Los programas informáticos ‘legacy’ de las universidades, en el objetivo de los ciberdelincuentes

Las universidades se han perfilado como los centros educativos más propensos a recibir ataques cibernéticos en el transcurso del último año. Esto se debe a que a menudo no están bien protegidas debido al uso de sistemas informáticos antiguos y a causa de una falta de recursos humanos y financieros. En los últimos tiempos, las instituciones educativas han trabajado con ahínco para adaptarse a las nuevas oportunidades tecnológicas apostando por la hiperconectividad o la implementación de modelos de inteligencia artificial dentro y fuera de las aulas. Este avance, sin embargo, también ha traído consigo ciertos riesgos y desafíos asociados.

Hoy en día, estas instituciones utilizan numerosos equipos y ordenadores para realizar múltiples tareas. Asimismo, disponen de complejas redes para llevar a cabo un gran volumen gestiones. En este sentido, según ha avanzado la firma de ciberseguridad Tehtris, los sistemas de información de los centros educativos son "abiertos, complejos y heterogéneos"; además, albergan una gran cantidad de información sensible, entre la que se incluyen los datos del personal docente, de los alumnos matriculados y antiguos, además del personal administrativo. Entre los datos más críticos se encuentran las direcciones de los domicilios, los datos bancarios, las declaraciones de la renta o la concesión de becas.

Precisamente por este motivo las universidades se han convertido en uno de los objetivos de “más alto valor” para los grupos cibercriminales. De hecho, según el estudio Cyber security breaches survey 2023: education institutions impulsado por el Gobierno de Reino Unido, el 85% de las universidades encuestadas ha identificado ataques maliciosos en los últimos doce meses, convirtiéndose así en los centros educativos más afectados por estas infracciones. Por otro lado, destacar que el 82% de los centros de educación superior también han identificado algún tipo de ciberataque durante el mismo periodo. En lo relativo a las escuelas de enseñanza secundaria y primaria, la cifra cae hasta el 63% y 41% respectivamente.

Sistemas ‘legacy’ y falta de recursos

En este contexto, los expertos de ciberseguridad de la firma han señalado que los principales riesgos a los que se enfrentan estos centros educativos son el phishing, las suplantaciones de identidad, los malware que introducen virus en los sistemas o los ataques de denegación de servicios (DDoS). Asimismo, los expertos también han puntualizado algunos de los sectores de las universidades que más riesgo representan a la hora de sufrir ciberataques. Así, tal y como ha asegurado Pedro Morcillo, country manager de Tehtris para España, las universidades a menudo “están mal protegidas” ya que disponen de sistemas que contienen “vulnerabilidades ya conocidas por los actores maliciosos locales”. Esto implica que conocen las vías de entrada para acceder a datos personales pudiendo, incluso, modificarlos.

Siguiendo esta misma línea, Morcillo ha defendido que otro de los principales problemas a los que se enfrentan estos centros tiene que ver con la falta de recursos humanos y financieros a la hora de proteger sus infraestructuras. Precisamente esto, dice, los convierte en “objetivos privilegiados de los actores maliciosos”. Para blindar la red, es necesario que las universidades sean conscientes de los riesgos que suponen este tipo de incidentes y elaboren una estrategia de seguridad digital con la que proteger sus activos más valiosos.