Alertan sobre la falta de medidas de las universidades españolas contra las ciberestafas

El Covid-19 no solo ha sacado a miles de trabajadores de sus oficinas y los ha puesto a teclear y a realizar videoconferencias desde el salón de casa. También ha provocado que muchos estudiantes, especialmente universitarios, hayan tenido que adaptarse a un modelo de clases semipresencial en el que el aprendizaje virtual tiene un peso más importante que nunca. Como ocurre en el caso de las empresas, es importante que los centros de estudio tomen medidas destinadas a proteger sus sistemas frente a la potencial amenaza de un ciberataque. Especialmente en estos tiempos de hiperconexión y pandemia en los que los criminales informáticos están haciendo todo lo que pueden para encontrar cualquier brecha de seguridad a su alcance.

Recientemente, la empresa de ciberseguridad Proofpoint ha puesto a prueba los sistemas de seguridad de las diez principales universidades de España según el octavo informe U-Ranking elaborado por la Fundación BBVA y el Instituto Valenciano de Investigaciones Económicas (Ivie). Entre ellas figuran la Universidad Pompeu Fabra, la Universidad Carlos III de Madrid, la Universidad Autónoma de Barcelona, la Universidad Politécnica de Cataluña, la Universidad Politécnica de Valencia, la Universidad Autónoma de Madrid, la Universidad de Cantabria, la Universidad de Navarra, la Universidad de Barcelona y la Universidad Rovira y Virgili.

Durante la investigación, el responsable de Proofpoint en España, Fernando Anaya, afirma a este diario que se ha descubierto que cinco de las diez universidades, cuyos nombres concretos no han sido revelados, no cuenta con la solución DMARC, una herramienta que se encarga de verificar dominios para que los delincuentes no puedan suplantar a una institución. Asimismo, expresa que la otra mitad lo ha adoptado, pero de forma incompleta, y que ninguna de ellas lo ha hecho de forma que sea posible bloquear a un tercero malicioso en caso de que intente entrar en contacto con alguien en nombre de la universidad.

«Si una organización no tiene implementado DMARC de forma completa el usuario no puede saber cuando recibe un correo que se trata de una comunicación auténtica. Es decir, si como alumno de una universidad recibes un email, y el centro en cuestión no tiene esta solución, el usuario no puede estar seguro de cuál es el auténtico origen del mensaje, porque un tercero malicioso podría estar utilizando el dominio de la institución sin que nada se lo impida. Así de grave es», enfatiza Anaya.

Un riesgo para los datos (y los bolsillos)
Con la puesta a prueba de las universidades, Proofpoint quería comprobar si están preparadas contra las amenazas que llegan por correo electrónico. Y es que el email, como explica Anaya, es uno de los vectores de ataque más empleados por los ciberdelincuentes. Especialmente en lo que se refiere a las estafas de tipo phishing, cuando los cibercriminales suplantan a un tercero para engañar a la víctima y robarle información personal. Normalmente contraseñas de algún servicio o claves de la banca en línea.

«Hay que tener en cuenta que, en la actualidad, a un ciberdelincuente siempre le mueve el lucro económico. Mediante la suplantación de identidad de una universidad, un atacante puede engañar los alumnos para que entreguen sus credenciales y, prácticamente, cualquier dato personal. Por ejemplo, esto podrían hacerlo mandando un correo con un enlace que redirigiese al usuario a una página que copiase a la oficial del centro, y una vez ahí pedirle que aporte sus datos bancarios con la excusa de que tiene algún plazo de la matrícula sin pagar», explica Anaya.

Objetivo del cibercrimen
Las universidades llevan tiempo figurando entre los principales objetivos del cibercrimen. Un estudio publicado a finales 2018 por Deloitte afirmaba que el 80% de las universidades consultadas reconocían haber tenido algún incidente de ciberseguridad durante dicho año. De ellas, el 62% había sufrido entre 2 y 5 ciberataques y el 10% recibió más de 10. Y, de acuerdo con los expertos, el contexto no ha mejorado en tiempos de pandemia.

«Los entornos educativos se caracterizan por ser muy abiertos. Ahora con el Covid están implementando modelos educativos híbridos y los estudiantes están haciendo uso de unas herramientas informáticas que antes no eran tan necesarias. El riesgo ha crecido. Es fundamental que todos estemos concienciados en materia de ciberseguridad. En ese sentido, seguramente las universidades podrían hacer más. Deberían hacer más esfuerzos para enseñar a los estudiantes cómo son las amenazas en internet para que aprendan a actuar ante ellas», apunta el responsable en España de Proofpoint.

Josep Albors, jefe de investigación y concienciación de la empresa de ciberseguridad ESET, señala a este diario que, como ocurre con las empresas, la toma de medidas de defensa por parte de las universidades depende de muchos factores: «No podemos meterlas a todas en el mismo saco. Hay algunas que tienen más recursos para garantizar la seguridad de los datos. Ahora con la pandemia es importante que se empiecen a implementar medidas más eficaces a la hora de proteger a los alumnos. Igual que debe hacerlo cualquier empresa que tiene trabajadores en remoto».

Las mismas medidas que las empresas
El experto de ESET hace hincapié en que, en estos momentos, un ciberdelincuente puede atacar a una universidad empleando los mismos mecanismos que a una compañía que tenga a sus trabajadores cumpliendo con sus obligaciones desde casa: buscando puertos abiertos para las conexiones en remoto o vulnerabilidades en aplicaciones de videoconferencia o mensajería.

Los centros educativos ya han sufrido varios ataques durante los últimos meses. Este verano más de 20 universidades y organizaciones benéficas de Reino Unidos, Estados Unidos y Canadá sufrieron una fuga de datos debido a un ataque contra Blackbaud, su proveedor de software. La compañía decidió pagar un rescate para asegurarse de que los atacantes destruirían la información robada. Entre las instituciones afectadas figuraban centros tan reconocidos como la Universidad de Oxford.

En España, el Instituto Nacional de Ciberseguridad (INCIBE) alertó el pasado mes de mayo de que un grupo de ciberdelincuentes había lanzado un ataque de ransomware, virus empleado para secuestrar dispositivos, contra cientos de sus cuentas corporativas de correo electrónico de la Universidad de Cádiz. «Estamos viendo bastantes ataques de «ransomware» a universidades. Especialmente contra centros alemanes, estadounidenses y centroeuropeos en general. En España, más allá del caso de Cádiz, en estos momentos no está siendo muy habitual», explica Albors.

«Sin embargo, esto no implica que dentro de poco ocurra. Solo hace falta que el ciberdelincuente encuentre un agujero por el que entrar, robar la información y, a modo de despedidad, cifrar los datos y pedir un rescate económico. Igual que en empresas, organismos gubernamentales e infraestructuras críticas», avisa el jefe de investigación de ESET.