La seguridad de los servicios en línea de las universidades debe fortalecerse. Hoy, el uso intensivo de esta tecnología incrementa el riesgo que tienen las instituciones de educación superior de ser objeto de ciberataques durante la emergencia del COVID-19.

Por supuesto, un buen programa de entrenamiento en ciberseguridad es indispensable para proteger a las instituciones de las amenazas. También existen buenas prácticas que ayudan a defenderse de los hackers. Es importante implementarlas para robustecer la seguridad de los servicios en línea en las universidades. Por supuesto, hay dificultades, como el costo y el tiempo necesario para ponerlas en práctica. La resistencia de la comunidad universitaria —tanto profesores como empleados y alumnos— también puede representar un obstáculo importante. Sin embargo, si se considera el potencial daño que un ciberataque puede causar a cualquier universidad, los beneficios logrados compensan el esfuerzo y la inversión.

Correo electrónico, el eslabón débil

●Actualizaciones automáticas: Las actualizaciones de software constituyen la base de un sistema seguro. Automatizarlas es la manera más práctica y fiable de mantener la seguridad. Cualquier dispositivo terminal conectado a los servicios en línea de la universidad debe tener activadas las actualizaciones automáticas tanto del sistema operativo como de todos los programas instalados en el equipo. Ello reduce el riesgo de que alguna debilidad del software pueda ser aprovechada por los cibercriminales.

●Protección antivirus y antimalware: De la mano con el punto anterior, se cuenta el instalar y mantener programas de protección. Existen numerosas opciones, algunas gratuitas, otras con coste y aun otras integradas en el sistema operativo, como Windows Defender.

●Seguridad para el correo electrónico: Al configurar el gestor de correo electrónico de la universidad conviene habilitar todas las funciones de seguridad. Entre las más importantes a tomar en cuenta se encuentra el escaneo automatizado de los archivos adjuntos para detectar virus y otros tipos de malware. También es buena idea habilitar el análisis de las ligas a sitios externos, para bloquear aquellas que conducen a sitios potencialmente peligrosos.

Por supuesto, se deben activar los filtros tanto para bloquear los mensajes de spam y de suplantación de identidad como las servicios de lista negra para bloquear mensajes provenientes de dominios maliciosos. Igualmente, conviene brindar la opción de cifrar los mensajes que contengan información delicada. De igual manera es necesario configurar los registros SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) y DMARC (Domain-based Message Authentication, Reporting and Conformance), que contribuyen a asegurar la legitimidad de los correos electrónicos.

MFA incrementa la seguridad en línea de las universidades

●Protegerse del phising: Si bien existen herramientas automatizadas para enfrentar esta amenaza, el entrenamiento de los usuarios es lo mejor. Se debe enfatizar entre los miembros de la comunidad escolar la importancia de su contribución a la seguridad de los servicios en línea en las universidades al usar el correo electrónico. Es necesario que los usuarios sepan cómo identificar posibles mensajes fraudulentos y la mejor manera de proceder ante ellos. Las campañas de phishing simulado permiten a los equipos de TIC evaluar la efectividad del adiestramiento.

●Prevención ante el ransomware: Esta es una amenaza creciente a la seguridad de los servicios en línea en las universidades. Sus consecuencias pueden ser muy costosas para cualquier institución. Si bien no es posible evitarla al 100%, se pueden tomar medidas para abatir el riesgo. Entre ellas, la más importante es la elaboración regular de respaldos y su resguardo adecuado.

●Verificación de varios pasos: También conocida como Multi-factor authentication (MFA), consiste en la combinación de dos o más elementos (factores) para comprobar la identidad de un usuario en particular antes de permitirle el acceso a algún servicio o sistema. Los factores caen en tres categorías: algo que el usuario tiene (por ejemplo, una tarjeta de acceso o un token), algo que el usuario sabe (una contraseña o PIN) y algo que el usuario es (las características biométricas, como las huellas digitales).

Implementar este tipo de herramientas suele ser más barato y rápido para los servicios en nube. Entre los aspectos que pueden ralentizar su despliegue se cuenta la resistencia de los usuarios, que suelen ver la medida como algo fastidioso. Sin embargo, es necesario concientizarlos del impacto benéfico de estas herramientas para la seguridad de los servicios en línea de las universidades.