5 pasos para proteger una institución educativa de ciberataques
Argentina.- Si bien la era digital venía transformando a muchas escuelas hasta convertirse en
parte de sus rutinas, la pandemia aceleró este proceso. De una semana a otra, sin aviso previo, docentes y
alumnos pasaron de las aulas físicas a las aulas virtuales a través de plataformas de video online. Las
computadoras reemplazaron a los libros, la pantalla compartida reemplazó a las pizarras y las aplicaciones de
mensajería reemplazaron el patio de recreo. Para las escuelas que optaron por el camino online surgieron
nuevos desafíos relacionados con la privacidad, las filtraciones de datos y los ataques informáticos.
La educación en línea es una tendencia que llegó para quedarse, incluso después que las clases regresaron a los
edificios escolares. Desde ESET, compañía líder en detección proactiva de amenazas, advierten que cada
escuela está expuesta a riesgos, ya que cuentan con datos confidenciales, como nombres, direcciones y
detalles de pago de alumnos y de quienes trabajan. Por lo tanto, quienes tienen responsabilidad en la
administración de una escuela deberían gestionar la ciberseguridad de la misma.
Las amenazas vienen en diferentes formatos y pueden provenir de cualquier lugar:
-Cibercriminales: Los ciberdelincuentes y los ataques automatizados serán el escenario más común y la
principal amenaza. Los criminales pueden enviar correos electrónicos de phishing que parecen ser correos
legítimos, pero son trampas para intentar que algún miembro del personal de la escuela haga clic en un
enlace y, sin saberlo, les dé acceso a los sistemas de la escuela y a distintos tipos de datos personales. Con
esta información, los actores maliciosos pueden robar cuentas bancarias, cometer fraude o incluso vender
los datos. Otro riesgo son los ataques de ransomware, ya que a través de estos los cibercriminales suelen
robar datos de los sistemas de la escuela que pueden incluir información personal sensible de alumnos.
-Estudiantes: Los propios estudiantes pueden ser quienes intenten vulnerar los sistemas de la escuela. A
veces solo por diversión; otras veces para cambiar sus calificaciones o acceder a la información de otras
personas.
-Personal de la escuela: al igual que un estudiante, el personal de una institución educativa también puede
estar detrás de un ataque cibernético. Aunque este escenario es menos frecuente, puede ocurrir por un
deseo de causar daño, pánico o venganza.
Para ESET la ciberseguridad se puede desglosar en cinco pasos muy concisos que se deben seguir al
implementar una nueva estrategia:
1. Hacer un inventario de los equipos: ¿Con cuántas computadoras cuenta la escuela? ¿Están todas
funcionando correctamente? ¿Cuentan con una solución de seguridad instalada? ¿El sistema operativo
está actualizado a la última versión disponible? Enumerar todos los equipos uno por uno, incluidos los
detalles sobre dónde está instalada cada pieza de software, quién puede acceder a ella y si necesita una
inspección adicional.
2. Contar con un especialista de TI dedicado: para comprender si todos los dispositivos enumerados
funcionan correctamente o si necesitan actualizarse, según el tamaño de la escuela se necesitará o bien de
una persona encargada de TI o de un equipo de TI. Solo personal especializado puede evaluar
correctamente y mantener el equipamiento tecnológico. El personal de TI también será responsable de
configurar las credenciales de usuario con contraseñas seguras, implementar la autenticación en dos
pasos, y realizar seguimiento de quién tiene acceso a qué dispositivo. También serán responsables de
implementar una política de usuario fácil de comprender para todo el personal de la escuela y los
estudiantes.
3. Crear talleres de ciberseguridad para capacitar al personal de la escuela: Comenzar desde cero: suponer
que ninguno de los empleados tiene conocimientos sobre ciberseguridad e intentar desarrollarlos a través
de talleres dedicados. Invitar a expertos en el campo para que hagan presentaciones, solicitar el apoyo de
autoridades locales y explorar los recursos disponibles que hay en línea. Asegurarse de que, con el tiempo,
el personal comprenda la importancia de no compartir equipos, mantener la privacidad de las contraseñas,
de no publicar imágenes que permitan identificar información confidencial, y reconocer las características
básicas de los correos de phishing.
4. Crear un entorno que aliente al personal a denunciar posibles amenazas: Es importante transmitir a cada
uno de los miembros de la institución que nadie es infalible y que cualquiera puede ser víctima de una
estafa, ya que es importante que informen cualquier incidente para que la institución pueda tomar
medidas a tiempo para proteger tanto a la persona afectada como a la escuela. Los ciberdelincuentes
utilizan trucos sencillos de ingeniería social para engañar a las personas, por lo que todos son posibles
víctimas.
5. Hacer que temas como la ciberseguridad estén presente en el plan de estudios de la escuela: más que
solo proteger la escuela de una posible amenaza, los docentes deben tener conocimientos sobre seguridad
informática para garantizar que están capacitados para transmitir ese conocimiento a sus alumnos desde
una edad temprana. Incluso si tiene una clase sobre tecnologías de la información donde estos temas se
enseñan en profundidad, teniendo en cuenta que los estudiantes usan computadoras portátiles y
dispositivos móviles en la mayoría de las clases, es importante que esta formación esté presente para los
alumnos a lo largo de su camino escolar.