La seguridad de datos en tiempos del COVID-19 se ha vuelto algo primordial. El confinamiento obligado ha llevado a que todas las clases sean en línea, pero no sólo eso. Todas las transacciones realizadas en la Internet han experimentado, por fuerza, un aumento significativo. Ello, a su vez, ha conducido a un aumento importante en la cantidad de ciberataques.
En México, durante marzo —inicio del confinamiento en muchos países— se detectó un incremento de varios cientos en el número de campañas de phishing. Además, la plataforma Threat Intelligence Insider Latin America, de Fortinet, identificó un incremento del 131% de ataques con virus tan sólo en marzo. Si se toma en cuenta todos los tipos de ataques —virus, malware, exploits y botnets—, en el primer trimestre de este año se perpetraron en México sufrió más de 2,100 millones de ciberataques, aunque no todos fueron exitosos.
Los hackers pueden recurrir a vectores como los correos electrónicos o los sitios maliciosos para infectar las computadoras. Uno de sus objetivos suele ser el robo de datos, como los que existen en las cuentas bancarias. También en Facebook, Amazon, Google, Apple y un sinnúmero de bases de datos en las que los usuarios se registran voluntariamente. Por lo tanto, para proteger a las personas es necesario regular el uso que esos datos reciben de instituciones privadas o públicas. Y las universidades no son la excepción.
Cuándo compartir la información
Hay datos específicos que deben tener las universidades para cumplir con sus funciones. Por ejemplo, el historial académico, la carrera cursada, el tiempo en que el alumno la ha cursado, calificaciones y horarios de estudios.
Por supuesto, para que esa información no se comparta sin consentimiento es fundamental que la universidad —el departamento de TIC en particular— tenga políticas de confidencialidad y protección con múltiples niveles de seguridad. En ellas debe estar claro quiénes tienen acceso a dicha información dentro de la institución y en cuáles escenarios resulta adecuado compartirla externamente. De hecho, resulta recomendable que, desde el inicio de la carrera, la escuela informe al estudiante que sus datos podrían ser compartidos con empresas con las que tiene una relación profesional.
Por ejemplo, muchas firmas de prestigio tienen acuerdos con colegios y universidades para la atracción de talento; por ello, es deseable que los datos sean compartidos por la institución a estas empresas, ya que podrían abrir la primera gran oportunidad de empleo para el recién egresado.
Seguridad de datos y COVID-19: recomendaciones
●Realizar una auditoría de los datos que se almacenan sobre los estudiantes.
●Minimizar los datos almacenados, conservar sólo los necesarios y durante el tiempo establecido por la ley.
●No se debe olvidar la obligación de cumplir con las disposiciones de protección especificadas en la Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP), promulgada en 2010.
●Las universidades con programas de intercambio con instituciones extranjeras deben considerar las implicaciones de las leyes de privacidad de otros países. Un ejemplo es la Ley General de Protección de Datos (GDPR) de la Unión Europea.
●Adicionalmente, el confinamiento implica nuevos riesgos para la seguridad de datos en tiempos del COVID-19. Los alumnos y profesores acceden a la red universitarias desde sus hogares, conectados a través de sus propios dispositivos. Por ello, es necesario procurar que estos cuenten con las plataformas y aplicaciones más actualizadas. El equipo de TIC de la institución deberá dar seguimiento continuo para proporcionar entrenamiento a sus usuarios y asegurarse de que actualicen sus sistemas de manera regular.
●En las instituciones educativas la rotación de usuarios es permanente y considerable. Por lo tanto, el personal de servicios escolares y el equipo de TIC tiene que estar en comunicación constante para tener al día las bases de datos de usuarios. Para contribuir a la seguridad de datos durante el confinamiento por el COVID-19, deben eliminar de sus registros las credenciales de los dispositivos de individuos que ya no formen parte del cuerpo estudiantil.