Las universidades son un blanco siempre apetecible para los piratas informáticos, dada la cantidad y el tipo de datos que reciben, generan y gestionan. Por ello es necesario que implementen la mejor ciberseguridad posible; para ello se requiere encontrar las vulnerabilidades en las redes y corregirlas antes de que las hallen los ciberdelincuentes. Entre las estrategias más efectivas para lograrlo se encuentran las pruebas de penetración, también conocidas como ethical hacking o hackeo ético.

El ethical hacking consiste en montar ataques consentidos contra sistemas, redes y aplicaciones para encontrar vulnerabilidades y discernir cómo explotarlas. Pueden ejecutarlos el propio personal de la universidad o bien, es posible recurrir a empresas especializadas para ello.

Una de las vertientes más importantes del ethical hacking es su utilidad para atajar los ataques de ransomware, que se cuentan entre los más perniciosos para las universidades.

El estudio The State of Ransomware in Education 2024, comisionado por la firma de ciberseguridad Sophos, arrojó que este año disminuyó el número de ataques de ransomware, pero los costos de recuperación se han más que duplicado.

Ataques exitosos

Su análisis parte de los resultados de una encuesta independiente realizada entre profesionales de ciberseguridad en 14 países de América, Europa, África, Medio Oriente y Asia Pacífico. De los 5,000 encuestados, 300 trabajan en instituciones de educación superior, con entre 100 y 5,000 empleados. Levantada por Vanson Bourne entre enero y febrero de 2024, recoge las experiencias de los participantes durante el año anterior.

En las universidades de los encuestados hubo una disminución en el número de ataques de ransomware con respecto a 2023 (del 79% al 66%). Sin embargo, esa tasa de ataque permanece por encima de la media general en todas las industrias (59%). Gran parte de dichos ataques aprovecharon vulnerabilidades que podrían haber sido remediadas si se les hubieran detectado en un ejercicio de ethical hacking.

Además, los ataques son más agresivos. De hecho, 95% de las instituciones afectadas el año pasado reportaron que los hackers intentaron encriptar sus copias de seguridad. En 71% de los casos los delincuentes tuvieron éxito, un porcentaje sólo superado en los sectores energético y de servicios públicos.

Ecosistema en riesgo

Dado el nivel de amenaza que aún representa el ransomware, el ethical hacking cobra mayor relevancia para proteger los ecosistemas TIC de las universidades. Ahora bien, éstos suelen ser muy complejos y vastos. Los datos se transmiten por correo electrónico, suites de productividad (Microsoft 365, Google Workspace for Education), herramientas de colaboración (Zoom) y otros canales. Lo grave es que muchos usuarios no prestan atención a las recomendaciones de ciberseguridad y sin querer abren las puertas a los hackers.

El problema se agudizó con el aprendizaje remoto y mixto, pues se multiplicaron los vectores de ataque por donde puede colarse el ransomware. No sólo es que una ingente cantidad de dispositivos ubicados fuera de los campus accedan a las redes universitarias. El peligro aumenta porque no hay manera de controlar a qué otros sitios se conectaron antes, con lo que las posibilidades de que sean infectados se incrementan. Si las medidas de protección de la universidad fallan, su ecosistema TIC podría verse a su vez infectado.

Para los equipos de TIC de las universidades es una tarea monumental monitorear toda la actividad en las redes, aun con sistemas automatizados. Es por ello que los ejercicios de ethical hacking son valiosos para descubrir las vulnerabilidades y parcharlas antes de que sea tarde.

Alcances del ethical hacking

Los ejercicios de ethical hacking comienzan por un análisis pormenorizado en busca de vulnerabilidades conocidas. A continuación, se emplean métodos manuales o automatizados para explotarlas. Las pruebas de penetración sirven así para mostrar lo que podría suceder en caso de que no se atendieran las vulnerabilidades.

Para ser efectivas, las pruebas de penetración deben examinar no sólo los servidores, sistemas de almacenamiento y sistemas operativos de la universidad. Deben abarcar también sitios y aplicaciones web, aplicaciones móviles y los dispositivos de la Internet de las Cosas (IoT).

Por supuesto, el factor humano no puede descartarse. Por ello, también deben analizarse las rutinas y hábitos de los usuarios al interactuar con el ecosistema TIC. Así pueden detectarse debilidades comunes, como contraseñas débiles o de uso indebidamente repetido en más de un servicio.

Los análisis de ethical hacking permiten priorizar el grado de riesgo de cada vulnerabilidad y determinar cuáles se deben corregir primero. Eso, a su vez, propicia la optimización del uso de los recursos humanos y presupuestarios de la universidad. Además, al poner en relieve las prácticas inadecuadas de los usuarios, se pueden diseñar programas de entrenamiento más eficaces para concientizar a los usuarios en la importancia de la ciberseguridad en la vida universitaria.