Tecnología

Alertan sobre la falta de medidas de las universidades españolas contra las ciberestafas

Alertan sobre la equivocación de medidas de las universidades españolas contra las ciberestafas
#Alertan #sobre #equivocación #medidas #las #universidades #españolas #contra #las #ciberestafas

Rodrigo AlonsoRodrigo Alonso

El Covid-19 no solo ha sacado a miles de trabajadores de sus oficinas y los ha puesto a teclear y a realizar videoconferencias desde el salón de casa. Igualmente ha provocado que muchos estudiantes, especialmente universitarios, hayan tenido que adaptarse a un maniquí de clases semipresencial en el que el formación supuesto tiene un peso más importante que nunca. Como ocurre en el caso de las empresas, es importante que los centros de estudio tomen medidas destinadas a proteger sus sistemas frente a la potencial amenaza de un ciberataque. Especialmente en estos tiempos de hiperconexión y pandemia en los que los criminales informáticos están haciendo todo lo que pueden para encontrar cualquier brecha de seguridad a su luces.

Recientemente, la empresa de ciberseguridad Proofpoint ha puesto a prueba los sistemas de seguridad de las diez principales universidades de España según el octavo noticia U-Ranking fabricado por la Fundación BBVA y el Instituto Valenciano de Investigaciones Económicas (Ivie). Entre ellas figuran la Universidad Pompeu Fabra, la Universidad Carlos III de Madrid, la Universidad Autónoma de Barcelona, la Universidad Politécnica de Cataluña, la Universidad Politécnica de Valencia, la Universidad Autónoma de Madrid, la Universidad de Cantabria, la Universidad de Navarra, la Universidad de Barcelona y la Universidad Rovira y Virgili.

Durante la investigación, el responsable de Proofpoint en España, Fernando Anaya, afirma a este diario que se ha descubierto que cinco de las diez universidades, cuyos nombres concretos no han sido revelados, no cuenta con la alternativa DMARC, una útil que se encarga de demostrar dominios para que los delincuentes no puedan suplantar a una institución. Asimismo, expresa que la otra centro lo ha acogido, pero de forma incompleta, y que ninguna de ellas lo ha hecho de forma que sea posible cortar a un tercero receloso en caso de que intente entrar en contacto con cierto en nombre de la universidad.

«Si una estructura no tiene implementado DMARC de forma completa el heredero no puede retener cuando recibe un correo que se negociación de una comunicación auténtica. Es aseverar, si como escolar de una universidad recibes un email, y el centro en cuestión no tiene esta alternativa, el heredero no puede estar seguro de cuál es el auténtico origen del mensaje, porque un tercero receloso podría estar utilizando el dominio de la institución sin que falta se lo impida. Así de llano es», enfatiza Anaya.

Un peligro para los datos (y los bolsillos)

Con la puesta a prueba de las universidades, Proofpoint quería comprobar si están preparadas contra las amenazas que llegan por correo electrónico. Y es que el email, como explica Anaya, es uno de los vectores de ataque más empleados por los ciberdelincuentes. Especialmente en lo que se refiere a las estafas de tipo phishing, cuando los cibercriminales suplantan a un tercero para engañar a la víctima y robarle información personal. Normalmente contraseñas de algún servicio o claves de la banca en segmento.

«Hay que tener en cuenta que, en la presente, a un ciberdelincuente siempre le mueve el utilidad crematístico. Mediante la suplantación de identidad de una universidad, un atacante puede engañar los alumnos para que entreguen sus credenciales y, prácticamente, cualquier número personal. Por ejemplo, esto podrían hacerlo mandando un correo con un enlace que redirigiese al heredero a una página que copiase a la oficial del centro, y una vez ahí pedirle que aporte sus datos bancarios con la excusa de que tiene algún plazo de la matrícula sin sufragar», explica Anaya.

Objetivo del cibercrimen

Las universidades llevan tiempo figurando entre los principales objetivos del cibercrimen. Un estudio publicado a finales 2018 por Deloitte afirmaba que el 80% de las universidades consultadas reconocían activo tenido algún incidente de ciberseguridad durante dicho año. De ellas, el 62% había sufrido entre 2 y 5 ciberataques y el 10% recibió más de 10. Y, de acuerdo con los expertos, el contexto no ha mejorado en tiempos de pandemia.

«Los entornos educativos se caracterizan por ser muy abiertos. Ahora con el Covid están implementando modelos educativos híbridos y los estudiantes están haciendo uso de unas herramientas informáticas que antiguamente no eran tan necesarias. El peligro ha crecido. Es fundamental que todos estemos concienciados en materia de ciberseguridad. En ese sentido, seguramente las universidades podrían hacer más. Deberían hacer más esfuerzos para enseñar a los estudiantes cómo son las amenazas en internet para que aprendan a proceder en presencia de ellas», apunta el responsable en España de Proofpoint.

Josep Albors, jerarca de investigación y concienciación de la empresa de ciberseguridad ESET, señala a este diario que, como ocurre con las empresas, la toma de medidas de defensa por parte de las universidades depende de muchos factores: «No podemos meterlas a todas en el mismo saco. Hay algunas que tienen más medios para respaldar la seguridad de los datos. Ahora con la pandemia es importante que se empiecen a implementar medidas más eficaces a la hora de proteger a los alumnos. Igual que debe hacerlo cualquier empresa que tiene trabajadores en remoto».

Las mismas medidas que las empresas

El práctico de ESET hace hincapié en que, en estos momentos, un ciberdelincuente puede atacar a una universidad empleando los mismos mecanismos que a una compañía que tenga a sus trabajadores cumpliendo con sus obligaciones desde casa: buscando puertos abiertos para las conexiones en remoto o vulnerabilidades en aplicaciones de videoconferencia o correo.

Los centros educativos ya han sufrido varios ataques durante los últimos meses. Este verano más de 20 universidades y organizaciones benéficas de Reino Unidos, Estados Unidos y Canadá sufrieron una fuga de datos oportuno a un ataque contra Blackbaud, su proveedor de software. La compañía decidió sufragar un rescate para comprobar de que los atacantes destruirían la información robada. Entre las instituciones afectadas figuraban centros tan reconocidos como la Universidad de Oxford.

En España, el Instituto Franquista de Ciberseguridad (INCIBE) alertó el pasado mes de mayo de que un género de ciberdelincuentes había atrevido un ataque de ransomware, virus empleado para secuestrar dispositivos, contra cientos de sus cuentas corporativas de correo electrónico de la Universidad de Cádiz. «Estamos viendo bastantes ataques de “ransomware” a universidades. Especialmente contra centros alemanes, estadounidenses y centroeuropeos en universal. En España, más allá del caso de Cádiz, en estos momentos no está siendo muy habitual», explica Albors.

«Sin retención, esto no implica que en el interior de poco ocurra. Solo hace equivocación que el ciberdelincuente encuentre un agujero por el que entrar, robar la información y, a modo de despedidad, sintetizar los datos y pedir un rescate crematístico. Igual que en empresas, organismos gubernamentales e infraestructuras críticas», avisa el jerarca de investigación de ESET.

Ver los
comentarios

#Alertan #sobre #equivocación #medidas #las #universidades #españolas #contra #las #ciberestafas

Leave a Comment