El reto de la Ciberseguridad en la Universidad fue el título de las 44ª Jornadas de la Sectorial TIC de CRUE Universidades Españolas. Para conversar sobre las principales conclusiones que pudiéramos extraer de la participación de expertos en ciberseguridad, responsables universitarios y equipos técnicos de las mismas, organizamos una mesa redonda entre Juan Camarillo (Universidad de Sevilla), Joaquín Canca (Universidad de Málaga) y Andrés Prado (Universidad de Castilla la Mancha). Desde sus responsabilidades técnicas en sus respectivas universidades, nos aportaron una visión enriquecida sobre los actuales ciberriesgos.
Una de las cuestiones que concluyeron los tres al unísono es que mantener la universidad segura tiene un coste. Utilizando metáforas como el cinturón de seguridad o las medidas contra la COVID-19, señalaron como la responsabilidad colectiva empieza por la responsabilidad individual. Y como tal, invitaron a todas las comunidades universitarias a interesarse por las medidas que debieran poner en marcha para así aportar su granito de arena a la seguridad colectiva. Máxime, en un contexto bélico como el actual, en el que según sus propias vivencias, los ataques se están multiplicando a una velocidad inusitada.
Preguntados por las amenazas que solemos tener las universidades, nos indicaron que en los próximos meses podemos esperar que se sigan produciendo ataques de phishing (usurpación de identidades), fallos en firewalls (mecanismos de protección y defensa que tenemos las organizaciones) y VPN sin doble factor (ese mecanismo de doble autenticación en redes privadas virtuales que tan molesto nos puede parecer especialmente si trabajamos desde nuestros hogares). Estos términos, invitaron a informarse sobre ellos, recalcando que deben formar parte de nuestro vocabulario diario, así que lo hicieron los términos “mascarilla”, “distancia de seguridad” o “miasmas en el aire”.
Las universidades tenemos muchos portales abiertos al público derivados de nuestra propia actividad, evidentemente. Las fugas de información, por estos activos del conocimiento únicos que tenemos, son también nuestra primera vulnerabilidad. Por ello, existe en Internet una importante industria de venta de claves personales. En este sentido, invitaron a reflexionar sobre la necesidad que tenemos de actualizar nuestras claves con relativa frecuencia, y también a pensar que siempre que podamos es bueno cambiar la clave, asegurarnos que nadie está entrando sin permiso, etc.
Derivado de experiencias propias, y por aportar también indicios sobre lo que pudiera ocurrirnos, estuvimos dialogando sobre la cronología de un ataque y su recuperación. Porque una cosa es prevenir y otra cosa tener que recuperar. Los ataques son procesos lentos, que solo se manifiestan cuando ya han penetrado lo suficiente en el perímetro. Normalmente lo que busca el atacante es instalar un malware: software con intención maliciosa, que una vez dentro de nuestras infraestructuras tecnológicas, se expande para cifrar los archivos o para obtener información que no es bueno salga de nuestro entorno. ¿Y cuál es el siguiente paso? Pues obtenido algún indicio de que ese ataque se ha celebrado, elaborar un análisis forense. Sí, como en las películas. La mejor estrategia de recuperación es además la transparencia y la comunicación, y sobre todo, ese término tan de moda ahora sobre la resiliencia. No es instantáneo ni rápido recuperar el entorno de la universidad. De hecho en las jornadas, expertos de Telefónica hablaban de tener que gestionar, en empresas relevantes de España, hasta 3-5 ataques por mes. Los tiempos de recuperación, podrían oscilar entre días y semanas. En definitiva, el ataque es lento, pero también la recuperación.
En cuanto a los niveles de impacto, nuestros invitados hablaron de estar recibiendo muchos ataques. La gran mayoría son de un impacto prácticamente insignificante, por lo que ni siquiera son noticia. Sin embargo, con ello, venían a alertar que no debemos solo hablar de los impactos a gran escala, sino también de aquellos que, por pequeños que resulten, pueden dejarnos ya cierta evidencia sobre lo que pudiera estar por venir. Por ello es tan importante no bajar la guardia, pensar bien en cómo tener nuestra universidad accesible desde localizaciones remotas, y sobre todo, en formar y concienciar a nuestros usuarios desde la práctica.
Ante este escenario, con Juan, Joaquín y Andrés, hablamos sobre las vías de ataque. Y un contexto en el que parece se pueden focalizar muchos problemas es el de los dispositivos, especialmente los móviles, que con tanta alegría utilizamos. También el correo electrónico, que los atacantes bien saben es nuestro espacio personal de relación con el exterior.
No existe la seguridad 100%. Se trata de jugar con probabilidades. Hay escenarios de vulnerabilidad con más o menos probabilidad de que ocurra. Los Esquemas Nacionales de Seguridad (ENS) están comenzando a elaborar una serie de normativas de seguridad que deben penetrar en las organizaciones en clave de estrategia o a nivel de gobierno de la propia universidad. Y es que la seguridad es cosa de todos/as, y como tal debe estar al máximo nivel de decisión y gestión. Invitaron a interesarse en cómo colaborar con el Centro Criptológico Nacional (CCN), perteneciente al Centro Nacional de Inteligencia del Ministerio de Defensa, del Departamento de Seguridad Nacional y del Instituto Nacional de Ciberseguridad. Pueden ayudarnos mucho, y como centros públicos que son, su vocación de servicio al interés colectivo es claro.
El equilibrio entre la seguridad de los usuarios y el freno a los ciberataques se puede conseguir con tecnología, concienciación y conocimiento. Desde las universidades debemos apostar por la ciberseguridad y formar a toda la comunidad universitaria, creando una cultura de seguridad. Y construyendo una universidad en la nube pensada para ser segura y confiable.
