El modelo Bring Your Own Device (BYOD) implica un constante reto a la ciberseguridad en la educación superior. El origen se remonta a finales de la década de 2000, cuando se popularizaron los smartphones. De pronto, en los campus hubo miles de dispositivos cuya supervisión resultaba, simplemente, imposible. La posibilidad de que fueran un vector para la llegada de malware al ecosistema TIC de las universidades se volvió ominosamente real. Por ello, se hizo imperativo encontrar la manera de fortalecer la ciberseguridad en el modelo BYOD.
Ahora bien, los riesgos de ciberseguridad en el modelo BYOD van mucho más allá de los primeros teléfonos, que básicamente accedían a los sistemas de correo electrónico del campus. Rebasan holgadamente el uso de dispositivos como computadoras de escritorio, redes WiFi abiertas y unidades USB. A ellos se suman hoy los dispositivos de la Internet de las Cosas (IoT); diversos dispositivos móviles personales (como laptops, tabletas y wearables), y los servicios basados en la nube.
Por otra parte, la cada vez más ubicua inteligencia artificial (IA) también contribuye a estresar la ciberseguridad en el modelo BYOD. Además en el futuro habrá más peligros potenciales, como la aún incipiente computación cuántica.
Las dificultades para garantizar la ciberseguridad en el modelo BYOD parecen el cuento de nunca acabar. Sobre todo porque no es factible asegurar que todos los dispositivos que se conectan a las redes universitarias sean benignos. Por ende, la posibilidad de que se inicie un ciberataque desde alguno de ellos es siempre muy alta.
Educación y ciberseguridad en el modelo BYOD
De acuerdo con reportes especializados como el 2024 Educause Horizon Report Cybersecurity and Privacy Edition, la mejor manera de fortalecer la ciberseguridad en el modelo BYOD consiste en dejar de lado los intentos de lograr un control granular de los dispositivos que se conectan a las redes universitarias. Simplemente, no es realizable. En cambio, se deben utilizar herramientas y estrategias orientadas a la protección de los datos.
Por supuesto, esto no significa abandonar las medidas de ciberseguridad tradicionales. Aun cuando por sí mismas no serán suficientes, permiten tener una visibilidad razonable sobre las actividades de los dispositivos conectados. En cambio, deben complementarse con prácticas de confianza cero, herramientas de prevención de pérdida de datos y una buena gestión de identidades y accesos. Evidentemente, el uso de la IA puede potenciar dichas políticas.
Otra medida que sugiere el reporte consiste en segmentar las redes. Por ejemplo, los sistemas críticos pueden interconectarse mediante una red de acceso restringido, no disponible para los usuarios en general. Así, es posible crear entornos donde es más fácil reforzar la ciberseguridad.
Si bien es deseable que los usuarios tengan acceso sin tropiezos a los recursos que necesiten del ecosistema TIC de la universidad, no es posible que lo hagan sin medidas de seguridad. Por ello, huelga decir que una estrategia muy eficiente para robustecer la ciberseguridad en el modelo BYOD pasa por educar a los usuarios. Y esto implica a todos los miembros de la comunidad universitaria: estudiantes, profesores y trabajadores administrativos y de apoyo por igual.
