Ciberseguridad en universidades: Tarea incompleta.

Antes de mediados de 2018, ciberseguridad no era una prioridad en las agendas. Hubo iniciativas a nivel estatal, como la Política Nacional de Ciberseguridad, sin embargo, su recepción fue bastante tibia y tampoco había una mayor preocupación en el mundo privado. Tuvieron que ocurrir 2 eventos, la filtración masiva de tarjetas de crédito de varios bancos y el robo de 10 millones de dólares vía SWIFT al Banco de Chile para que la ciberseguridad finalmente fuera una prioridad para las organizaciones.

Sin embargo, las universidades no han respondido en forma adecuada ante el desafío. Es cierto, la oferta de cursos, diplomados y magisteres de las casas de estudio ha aumentado, sobre todo desde la ocurrencia de los mencionados eventos, sin embargo, éstas iniciativas son más bien ex-post. Poca es la preocupación por la impartición de conocimientos de ciberseguridad a nivel de pregrado. Muy pocas casas de estudios tienen cursos de ciberseguridad para sus estudiantes de ingeniería en computación o informática (y ni siquiera hablemos de obligatoriedad). Los académicos dedicados al área en Chile son muy escasos y generalmente se recurre a profesionales certificados para la docencia en el área.

Ésto es importante, debido a que la oferta de profesionales de ciberseguridad es insuficiente, y la demanda ha aumentado a nivel mundial y nacional, principalmente debido a dos factores: La presión a nivel estatal y comunitario sobre las empresas e instituciones (mediante legislaciones como el GDPR europeo, y las futuras leyes de delito informático y protección de datos personales actualmente en proceso legislativo) y las exigencias entre organizaciones de tener niveles adecuados de seguridad antes de compartir su información para la generación de valor.

A ésta situación se añadió un nuevo factor: El 18-O puso (y sigue poniendo) a las universidades en una situación desafiante. Junto con la llegada del estallido social, comenzaron a ocurrir una serie de incidentes de seguridad: Ataques de negación de servicio (DoS) contra sistemas web de varias empresas e instituciones estatales, filtración de datos personales y operativos (como el caso del PacoLeaks contra Carabineros), y algunos casos de defacements en los cuales las páginas son modificadas para mostrar mensajes de protesta.

A partir de marzo, podemos esperar un recrudecimiento en los incidentes, en particular para las universidades, tanto en el plano físico (paros, tomas, movilizaciones), como en el plano virtual: Lo anterior hace presumir que, en particular, sistemas como los de registro de estudiantes nuevos y antiguos en diferentes programas de pregrado y posgrados, junto con los sistemas de gestión académica/docente (información de cursos, comunicaciones, notas) y sistemas de E-Learning/OCW/MooC podrían ser objetivos interesantes para agentes maliciosos tanto externos como internos. Los sistemas recién mencionados son principalmente basados en web, sin embargo, no se pueden descartar otros vectores de ataque, como agentes internos (estudiantes, académicos, docentes, personal administrativo), mala configuración de controles de acceso a sistemas, falta de protección física de activos de información universitarios o mal uso de recursos de información por parte de los estudiantes.

La recomendación en este punto para las universidades es establecer una cultura de ciberseguridad, basada en dos puntos importantes:

  • La inclusión de ramos de ciberseguridad en sus ramos de pregrado.
  • El establecimiento de una política interna y global de ciberseguridad, la cual se haga extensiva no sólamente a estudiantes, sino también a académicos, docentes y funcionarios, que sea liderada adecuadamente y basada en una gestión continua del riesgo tecnológico.

Nada de ésto garantiza seguridad 100%, sin embargo, ésto traerá consigo 3 grandes beneficios: Una menor tasa de éxitos en ciberataques a instituciones de educación superior, una sociedad más consciente y resistente ante ciberataques, y mejores políticas públicas de ciberseguridad.

Perfil del autor

Cristián Rojas
Cristián Rojas
Profesor universitario, consultor independiente, expositor y coach con más de 10 años de experiencia proveyendo servicios de ciberseguridad a empresas privadas e instituciones estatales. Investigador asociado en el CLCERT de la U. de Chile. Profesional certificado en ciclo de vida de desarrollo seguro (ISC)² CSSLP. Implementador Líder del estándar de gestión de seguridad de la información ISO27001:2013.