La conversación sobre tecnología educativa

La escuela, albergue seguro para datos

La escuela, albergue seguro para datos

Imaginemos al director o la directora de una escuela que enciende su computadora a primera hora de la mañana. En lugar de su correo electrónico, la pantalla muestra un anuncio parecido al siguiente:

Este mensaje informa que los archivos de los sistemas de administración de personal y control académico han sido encriptados y en el lapso de 48 horas serán borrados irremediablemente. El autor de la extorsión demanda cuatro bitcoins para obtener la clave que desencripte los archivos ahora inaccesibles. El problema es que cada bitcoin cuesta casi 7 mil dólares, por lo que la extorsión exige al director conseguir el equivalente a medio millón de pesos en pocas horas.

 

Esto suena como pesadilla de ciencia ficción, pero a mediados de enero un hospital estadounidense llamado Hancock Health sufrió el ataque de pieza de código malicioso llamada SamSam que exigió justo esa cantidad para liberar los sistemas informáticos del hospital. La historia tiene un final agridulce, pues la administración del hospital no tuvo más remedio que pagar la cantidad exigida a cambio de las llaves que permitieron liberar su información.

 

Las instituciones educativas, como cualquier organización que recolecte y resguarde datos, es vulnerable al ataque de individuos y grupos delincuenciales que extraen subrepticiamente datos o que incluso los secuestran con amenaza de su borrado permanentemente. Existe poca información sobre la frecuencia de este tipo de ataques, pero datos de la empresa de seguridad Wombat Security halló que de 1,339 incidentes de robo de información en Estados Unidos, el 8.7% fue protagonizado por organizaciones educativas, que implicaron la fuga de la información perteneciente a 1.1 millones de estudiantes.

 

Las vulneraciones que puede sufrir una institución educativa son variadas de acuerdo con la National School Boards Association (NSBA) y van del robo de datos sensibles como los expedientes de los alumnos y la nómina de los profesores. Otros riesgos están en la exposición inadvertida de información sensible en virtud de malas prácticas como información no encriptada, discos duros olvidados en aeropuertos o administradores de sistemas que no actualizan sistemas operativos o los programas de administración escolar.

 

Los ataques pueden ser tan sencillos como un empleado que se lleva una memoria USB con información delicada o tan compleja como un ataque de phishing donde un correo que contiene un archivo infectado con código malicioso disfrazado como un documento de texto o un archivo PDF infecta primero la computadora de la víctima y posteriormente se infiltra hacia los servidores físicos o virtuales de la institución educativa. Hasta hace algunos años se requería el trabajo de equipos de especialistas para organizar este tipo de ataques, pero nuevas modalidades de ataque como el Ransomware-as-a-Service (Raas) permiten que virtualmente cualquier persona pueda realizar un ataque a una organización.

 

Las implicaciones de este tipo de ataques y exposiciones de información pueden ser graves. La Ley Federal de Protección de Datos Personales en Posesión considera en su artículo 63 como una conducta castigable “vulnerar la seguridad de bases de datos, locales, programas o equipos, cuando resulte imputable al responsable”. La ley fija sanciones de hasta 320 mil días de salario mínimo, sin contar la posibilidad de demandas por parte de los afectados. Es por ello que las empresas educativas requieren pensar en estrategias que permitan una disminución del riesgo al que se enfrentan y un documento del Departamento de Educación de los Estados Unidos señala una estrategia que parte de aceptar que ningún sistema por sí sólo puede ser seguro y además de la tecnología, se requiere de un robusto componente cultural.

 

De acuerdo con este documento, esto son algunos de los pasos más importantes a seguir en preparación de un posible ataque contra la infraestructura informática de una institución educativa:

 

  •  Entrenar al personal académico y administrativo en temas de seguridad informática.
  •  Identificar sistemas críticos como las bases de datos con información de los alumnos y que requieren una protección prioritaria.
  •  Mantener actualizados sistemas operativos y programas de los sistemas que recolectan, almacenan y procesan datos.
  •  Crear un plan de respuesta ante el robo de información.
  •  Realizar ensayos periódicos (stress tests) para probar la resistencia de los sistemas informáticos frente a ataques.