Los ciberataques por correo electrónico presentan un desafío a las universidades durante la emergencia planteada por el COVID-19. Si el correo electrónico suele ser una vía de entrada a los riesgos cibernéticos, estos se han incrementado en tiempos en que todas las actividades académicas tienen lugar en línea.
Los hackers recurren con frecuencia al engaño para obtener ventajas. Una manera de hacerlo consiste presentar solicitudes de matriculación en universidades. Éstas suelen otorgar a los aspirantes cuentas de correos electrónicos con la terminación .edu para su uso durante el proceso de admisión. Dichas cuentas pueden ser utilizadas para recibir descuentos importantes en productos y servicios adquiridos en línea. Su valor en el mercado negro ronda los cinco dólares. Una manera sencilla de evitar que las adquieran criminales es no proporcionar la cuenta sino a los estudiantes ya inscritos.
Otra manera de orquestar ciberataques mediante el correo electrónico es el llamado business email compromise (BEC), que puede traducirse como vulneración del correo institucional.
Este tipo de ataque es una variedad de phishing muy sofisticado en la que los hackers buscan engañar a un cliente para que efectúe pagos en cuentas pertenecientes a los criminales. Dicha amenaza ya venía en aumento desde el año pasado y en los últimos meses se ha vuelto aún más relevante.
Los hackers buscan interceptar las comunicaciones por correo electrónico entre las universidades y sus proveedores. Una vez que analizan la información, intentan suplantar la identidad del personal de las empresas proveedoras para estafar a las instituciones de educación.
Identidad suplantada
El mecanismo es simple. Los criminales suelen recurrir a artimañas tan sencillas como enviar a los departamentos de finanzas de las universidades mensajes de correo indicándoles que la comunicación debe continuar a través de nuevas direcciones de correo electrónico. El objetivo es fomentar una relación de confianza con la presunta víctima, hasta el punto de timarla para que transfiera dinero a cuentas equivocadas pensando que está haciendo un pago legítimo.
Otra variante de este tipo de ciberataques por correo electrónico consiste en que algún miembro del departamento de finanzas de la universidad recibe un mensaje que aparenta provenir del buzón de alguno alto directivo. El correo suele contener instrucciones para transferir fondos (o en algunos casos, información delicada) a determinada cuenta o dirección electrónica.
Aunque resulta difícil de creer, la simplicidad del engaño es lo que ha permitido que sea altamente efectivo, hasta convertirse en una de las formas de ciberfraude que más ha proliferado en los meses recientes. Y parte del éxito se debe a la facilidad que encuentran los criminales para explotar el que suele ser uno de los eslabones más débiles de las instituciones al momento de ser blanco de ciberataques: el correo electrónico. Y esto se debe a que muchos usuarios tienden a desestimar las medidas de seguridad.
Disminuir los ciberataques por correo electrónico
Por supuesto, impartir un adecuado entrenamiento de ciberseguridad a los miembros de la comunidad universitaria es esencial para salvaguardar los recursos de las instituciones de educación superior. Además, los responsables de TIC pueden tomar otras medidas para atemperar los riesgos. Una de las más eficientes es implementar la verificación de varios pasos (multifactor authentication o MFA) para acceder a los servicios de correo electrónico.
Esta herramienta, al requerir otros elementos de comprobación además de una contraseña (un token o una huella digital, por ejemplo), dificulta la suplantación de identidad que está en la base de muchas de los ciberataques implementados por correo electrónico.
Si bien esta medida suele enfrentar cierta resistencia de los usuarios, su eficacia compensa el esfuerzo requerido para desplegarla y convencer a los miembros de la comunidad universitaria de los beneficios de adoptarla en aras de fortalecer la ciberseguridad de los campi.