Aunque la estafa bancaria a través de Internet domina -- , las entidades educativas y las autoridades adoptaron medidas pues se reconoce que los estudiantes y educadores también están en la mira.
En la Universidad Latina (Ulatina), por ejemplo, se utiliza múltiples factores de autenticación y encriptación de contraseñas, se activó un directorio de personal y estudiantes, y se asignaron roles y perfiles de usuario para verificar comportamientos. Paralelamente se cuenta con seguridad en capas (sistema operativo, base de datos, aplicaciones, servidores, redes), respaldos diarios, semanales y por mes (de sitio y en la nube), así como se segmenta las redes en las sedes y oficinas.
LEA MÁS: Epidemia de ciberestafas se ensaña con los clientes bancarios
Todo eso se complementó con sistemas de seguridad para conexiones remotas: antivirus y anti software malignos (malware), sistemas contra ataques de denegación de servicios (DNS) y para protección de las redes virtuales privadas (VPN, por sus siglas en inglés) incluidos en la suite de Cisco, a lo que se le suma murallas de fuego de Fortinet y FirePower y la aplicación periódica de parches de seguridad, entre otros. También se implementaron laboratorios virtuales a través de VPN.
“El 100% del tráfico a Internet en sedes y oficinas es revisado por software bajo políticas de acceso a sitios seguros”, aseguró Julio Galindo, director de tecnología de la información de la Ulatina. Según el funcionario, durante 2020 no enfrentaron ni han tenido que denunciar ante las autoridades judiciales incidentes por ciberseguridad o fraudes realizados por vía informática.
A nivel global, los ataques cibernéticos afectaron al 44% de las instituciones educativas en 2020, más que a entidades de gobierno, finanzas y de otras industrias (37%), de acuerdo con un estudio de Sophos, una firma de ciberseguridad que brinda servicios a más de 500.000 organizaciones en 150 países. El robo de datos para extorsión financiera afectó a seis de cada 10 entidades educativas, también por encima de otros sectores. En el sector educativo los pagos para recuperación de información promedian $2,7 millones, 48% más que en el resto de industrias.
Eslabón débil
Los ciberdelincuentes aprovechan las brechas existentes en las instituciones, especialmente la falta de herramientas y buenas prácticas de protección a nivel de usuario. “Las mismas prácticas que se usan para fraudes financieros se aplican en el sector educativo”, advirtió Alonso Ramírez, profesor de ciberseguridad Universidad Cenfotec. “Se necesita infraestructura para protección, más allá del esquema básico”.
Según el Centro de Respuesta de Incidentes de Seguridad Informática (CSIRT-CR), con sede en el Micitt, el sitio web del Ministerio de Educación Pública (MEP) reportó 12 incidentes desde el 2019, todos resueltos y ninguno de ellos de ciberseguridad.
“El MEP indica que no ha tenido incidentes de categoría de secuestro de datos o situaciones causadas por troyanos u otros tipos de malware desde marzo de 2020”, dijo Jorge Mora, director de gobernanza digital, a cargo del CSIRT-CR, del Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (Micitt).
LEA MÁS: Epidemia de ciberestafas se ensaña con los clientes bancarios
El CSIRT-CR no tiene monitoreo interno de las instituciones. Cada institución se encarga del desarrollo de su ciberseguridad con base a las políticas en materia y la Estrategia Nacional de Ciberseguridad.
El Micitt destacó que el informe de ciberseguridad de la Organización de los Estados Americanos (OEA) y el Banco Interamericano de Desarrollo (BID) del 2020 indicó que Costa Rica avanzó en el modelo de respuesta a incidentes informáticos, redundancia en telecomunicaciones, mecanismos de denuncia, capacitación, cooperación y la definición de la estrategia nacional. Asimismo, que el país avanzó 39 puestos (del 115 al 76) en el Índice Global de Ciberseguridad 2020 de la Unión Internacional de Telecomunicaciones (ITU). “Costa Rica entró a los 10 países más ciberseguros de América, al ocupar la posición ocho”, afirmó Mora.
La entidad enumeró que en 2020 se capacitó a más de 7.900 docentes del MEP en ciberseguridad y que en otras actividades de formación la participación sumó a 1.429 personas, pero alcanzaron a 13.199 usuarios más. De forma complementaria, se implementan acciones y estrategias para la prevención y respuesta a la explotación y abuso sexual en línea de menores de edad, junto con otras entidades, incluidas el MEP.
El CSIRT-CR también impulsa una red de enlaces de ciberseguridad, del que forma parte el MEP y otras entidades del gobierno central, municipios, bancos, proveedores de servicios y empresas privadas, así como implementa mecanismos de comunicación entre responsables de tecnología.
Hay pendientes, sin embargo. La Organización para la Cooperación y el Desarrollo Económicos (OCDE) recomendó que el país debe asegurar recursos financieros y personal para el mismo CSIRT-CR, fortalecer el conocimiento de ciberseguridad en las instituciones públicas y se requiere integrar equipos en cada entidad con presupuesto y personal especializado.
El reporte del CSIRT-CR enumera las herramientas de ciberseguridad con que cuenta el MEP para protección contra amenazas avanzadas. El MEP indicó al CSIRT-CR que no ha tenido incidentes de ciberseguridad o presentado denuncias por ese motivo desde marzo de 2020.
La Universidad Fidélitas —que no indicó cuáles herramientas, plataformas y prácticas de seguridad informática implementa— también respondió que desde marzo de 2020 no han enfrentado incidentes de ciberseguridad ni han tenido que presentar denuncias ante autoridades judiciales.
Aquí se realizan campañas de prevención con estudiantes, docentes y personal administrativo, así como están en conocimiento de casos de ataques a centros educativos internacionales para compartir las mejores prácticas y aplicar las recomendaciones de los proveedores. “En el mundo del internet, no se puede estar libre de intentos de ataques”, advirtió Roy Durán, director de tecnologías de la información de Fidélitas.
| ¿Será suficiente? |
|---|
| Herramientas de ciberseguridad que utiliza MEP y reportadas al CSIRT-CR: |
| Firewall (para seguridad perimetral). |
| Antivirus en servidores y computadoras del MEP con protección proactiva contra amenazas avanzadas conocidas y desconocidas, como virus, gusanos y troyanos. |
| Filtrado de tráfico de red. |
| Equipos con funcionalidad para identificar ataques, malware y otras amenazas. |
| Plataforma de servidores para actualizaciones de seguridad de los servidores y estaciones de trabajo. |
| Respaldos de información generada por los sistemas informáticos y de datos de carácter laboral. |
| Proceso de autenticación para validar la identidad del usuario. |
| Fuente: Micitt. |