Los ataques cibernéticos contra las instituciones educativas se incrementaron desde el año pasado, durante el confinamiento por la pandemia, y no han cesado de ocurrir. En este entorno, aplicar el modelo Zero Trust en las universidades puede ser muy útil para mantener la ciberseguridad.
Los criminales pueden recurrir a estratagemas como espiar el tráfico en las redes escolares mediante eavesdropping para robar datos importantes, como credenciales de acceso o información personal. También pueden enviar correos electrónicos con phishing o emplear técnicas de ingeniería social para engañar a los usuarios más incautos y obtener su información. En muchos casos, el objetivo es montar un ataque de ransomware contra la institución, el cual puede resultar muy costoso, ya sea que se recuperen o no los recursos secuestrados.
(foto: cortesía Bedu).
En el mundo actual, mucho de la vida ya está digitalizado. En el ámbito universitario, se comparten tareas por la Internet, se comparten temarios, las calificaciones están disponibles a través de sistemas. Hace falta una mejor formación en ciberseguridad. Por ello, utilizar el modelo Zero Trust en las universidades puede ser muy útil.
—Muchas personas tienen la idea de que la ciberseguridad es algo que hacen consultores externos para las universidades, se implementa de una vez y a partir de ahí la institución es segura para siempre. Eso es una falsa concepción —explica Antonio Galindo, vicepresidente de ingeniería de Bedu, una plataforma online dedicada a la educación especializada en habilidades digitales emergentes. Lo mismo ofrece programas con aliados de negocios que cursos gratuitos. Se dirigen a especialistas y público en general.
Dificultades para usar Zero Trust en las universidades
El concepto Zero Trust (“confianza cero”) fue acuñado en 2010 por la firma de consultoría e investigación de mercados Forrester. Postula que las organizaciones nunca deben confiar a priori en ningún usuario o dispositivo, interno o externo, que busque acceder a los recursos informáticos. El modelo asume que puede haber atacantes tanto dentro de la red corporativa como fuera de ella.
Un entorno Zero Trust busca tener control y conocimiento en todo momento de los dispositivos y las personas que se conectan a las redes. —El propósito es que sólo puedan acceder a los recursos digitales (archivos, bases de datos, sistemas) sólo aquellos usuarios autorizados que utilicen dispositivos específicamente autorizados, lo hagan en los horarios previamente determinados y sólo desde las ubicaciones permitidas —señala Galindo.
Ahora bien, implementar el modelo Zero Trust en las universidades no es fácil. Lo dificulta mucho que no siempre se puede tener la certeza de dónde estarán los alumnos y en qué momento ingresarán a las plataformas. —Es posible, pero no es trivial la manera de lograrlo, porque tiene que haber mucha disposición por parte de los usuarios para registrar los dispositivos que usan —abunda Galindo—. Es probable que un alumno utilice diversos dispositivos en distintos momentos de su historia académica. Los más disciplinados darán aviso a las áreas de sistemas cada vez que cambien de dispositivo, para dar de baja los obsoletos y dar de alta los nuevos. Pero no todos lo harán, lo cual obliga a un monitoreo muy extenso. En el caso del personal es más factible el control.
Mejora continua para la ciberseguridad
Por otra parte, en el entorno educativo es muy difícil identificar con certeza todas las conexiones utilizadas por los alumnos para acceder a las redes universitarias fuera del campus. Por ello, implementar Zero Trust en las universidades se segrega lo que se quiere proteger y se determinan capas y controles de seguridad: —Es decir, hay que determinar con claridad cuáles usuarios son conocidos para la institución, ya sea que se trate de alumnos, profesores o trabajadores administrativos. A ellos se les monitorea de una forma —puntualiza Galindo—. Los usuarios cuyas condiciones para conectarse son impredecibles deben ser controlados mediante el uso obligatorio de credenciales válidas, además de negarles el acceso a todo aquello que no sea indispensable para sus actividades específicas.
Mantener el modelo Zero Trust en las universidades demanda un proceso de mejora continua ligado al ejercicio de las mejores prácticas para garantizar y controlar los accesos desde dispositivos, redes, momentos y regiones conocidas.
—Para las instituciones educativas es muy importante la capacitación de administrativos, profesores, pero sobre todo a los alumnos. Sería muy provechoso que en los procesos de bienvenida se les explicara con detalle cuáles son los riesgos de utilizar redes públicas abiertas y por qué no suele ser buena idea ingresar a ellas ningún tipo de credenciales—dice Galindo—. También enseñarles a distinguir las conexiones confiables. Por otro lado, sensibilizarlos también de la importancia de tener control sobre los dispositivos utilizados para conectarse a los sistemas de la escuela. Así, en caso de que presentarse un problema de robo de credenciales, es más factible impedir que los delincuentes tengan acceso a los recursos de la institución. Si bien hay escuelas que ya lo hacen, aún falta mucho por avanzar para fortalecer la ciberseguridad universitaria.
