Segurilatam 004

54 Primer cuatrimestre 2017 artículo técnico Ciberseguridad E l crecimiento de las Tecnolo- gías de la Información y la Co- municación (TIC) ha facilitado que fronteras y contenidos estén dis- ponibles de forma acelerada y casi in- mediata en todo el mundo. Gracias a la tecnología se crean, generan y mantie- nen instrumentos de apoyo a los estu- diantes como aulas y campus virtuales, sistemas de matrícula, gestión de acce- sos de notas, registro de deudas, etc. En todos estos casos se requiere interco- nectividad de equipos y actualización constante de bases de datos. Es común que en fechas determina- das, como la apertura y el cierre de ma- trículas, el tráfico se incremente, impi- diendo accesos hacia un determinado servidor, generando ataques de denega- ción de servicio (DDoS, por sus siglas en inglés) y obligando muchas veces a pos- poner matrículas o formalizarlas desde un sistema manual. La alternancia en la información requiere que los horarios de los alumnos estén disponibles de forma inmediata con el objetivo de evitar que se crucen horarios, aulas y docentes. Asimismo, diariamente, desde dife- rentes partes del planeta, los atacantes informáticos emplean bugs , zero-days o errores de programación, desarrollando ciberataques exitosos a miles de ser- vicios y generando pérdidas conside- rables, ya que contar con un deface en una web, divulgar una base de datos de carácter personal o realizar movimien- tos fraudulentos en un sistema conta- ble genera daños irreparables. Más aún con el incremento de ataques de ran- somware , que, en fechas críticas, encrip- tan la información de una institución. Me refiero a fechas como las relativas a los exámenes de admisión, los días de pago al personal administrativo o el plantel de docentes, etc. Sin duda, se trata de hitos críticos en cualquier tipo de entidad. Por lo expuesto, propongo una serie de recomendaciones que toda organiza- ción educativa debería tener en cuenta: Gestión de claves Contar con algoritmos complejos para la generación de claves de estudiantes, docentes y personal administrativo. Eliminación de metadatos Toda la información que se suba a la red de la entidad educativa, en especial los documentos y fotografías, deben elimi- nar los metadatos. Muchos documen- tos ayudarán a un atacante informático a conocer el sistema operativo, el soft- ware empleado, los nombres de usuarios y carpetas y detalles adicionales que son requeridos en data gathering . Configuración en motores de bús- queda Realizar testeos periódicos mediante el empleo de dorks con el fin de cono- cer qué información puede obtenerse del host . Limitación de privilegios Se debe evitar facilitar claves adminis- trativas a usuarios. Es necesario enseñar al personal normas de privacidad ade- cuadas al nivel de los privilegios que se le otorgue. Los usuarios y administrati- vos o docentes sólo pueden acceder a donde se les asigne. Restringir la publicación de claves de redes wifi No deben publicarse usuarios y claves de redes inalámbricas en murales ni pa- redes. Quienes requieran una conexión wifi deberán registrar y validar sus dis- positivos en el área de soporte de la en- tidad. En caso de que la misma brinde zonas wifi, han de ser ajenas a la red del trabajo con el objetivo de evitar ata- ques man-in-the-middle , elevación de privilegios, captura de información sen- sible de personal administrativo, phis- hing , etc. Emplear software original Esto no se limita a la mala praxis de em- plear keygens , cracks , freewares , versio- nes beta… Se debe utilizar únicamente software original. Las entidades educa- tivas tienen convenios y descuentos en el empleo de licencias para dicho uso; en este sentido, legalizarse aportará al crecimiento institucional. Las versiones no oficiales no se benefician de las ven- tajas de la actualización y las demos o las versiones beta tienen errores que los atacantes informáticos pueden em- plear, ya que analizan los programas César Chávez Martínez Consultor en Seguridad Informática Ciberseguridad en instituciones educativas Gracias a la tecnología se crean, generan y mantienen instrumentos de apoyo como aulas y campus virtuales que requieren interconectividad de equipos y actualización de bases de datos