A menudo nos sobresaltan las noticias en prensa o televisión de hechos e historias que nos llegan a través de conocidos relativos a ciberataques, robo de datos, encriptación de archivos o servidores, etc. siempre centrados en grandes grupos financieros, empresas multinacionales e incluso administraciones públicas como ayuntamientos (el de Sevilla sufrió un grave ataque el pasado septiembre de 2023, tras el cual decidió ampliar de 0€ a 1.000.000€ la partida de seguridad informática). Con esta imagen de los medios que rodea a los ciberataques incurrimos en dos errores a la hora de concebir la ciberseguridad como son, primero, pensar que tras un ciberataque hay un ciberdelincuente; y, segundo, creer que solo son objetivo de los ciberdelincuentes las grandes corporaciones y empresas.
¿Son las entidades educativas un sector atractivo para los ciberdelincuentes? Sí, lo son. Todo colegio, fundación educativa o centro docente en general recopila y custodia una serie de datos codiciables per se en Internet, como pueden ser los números de cuenta de los padres (que unido a su DNI multiplica exponencialmente su valor de venta en la Dark Web), sin obviar los datos médicos (alergias, enfermedades, etc.) o de otra índole que por un motivo u otro también acaban recogiendo los centros docentes. Nos preguntamos a menudo qué valor pueden tener estos datos, qué puede hacerse con ellos, por qué son un objeto codiciable y por qué debemos implementar medidas especiales de protección para mantenerlos a salvo de terceros no legitimados y de ciberdelincuentes.
El público generalista obvia la concepción del valor que la información personal tiene hoy en Internet. De manera desagregada no sirve para nada que alguien sepa dónde vivo, en qué día nací o cuál es mi número de DNI (aunque todo ello unido puede ser suficiente para suplantar mi identidad y firmar un contrato fraudulento en mi nombre sin mi conocimiento). La información personal que vaga por Internet, lejos de individualizarnos nos categoriza, y este es el peligro. A medida que se multiplican los datos existentes en la web vinculados a nuestra persona pasamos a tener más “etiquetas” (rico, con antecedentes médicos, con múltiples vínculos familiares, con estudios universitarios, extranjero, deportista, etc.) que son realmente aquellas que quieren conocer las empresas, marcas, financieras, etc. Dado que en la mayoría de países su obtención está limitada o especialmente reglamentada (como en la UE) en muchas ocasiones a estas les resulta mucho más sencillo, económico y eficaz acudir al mercado negro de Internet para obtener esta información desagregada que posteriormente, y con la tecnología de última generación que atesoran, podrán procesar para obtener un rendimiento a esta “inversión”. Es sin duda una absoluta falta de ética, que toda corporación negará poner en práctica pero que existe y va a más allá por donde miremos.
Nuestros datos, por tanto, son un bien codiciable y obtenerlos, de manera lícita o ilícita, será una fuente de lucro. Por ello los ciberdelicuentes pondrán todos sus esfuerzos en perfeccionar su técnica para ser cada vez más eficaces. El segundo error que cometemos a la hora de pensar los ciberataques, como indicábamos más arriba, es concebir tras ellos a un lobo solitario encapuchado, que por la noche hace trastadas con su ordenador desde su habitación con poca luz. Lo cierto es que los que realmente perpetran los ataques informáticos son softwares o bots que “disparan” de manera indiscriminada a una serie de direcciones de e-mail, servidores, plataformas web, etc. en busca de una pequeña brecha o fallo de seguridad por el cual entrar en el sistema. Una vez dentro, el mismo bot irá, de manera automatizada, horadando cada vez más capas de seguridad hasta llegar al objeto codiciable, la información personal, que una vez obtenida extractará y venderá a un tercero, pudiendo incluso dejar “de regalo” una encriptación con petición de rescate. Aunque la extorsión no llegue a consumarse, por no pagar el perjudicado el rescate solicitado, el ataque ya ha sido un éxito, simplemente por haber recabado los datos custodiados que automáticamente son monetizados en la Dark Web.
Las entidades educativas, por tanto, son un público objetivo de primera para grupos de ciberdelincuencia. Custodian información personal (cuanto más personal más valiosa) que estará expuesta a sistemáticos y continuos ataques informáticos automatizados siempre a la búsqueda de cualquier brecha de seguridad por la cual entrar en el sistema y con cada vez más recursos, más eficiencia y menos reparos a la hora de elegir objetivos. Los colegios, por tanto, deben posicionarse ante la ciberseguridad y la protección de la privacidad un paso más avanzado al que exija la Ley de Protección de Datos, y asumir que la defensa de la privacidad es un requisito de primer orden y prioritario para toda entidad que, como las educativas, recopilan información.
Deben hacerlo, además, en todos los estadios, tanto en el preventivo (para que no suceda) como en el reactivo (para cuando suceda). Hacer frente a un ciberataque no es tarea fácil (ni barata) por lo que es imprescindible contar con un plan de contingencia y unos profesionales a mano para que puedan asumir la dirección del asunto desde el primer momento. Desafortunadamente los departamentos de informática propios son insuficientes para hacer frente a la magnitud de los ciberataques actuales.
El aseguramiento se ha posicionado como la opción más eficaz, económica y sencilla para este fin. Numerosas compañías ya acompañan las coberturas propias en caso de ciberataque de una serie de servicios preventivos que ayudan a reforzar y auditar la seguridad de nuestras redes y equipos en la web. Además, en el ámbito propio de cobertura aseguradora, las pólizas de ciberriesgo cuentan con un panel de expertos de primer orden (informáticos forenses, agencias de comunicación, gabinetes legales especializados, etc.) que harán la gestión del ciberataque mucho más llevadera y eficiente, minimizando el alcance y acortando en el tiempo la resolución del mismo. Además, las pólizas de ciberriesgos garantizan las indemnizaciones que deban abonarse a terceros con motivo del ataque e, incluso, las sanciones que se puedan imponer con motivo del mismo.
Son, por tanto, los centros docentes, un público objetivo de primer nivel para los ciberdelincuentes por la cantidad de datos personales que custodian y por el valor que los mismos pueden alcanzar en el mercado de la Dark Web. Es así una obligación de los mismos el poner la ciberseguridad entre los requisitos de primer orden para poder dar continuidad a la actividad educativa sin sobresaltos y con posibilidad de sobreponerse a un posible ataque y entre otras alternativas, la aseguradora se perfila como la más eficiente.
Rafael Gisbert Doménech
Director Unidad de Educación de ALKORA Correduría de Seguros
Alkora es patrocinador del XVII Congreso de Escuelas Católicas