultados de investigaciones, simplemente sentar un precedente… Las motivaciones para realizar un ciberataque a los sistemas de una Universidad pueden ser muy variadas. «Definitivamente existen antecedentes de ataques a universidades, pero regularmente la mayoría de ellos están vinculados con hacktivismo, con el hecho de poder cambiar calificaciones de los alumnos, o tienen que ver más –si hablamos de un nivel más alto– con ataques dirigidos con fines de espionaje hacia las áreas de investigación de la universidad», le dijo a Impacto TIC Roberto Martínez, analista senior de seguridad en Kaspersky para América Latina.

Desde el punto de vista del experto, no necesariamente son ataques comparables con los que se realizan a otro tipo de instituciones o a empresas: «En el sector financiero es claro que la mayoría de los ataques pueden estar vinculados con un interés económico, o los ataques y denegaciones de servicio a sitios de gobierno tienen más un trasfondo político, para posicionar una agenda determinada».

También sobre los ataques a las universidades en general –no específicamente sobre el caso de la U. del Bosque–, Carlos Gómez, ingeniero principal de soluciones para Suramérica de SonicWall, afirma: «Las instituciones educativas son víctimas muy frecuentes de amenazas, hay agentes tanto internos como externos. El ambiente de aprendizaje permite conocer tanto del lado bueno como del lado oscuro de la ciberseguridad; el personal académico, los estudiantes y profesores conocen bien la infraestructura tecnológica porque son los usuarios de las plataformas y pueden ir identificando sus fortalezas y debilidades. Los entes externos también tocan las puertas y escudriñan qué puede ser vulnerable. Hoy en día las aplicaciones en la nube están disponibles para todos y asumir que la nube es intrínsecamente segura es un error que los administradores de ciberseguridad cometemos, siempre será necesario tomar medidas».

Una entrada publicada en el blog de la empresa de seguridad informática Avira señala: «Las universidades cuentan con amplias bases de datos de miles de estudiantes y personal, que incluyen activos muy valiosos para los ciberatacantes, como información personal, financiera y de investigación y desarrollo. Por otro lado, en las universidades se desarrollan investigaciones avanzadas, y el robo, manipulación o destrucción de ese tipo de datos puede ser otra motivación para los piratas».

Universidad
Imagen: Rodnae Productions (Pexels).

En el caso de la U. del Bosque, la institución informó que las autoridades competentes «están avanzando en la investigación del ataque cibernético, de acuerdo con el análisis forense»; de allí, seguramente, se conocerán los mecanimos y móviles del hecho.

Martinez añade que el fenómeno del ataque a universidades merece un análisis desde una perspectiva más amplia que permita determinar si, por ejemplo, se trata de un patrón que esté afectando a todo el país, o si se trata de un hecho fortuito relacionado con algún otro tipo de circunstancia que actualmente se esté dando, o si es un hecho aislado en el que simplementese logró comprometer la universidad por una agenda personal o de grupo, y por esa razón se busca la exposición.

Lea también en Impacto TIC: Transformacion Digital de las universidades de Colombia, más allá de las clases virtuales.

Ataques a universidades: poco ruido, pero muchas nueces

Lo cierto es que los ataques a las universidades, así no tengan la exposición que tienen los ataques a otro tipo de instituciones, son un fenómeno en crecimiento. Según una publicación del Observatorio de Innovación Educativa de Instituto Tecnológico de Monterrey, entre 2018 y 2019, el número de ataques dirigidos a instituciones educativas en Estados Unidos aumentó en 50 %.

El informe de Avira explica las causas del fenómeno en general: «Un presupuesto limitado dedicado a personal de informática e infraestructura, así como la falta de conocimientos informáticos básicos, son las principales razones por las que las instituciones educativas son un blanco fácil».

Por otra parte, el medio mexicano Expansión hace un análisis de las señales de alarma en territorio azteca: «Previo a la pandemia, 56 % del total de las instituciones educativas de nivel superior en México aceptaron no contar con una política de ciberseguridad y 74 % dijo no haber realizado recientemente una evaluación de sus sistemas tecnológicos, para comprobar su estado de seguridad. Además 58 % dijo no contar con personal o un equipo dedicado a este tema». La información es parte del estudio ‘Estado actual de las Tecnologías de la Información y la Comunicación en las Instituciones de Educación Superior’, de la Asociación Nacional de Universidades e Instituciones de Educación Superior de México.

Del caso más reciente en Colombia cabe destacar el hecho de que la infraestructura del Bosque le haya permitido a la universidad recuperarse del ataque en tan solo 2 días (el 73 % de las universidades en Europa tarda al menos 3 días para remediar las consecuencias de los ciberataques). Sin embargo, antes que un parte de tranquilidad, sucesos como este deben ser alertas que lleven a subir cada vez más la guardia.

Los sistemas de una universidad tienen diferentes componentes que requieren seguridad de un muy alto nivel. «Por un lado se encuentra la información que se genera a partir de la interacción con los estudiantes, como sus datos personales y calificaciones; la propia información interna administrativa de la universidad. Y ahora con la pandemia se agregó el componente de tener que montar infraestructuras para poder dar clases en línea, para poder gestionar los procesos y que la gente pudiera trabajar desde casa, principalmente los equipos administrativos. Esto es un reto, y la mejor forma de abordarlo es contar con una estrategia», advierte Roberto Martínez, de Kaspersky.

El experto explica que si solamente se compra tecnología de protección, monitoreo o detección, pero no hay una estrategia detrás, se abre una gran brecha de seguridad. «Se debe partir de una estrategia basada en los riesgos y amenazas, y a partir de ahí usar la tecnología para reducir esos riesgos a un nivel aceptable», concluye Martínez.

Por el lado de SonicWall, Carlos Gómez añade que las Universidades ofrecen una «mezcla de componentes» muy importantes: «Un área publica y abierta donde se conectan los estudiantes, una porción medianamente segura donde están las aplicaciones educativas, y un esquema de mayor seguridad donde está el componente financiero y tesorería. Y a esto se le añade que cuentan con conexiones de Internet de alta velocidad y acceso a redes académicas mundiales con muy buen ancho de banda, que requieren elementos de conectividad y seguridad muy especiales e igualmente la adopción de controles y medidas muy particulares que permitan el uso apropiado de las redes, pero a la vez reducir la exposición a eventos de ciberseguridad. Es una brecha difícil de cerrar».

Queda claro que la seguridad informática no es una tarea que termine en algún momento, sino que debe ser una labor constante. Sobre todo si se tienen en cuenta cifras como las entregadas por programa Seguridad Aplicada al Fortalecimiento Empresarial (Safe) del Tanque de Análisis y Creatividad de las TIC, según el cual los ataques ciberténticos aumentaron un 30 % en Colombia durante el último año. El informe completo, titulado ‘Evaluación, retos y amenazas a la ciberseguridad’, se puede descargar en este enlace.


Imagen principal: Saksham Choudhary (Pexels).