Los ciberdelincuentes no solo tratan de sacar provecho de las vulnerabilidades en plataformas bancarias o empresariales, ya que los colegios también han sido blanco de los piratas de la red.
Una de las intenciones ha sido falsificar certificados y diplomas que posteriormente irán al mercado negro en la web (dark web), con lo que seguramente han obtenido grandes ganancias.
Uno de los casos ha sido la vulnerabilidad (CVE-2007-1044) en una de las plataformas de información para escuelas más populares como PowerSchool, que permitía a un atacante hacer una lista del contenido de la carpeta del administrador mediante una URL manipulada.
El impacto de esta vulnerabilidad dependía de los ajustes del servidor web y de las carpetas que contenía.
Estas trampas se han ido alzando a lo largo de los años para alcanzar el éxito, a través de una industria clandestina que juega con ese tipo de tentación y que cuenta hasta con foros de discusión.
En Kaspersky saben que hasta existen tutoriales en videos sobre cómo hackear el sistema de un colegio para falsificar certificados y diplomas para venderlos en el mercado negro.
Es por ello que en la compañía de seguridad cibernética han venido investigando y comprobando qué pueden hacer las escuelas y universidades para protegerse de estos riesgos, como institución, así como a sus estudiantes.
Acceso a portales escolares
Muchas escuelas han introducido plataformas de información basadas en web para sus actividades, deberes, evaluaciones, comunicaciones entre padres y profesores, entre otros propósitos educativos.
Algunas funciones se encuentran abiertas a Internet, lo que hace que muchos de estos sitios, incluidos algunos de los más usados, suelan ser muy vulnerables.
No obstante, en Kaspersky se cree que las vulnerabilidades y exploits como las de PowerSchool no permiten a un atacante saltarse la autenticación ni escalar privilegios para obtener acceso al tipo de información que los hackers de notas buscarían. Para ello, existe una vía más fácil: usar las credenciales de cuenta.
“La puerta de enlace de PowerSchool, como la de otras muchas plataformas, solo se protege mediante un usuario y una contraseña”.
Hay que recordar que varios estudiantes han sido acusados de haber hackeado PowerSchool con la finalidad de cambiar sus notas y mejorar sus registros de asistencia.
Debido a que los usuarios utilizan los mismos accesos en diferentes webs, es muy probable que estos portales estén siendo hackeados mediante información robada o reutilizada.
“Estas cuentas se pueden obtener mediante diferentes métodos, desde simplemente copiarlos desde una nota adhesiva en el teclado del profesor a un hackeo de verdad o un recopilado de credenciales en la red del colegio o universidad».
Además, los estudiantes habrían podido contratar a un hacker para que lo hiciera por ellos, tomando este caso como una forma alternativa.
De hecho, una búsqueda online realizada por el equipo de Kaspersky ha llevado a una oferta online para hackear servicios y falsificar certificados y diplomas, así como notas de diferentes instituciones que parecen auténticas.
Esto ha puesto de manifiesto que el hackeo de servicios y diplomas falsificados en el mercado negro no es juego. El proceso es claro y simple, y cuenta con un formulario de pedido e información de contacto.
Asegurando las plataformas de educación
Tomando en cuenta todos estos casos, las escuelas, universidades y las empresas que buscan nuevos talentos, con notas impecables, deben asegurarse de que lo presentado por el aspirante es totalmente real.
Las organizaciones, cuando se trata de certificados y diplomas, deberían verificar su autenticidad con la institución que lo ha emitido. Si no hay registro de que el estudiante haya obtenido una calificación, es probable que sea falsa.
Por otra parte, con una serie de medidas básicas bastaría para proteger a los empleados, los estudiantes y la información, en el caso de sistemas de información basados en web.
“Implementa algún tipo de autenticación en dos pasos cuando sea posible, en particular para acceder a los registros, notas y evaluaciones de los estudiantes. Establece unos controles de acceso fuertes y apropiados para que no sea tan fácil que un hacker pueda moverse por el sistema”.
También se ha recomendado tener dos redes wifi separadas y protegidas en el campus, una para el personal y otra para los estudiantes. Para la compañía de ciberseguridad, sería buena idea tener una tercera red aislada para visitantes.
Igualmente se debería introducir y reforzar la política de contraseñas del personal y animar a todos para que mantengan la confidencialidad de sus credenciales de acceso en todo momento.
Usar una solución de ciberseguridad de confianza para contar con una protección completa contra un amplio rango de amenazas, es otra de las sugerencias que se han señalado desde Kaspersky.
