Los ciberataques contra universidades aumentaron el año pasado. De acuerdo con un análisis de la firma de ciberseguridad Malwarebytes, 2023 fue “el peor año registrado” para el sector educativo en lo que se refiere a ransomware. ¿Cómo combatir esa amenaza? Hay diversas acciones a emprender. Una de ellas, por supuesto, consiste en adoptar la estrategia Zero Trust o confianza cero en la educación superior.

Cifras de la compañía arrojan que los ataques aumentaron 70% con relación a 2022; sólo contabilizan los incidentes en los que no se pagó un rescate, así que el número real de ataques fue mayor. Sin embargo, la adopción de la confianza cero en la educación superior ha sido lenta en comparación con otras industrias.

Ahora bien, ¿qué es la confianza cero en la educación superior? Simplemente, es un modelo de seguridad en el que los accesos a las redes y los recursos de la universidad se monitorean continuamente. De hecho, se trata de una manera de enfrentar las amenazas, no de un estado estático final que deban alcanzar.

Así, al aplicar la confianza cero en la educación superior, todos los accesos a los recursos de TIC deben ser verificados y aprobados. Lo mismo vale tanto para las solicitudes internas como para las externas. Esto es, todos los usuarios —profesores, estudiantes y personal administrativo— deben ser examinados cuando intenten acceder a las redes universitarias.

De acuerdo con la estadounidense Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), la confianza cero debe abarcar cinco pilares: identidad, dispositivos, redes, aplicaciones y cargas de trabajo, y datos. Empero, los ecosistemas de TIC en la educación superior son sumamente complejos.

Incomprensión de la confianza cero en la educación superior

Con frecuencia, los recursos universitarios de TIC son anticuados y están descentralizados y aislados en silos. Por ende, no es raro que se complique la adopción de la confianza cero en la educación superior. Sencillamente, no todas las instituciones tienen la capacidad necesaria para implementar las medidas necesarias en todo el campus.

Por ejemplo, el reporte 2024 CDW Cybersecurity Report, que se incluyó entrevistas a profesionales de TIC en el sector educativo estadounidense reveló que existen múltiples obstáculos para la Zero Trust.

Las principales trabas que reveló la encuesta consisten en la integración de herramientas heredadas (49%); la ausencia de una estrategia eficaz de ciberseguridad (45%), y la reticencia de los altos directivos ante la tecnología necesaria (44%). También señalaron que muchos usuarios se resisten a cumplir con los procedimientos requeridos (38%). Además, indicaron falta de comprensión de las herramientas necesarias para implantar la confianza cero en la educación superior (29%).

De acuerdo con los autores del reporte, el factor más preocupante es la falta de comprensión de las herramientas para la Zero Trust. Esto es porque se trata sobre todo de gerentes y directores de TIC que aún no entienden bien a bien lo que significa dicho modelo de ciberseguridad.

Sin embargo, pese a la incomprensión expresada, muchos de los encuestados dijeron confiar en elementos básicos para la Zero Trust para la ciberseguridad universitaria. Destacaron, sobre todo, la autenticación de múltiples factores (83%) y la gestión de identidades y accesos (IAM), con un 78% de menciones.

Puede ser, entonces, que para agilizar la adopción de la confianza cero en la educación superior los directivos deben comprender que, en realidad, se trata de un concepto bien establecido aunque ahora parezca un término de moda.