Descarga el PDF
Enero 8 de 2016. Las autoridades de la Universidad de Florida Central (UFC) se reúnen en la oficina del director. La noticia cae como una cruz en sus hombros. Al menos 63 mil documentos de alumnos y ex alumnos del instituto han sido robados por cibercriminales. En pocas palabras, hay una universidad hackeada.
El delincuente o delincuentes cibernéticos violaron la red de la escuela para tener acceso a números de seguridad social y otros datos personales sensibles.
Los estudiantes, que también estaban trabajando para la universidad y la facultad y son los principales afectados, reciben la noticia un mes después, pues todo se había mantenido en secreto por requisitos de la investigación policial. La UCF asegura que la información de tarjetas de crédito, registros médicos, y las calificaciones no fueron expuestas, y se recomienda que el alumnado compruebe sus informes de crédito y estados de cuenta bancarios “por precaución”. La reputación del instituto educativo, por los suelos.
Al enterarse del incidente, la UCF lanzó inmediatamente una investigación interna y reportó el incidente a la policía. También ha contratado a una de las firmas de respuesta a incidentes de ataque y forenses digitales más importantes de la nación para ayudar en la investigación interna. Pero eso no hubiera ocurrido si la ciberseguridad fuera una prioridad para ellos, y tuvieran un plan de riesgos.
Aún se investiga desde cuando estaba vulnerada la seguridad informática de la escuela, pues pudieron pasar meses sin que se dieran cuenta los expertos del área de Tecnologías de la Información (TI).
LA UNIVERSIDAD HACKEADA, UN CASO ESPECIALMENTE DELICADO
Los expertos se preguntan: ¿por qué la escuela no se lo diría de inmediato a la gente para que cambiarán sus contraseñas? o ¿por qué su seguridad es tan débil?.
Lamentablemente, luego de ahogado el niño, a tapar el pozo. “Para asegurar nuestra vigilancia, se ha llamado a una revisión exhaustiva de los sistemas en línea y la infraestructura de TI, las políticas y la capacitación para determinar qué mejoras podemos hacer a la luz de este reciente incidente”, informan en la universidad.
Cada día más ciberdelincuentes intentan acceder ilegalmente a las bases de datos de las instituciones en todo el mundo. En los últimos años, las de educación superior son blancos populares.
Los ataques contra las redes universitarias están en aumento. El reporte Symantec 2015 sobre Seguridad en Internet descubrió que un tercio de los ataques cibernéticosfueron dirigido al sector educativo en 2014, representando 10 por ciento del total de incidencias, y ese número va en aumento.
El mismo estudio señala que los ataques no focalizados todavía constituyen la mayoría de malware, que aumentó en 26 por ciento ese mismo años. De hecho, había más de 317 millones de nuevas piezas de este tipo de programas maliciosos creadas, lo que significa casi un millón de nuevas amenazas liberadas cada día.
Las defensas que las universidades pueden desplegar contra los ataques cibernéticos van desde mejorar las contraseñas hasta la construcción de instalaciones de investigación ultra seguras que mantienen a los sistemas informáticos más sensibles a salvo de la gama abierta de Internet. Pero se recomienda mejor contratar un servicio de administración de TI que encamine a proteger según las necesidades, y evitar gastos excesivos.
Como primera línea de seguridad, los administradores deben establecer políticas que controlen el acceso a las redes de ordenadores y protejan el flujo de información. Por ejemplo, puede ser que los archivos de los estudiantes se cifren siempre, se limite el acceso de empleados a esta información y se evite descargar en dispositivos menos seguros, como memorias USB, los documentos sensibles.
Las universidades también podrían considerar prohibir el uso personal de los servicios populares como Dropbox para transferir archivos de los estudiantes y otra información sensible.
Los expertos aseguran que todo lo que se necesita es una unidad USB o un disco duro que se pierda, para que cueste millones de dólares en sanciones por parte de un fiscal general.
Proteger los datos con tecnología de punta y con especialistas experimentados es importante, pero lo principal es no creer que uno no es un blanco, pues hoy en día cualquier empresa, usuario o institución que esté en internet, puede ser vulnerado.