DYLE Nº 11
Ciberataques y protección de datos: Nuevos retos para los centros educativos
Ignacio Borregán Naya
Estudiante de Grado en Informática (UDC)
Nuria Santos Vázquez
Estudiante de Doble Grado en Derecho y Dirección de Empresas (UDC)
RESUMEN: El creciente empleo de la tecnología en el ámbito educativo se ha visto acompañado de un aumento de los ciberataques. Cada vez se hace más necesario, por tanto, conocer los tipos de ataques a los que se pueden enfrentar los centros educativos, como el phishing o los DDoS, la manera de hacerles frente y cómo proteger los datos del alumnado.
PALABRAS CLAVE: ciberseguridad, educación, protección de datos, prevención
Como consecuencia de la pandemia, el uso de herramientas tecnológicas dentro del ámbito educativo ha cobrado un mayor auge, para facilitar, entre otras funciones, una comunicación técnicamente más fluida entre el alumnado y el profesorado. Sin embargo, es fundamental tener en cuenta los potenciales problemas que las nuevas tecnologías plantean a los centros educativos y saber cómo evitarlos. Analizamos, a continuación, algunos de los puntos más importantes relacionados con la seguridad en el marco de los centros educativos.
Phishing
El phishing es una de las técnicas más comúnmente utilizadas por ciberdelincuentes. En la mayor parte de los casos, el vector de este ataque es el correo electrónico. Su objetivo es manipular al usuario suplantando a una entidad legítima. La efectividad de este ataque se debe a la perspicacia a la hora de elaborar mensajes, la calidad de los métodos utilizados para falsear la identidad, y la ingenuidad y falta de experiencia de las personas afectadas.
En la figura 1 se puede observar un correo de este tipo.
Precauciones ante este tipo de ataques
- Sospechar de mensajes alarmistas que urgen a tomar acción de manera inminente o en un corto espacio de tiempo.
- Revisar si en el texto existen errores gramaticales. Por lo general, un servicio de correo de cierta calidad no debería cometerlos.
- Si se solicitan datos bancarios y datos personales, lo más probable es que se trate de un fraude.
- Analizar con cautela los correos que contienen enlaces y comprobar si estos se corresponden con la dirección del servicio legítimo. Los ciberdelincuentes pueden copiar el aspecto de la página web original, pero no su dirección. La figura 2 muestra que fue posible copiar fielmente la apariencia de la página de login de dyle.es; sin embargo, la URL solo se puede registrar de una manera similar, no con exactitud.
DDoS
Los servicios utilizados en el entorno educativo son otro factor que se debe tener en cuenta a la hora de hablar de seguridad. Tras el fuerte incremento de actividades realizadas online debido al confinamiento del año pasado, la estabilidad y correcto funcionamiento de las herramientas de trabajo remoto era indispensable. Los ataques de denegación de servicio (DoS y DDoS) tienen como objetivo degradar la calidad de un servicio y dejarlo en un estado no funcional. Según la empresa de seguridad Kaspersky, para cada mes desde enero a julio de 2020, en comparación con el mes correspondiente de 2019, se produjo un incremento del 350% de los ataques DDoS contra los recursos educativos.
Medidas preventivas ante DoS y DDoS
Ante este tipo de ataques, resulta de suma importancia implementar medidas preventivas para minimizar las consecuencias. Entre ellas se encuentran:
- Implementar un sistema de detección y prevención de intrusiones para monitorizar las conexiones y alertarnos y/o tomar acción si se detectan anomalías.
- Situar el servidor web en cuestión en una zona desmilitarizada (DMZ) evitando que un atacante pueda acceder a la red interna si el servidor web se ve comprometido.
- Contar con el mayor ancho de banda posible para gestionar de una forma óptima los picos de tráfico producidos por este tipo de ataques.
- Tener redundancia, es decir mantener el servicio duplicado en más de un servidor. Si uno de ellos se ve sobrecargado, existe otro para asumir la carga de trabajo, por lo que se reducen las posibilidades de que el servicio se detenga.
