La mala gestión de credenciales una de las principales fuentes de problemas en la ciberseguridad de las organizaciones de educación superior. El informe CrowdStrike 2025 Global Threat Report señala que, en 2024, el 52% de los ciberataques involucraron un robo de credenciales. De hecho, en tres de cada cuatro de dichos ataques, los hackers ni siquiera necesitaron malware. Les bastó con usar ingeniería social —con el phishing potenciado por inteligencia artificial (IA) a la cabeza— para hacerse de las identidades necesarias.
Ahora bien, es común que las universidades recurran a soluciones IAM (Identity and Access Management) para la gestión de credenciales. Sin embargo, suelen verse derrotadas por políticas de seguridad deficientes. A ello se suma que no es raro que se mantengan activas cuentas innecesarias con permisos excesivos.
Dado que no es posible evitar por completo los engaños de la ingeniería social —o los descuidos de los usuarios—, la mejor solución es implementar una estricta gestión de credenciales. Esto pasa por fortalecer la gobernanza de datos en la universidad.
Esto se vuelve urgente porque en muchas instituciones están activas, en un momento dado, miles de cuentas. Pueden pertenecer a estudiantes, profesores, personal, exalumnos y hasta meros candidatos a ingresar a la institución. Algunas permanecen activas durante años, otras son efímeras.
En todo caso, el flujo de cuentas es incesante. Y como todas deben tener determinados accesos, es imperativo gobernarlas adecuadamente con una sólida gestión de credenciales.
Por supuesto, no todas las cuentas son creadas iguales. Mientras más privilegios tengan, mayor es el peligro en caso de que se vean comprometidas. Por ello, es necesario establecer perfiles básicos con privilegios mínimos a los que deberá sujetarse cada cuenta nueva. Eso debe incluir un parámetro que limite su vigencia para atajar la posibilidad de que permanezcan activas las cuentas abandonadas.
El valor de la gestión de credenciales
Una buena manera de comenzar a poner orden en la gestión de credenciales pasa por localizar todas las cuentas que tienen acceso a la administración de los recursos de TIC. Se debe identificar quiénes son los usuarios y los privilegios que tienen.
El resto de las cuentas deben catalogarse en grupos de usuarios (alumnos, profesores y empleados, por ejemplo) y asignarles un perfil con privilegios mínimos. Por supuesto, una tarea así implica la creación de roles bien definidos y asignarles permisos de manera conservadora.
Evidentemente, cada usuario puede requerir accesos muy específicos; sin embargo, para obtenerlos debe gestionarlos con los responsables de llevar el control adecuado para no perderles la pista. Dado que es imposible que una sola persona conozca al detalle todos los roles posibles, deben establecerse criterios muy claros para usarlos como guía.
Lograrlo demanda la colaboración de todos los departamentos de la universidad, es complicado y consume mucho tiempo. Sin embargo, al final el equipo de TIC podrá contar con una lista completa de reglas para regular los permisos adicionales, ya sean temporales o permanentes.
Aunque el otorgamiento de permisos extra puede automatizarse, no conviene dejar de lado la supervisión humana. De hecho, deben realizarse inspecciones regulares para asegurar que las reglas se apliquen correctamente.
Ahora bien, lograr una buena gestión de credenciales suele ser agobiante cuando se trata de cuentas ya existentes. Incluso puede ser necesario que la universidad deba contratar servicios externos, pues el personal de TIC simplemente no se daría abasto para la tarea. Sin embargo, el costo de hacerlo suele ser mucho menor que el de sufrir un ciberataque que puede resultar devastador.