- Mantener los sistemas actualizados, ya que algunos de estos ataques son efectivos por vulnerabilidades no solucionadas en versiones desactualizadas del software que se utiliza en ese servicio.
Para combatir estos tipos de ataques, el Código Penal recoge en sus artículos 248 y 264 las posibles penas para aquellas personas o grupos que lleven a cabo semejantes acciones, para así llegar, mediante este tipo de manipulaciones informáticas, al patrimonio de la víctima.
El principal problema al que nos enfrentamos en estos tipos de ataques, es encontrar a los/las responsables, con el problema añadido de que crece la dificultad de su rastreo por ocultarse al amparo de tecnologías muy modernas y sofisticadas. Si no se le puede imputar el delito, no habrá castigo. Los centros educativos deberían estar en condiciones de emplear las tecnologías adecuadas, para así reducir las posibilidades de ataque en el centro. En este sentido, el INCIBE (Instituto Nacional de Ciberseguridad) pone a disposición de los centros educativos un manual sobre los posibles riesgos y cómo hacerles frente.
Reuniones telemáticas y protección de datos
La videoconferencia es otro servicio cuyo correcto funcionamiento y seguridad se ha revelado imprescindible en el ámbito educativo. Cuando se hace uso de este método de comunicación, ya sea para impartir una clase o celebrar una reunión, hay que tener en cuenta ciertos factores.
Figura 1.
Figura 2.
- Los permisos de los que disponen los asistentes a la reunión. Es importante que permisos como grabación, gestión de usuarios o finalización de la llamada para todos, estén disponibles solo para aquel que creó la reunión.
- Control de usuarios. Otro punto a tener en cuenta es quién tiene permiso para unirse a la videoconferencia. Personas externas no deberían de poder acceder a menos que reciban una invitación por parte del organizador.
Los centros educativos siempre deben tener presente la protección de datos de su alumnado, especialmente los menores de edad. Son aquellos los encargados de la gestión de los datos cedidos por sus alumnos, y su correcto uso dentro del ámbito educativo. Además, tienen la obligación de confidencialidad de estos datos, incluso cuando la relación entre centro y alumno ya hubiese terminado (art. 5, Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales).
La obtención de datos por parte del centro debe hacerse contando con el consentimiento del alumno o de sus padres o representantes legales en el caso de tratarse de un menor de 14 años. Este consentimiento no será necesario en los casos de datos estrictamente necesarios para la realización de la actividad docente.
Con respecto a la protección de la imagen del alumnado, para el empleo de grabaciones o imágenes destinadas al ámbito educativo y realizadas por el centro no será necesario contar con el consentimiento del alumno o de sus padres o tutores. Ahora bien, si se llega a dar el caso de que estos datos se usen con una finalidad no educativa, los afectados están legitimados a reclamar sus derechos mediante la representación de sus padres o tutores, o de ellos mismos si son mayores de edad y así lo eligen.
Visto todo lo anterior, parece evidente la extrema importancia que representa para los centros educativos el poner los medios necesarios para la prevención de este tipo de ataques y evitar los graves problemas que conllevan, de forma que su actividad docente no se vea afectada, manteniendo siempre protegidos los datos de sus alumnos y trabajadores. Una adecuada formación en ciberseguridad representa, por tanto, uno de los pilares fundamentales y el punto de partida para ganar la batalla a la nueva delincuencia tecnológica
Referencias
Agencia Española para la Protección de Datos (AEPD) (2020). Guía para centros educativos. https://www.tudecideseninternet.es/aepd/images/guias/GuiaCentros/GuiaCentrosEducativos.pdf
Instituto Nacional de Ciberseguridad (INCIBE) (2020). SECtoriza2, Educación. Ciberseguridad para tu sector. https://www.incibe.es/sites/default/files/contenidos/SECtoriza2/educacion.pdf
https://latam.kaspersky.com/about/press-releases/2020_ataques-d-do-s-contra-recursos-educativos-aumentaron-mas-de-350-durante-el-primer-semestre
https://www.incibe.es/aprendeciberseguridad