Recomendaciones para instituciones educativas

Parte 1

Hoy en día la educación continúa evolucionando gracias a los avances tecnológicos. Estos permiten que los alumnos interactúen con plataformas tecnológicas que proporcionan un aprendizaje interactivo y lúdico de conceptos, teorías y nuevas formas de solucionar problemas y entender el mundo.

Internet: su uso en instituciones educativas se ha vuelto fundamental. Las enciclopedias y bibliotecas físicas que se utilizaban en investigaciones para cumplir con una tarea o como método de estudio para un examen quedaron atrás. Internet se ha convertido en la biblioteca digital más completa (tanto de información cierta como falsa).

Cuando una institución educativa decide introducir plataformas digitales como habilitadores de métodos educativos, es importante que tomen en cuenta las siguientes recomendaciones:

  • Establecer su política de uso de internet
  • Establecer responsabilidades, compromisos y sanciones
  • Implementar controles que permitan filtrar y bloquear contenido no apto o autorizado para la comunidad educativa
  • Implementar sesiones de educación (Civismo digital) y concienciación sobre las amenazas y peligros del internet

Es importante que la institución educativa se asegure de tener las respuestas a las siguientes preguntas:

Si se comete un crimen como los siguientes a través de alguna de sus plataformas digitales, ¿la institución educativa sabe cómo reaccionar?

  • Una extorsión
  • Un fraude
  • Ataques cibernéticos a otras entidades
  • Conspiraciones
  • Robo de información
  • Aprovechamiento de recursos tecnológicos de otra entidad
  • Etc.

Si un miembro de su comunidad realiza alguna de las siguientes acciones, ¿la institución educativa sabe cuáles son sus obligaciones legales?

  • Suplantar la identidad de un compañero
  • Traficar con información del colegio
  • Conspirar con otros miembros para cometer un acto ilícito

Si la comunidad educativa fuera víctima de alguna de las siguientes situaciones, ¿sabe cómo responder?

  • Robo de datos personales de miembros de su comunidad
  • Extorsión a través del secuestro de su información y de la imposibilidad de continuar con sus actividades en sus plataformas digitales
  • Uso de la plataforma tecnológica para la minería de datos, ya sea a través de miembros de su comunidad o personas ajenas a esta

¿Cuenta con políticas de uso de las Plataformas de colaboración?

Estas plataformas ampliamente manejadas en el ámbito profesional son también utilizadas para que los estudiantes trabajen de manera colaborativa, sin embargo, estas a su vez podrían prestarse para:

  • Agredir
  • Humillar
  • Compartir información ofensiva
  • Compartir información no relacionada con el ambiente y objetivos escolares
  • Suplantación de identidad

Al seleccionar las plataformas de colaboración, es importante que la institución educativa revise no sólo las funcionalidades tecnológicas, sino también temas de seguridad como:

  • Los controles y el compromiso del proveedor y fabricante con respecto a la protección de información que se almacenará, procesará y/o transmitirá desde su plataforma.
  • Líneas de acción y sanciones en caso de que el proveedor de la plataforma sea víctima de un robo de información que comprometa a la institución educativa.

Redes sociales: hoy en día uno de los medios de comunicación más utilizado son las diversas plataformas de redes sociales, ya sean propias de la institución o las redes privadas de cada integrante de la comunidad educativa. Por este motivo es importante establecer reglas sobre su uso, publicación, actuación, etc. Por ejemplo, se debe normar qué información SI y qué información NO puede publicarse:

  • Resguardar la información personal de los miembros de la comunidad
  • Evitar comentarios relacionados con temas controversiales como religión, política, etc.  utilizando el nombre de la institución educativa
  • Evitar mensajes inapropiados entre miembros de la misma comunidad
  • Evitar publicar posturas sobre temas públicos en nombre de la comunidad

En nuestra siguiente publicación encontrarás las recomendaciones que Escuelas Ciberseguras brinda a tu institución educativa...

Por Ana Cecilia Pérez

¿Sabías que si te roban tu smartphone podrían clonar tu SIM?

Según el diario Excelsior, existe una gran preocupación por una modalidad de ciberataque que cada vez es más común: SIM Swapping. Este ataque se basa en el indebido uso de tarjetas SIM de smartphones robados, al clonarlos o duplicarlos.

¿Cómo funciona el SIM Swapping?

Al obtener la SIM, el delincuente visita un centro autorizado de la compañía de telefonía móvil y solicita que repongan el número en una nueva tarjeta, donde evidentemente tendrá control total. Con esta SIM y un nuevo equipo, el atacante tendrá la posibilidad de utilizar la comprobación de identidad vía número telefónico, y acceder a un sin numero de cuentas de diversos servicios, por mencionar algunas: redes sociales, bancarias o de servicios en la nube donde se puede almacenar información sensible.

El éxito de este ataque depende en gran medida de que en el centro autorizado identifiquen correctamente al usuario para asegurarse de que es quien dice ser, y que está autorizado a solicitar este cambio, sin embargo se ha detectado que se han presentado casos donde no se realiza un proceso de verificación adecuada, logrando de esta manera suplantar la identidad del usuario real.

Algunas recomendaciones:

  • Utiliza una contraseña con dos pasos de autenticación.
  • Registra el IMEI de tu smartphone en Locatel.
  • No compartas toda la información en Internet.
  • Reporta de inmediato la pérdida o extravío de tu teléfono.

Incremento de robos de identidad a través de portabilidad numérica

En México son cada vez más frecuentes los fraudes y el robo de identidad aprovechándose de la portabilidad no autorizada de un número telefónico. A este tipo de fraude se le denomina SIM SWAP.

El SIM SWAP se basa en la capacidad de las compañías telefónicas de portabilizar un número de teléfono a una SIM nueva. Cuando existe una portabilidad no consentida, ésta es utilizada para la comisión de fraudes. Según un reporte del IFT cada vez es más frecuente el número de registros donde el usuario se queja de un cambio de portabilidad sin su consentimiento.

En ese sentido, uno de los principales objetivos de un atacante además de obtener las contraseñas a través de phishing o ingeniería social, es provocar un daño financiero, por eso debemos estar alerta.

Así funcionan los secuestros virtuales que están sacudiendo familias en todo Estados Unidos

Con información de CNN

¿Cómo los estafadores falsifican un secuestro?

“Hemos visto un aumento en los secuestros virtuales en los últimos años porque el crimen es lucrativo y no hay mucha detección por parte de la policía”, dijo a CNN Business Matthew Horton, jefe de la unidad internacional de delitos violentos del FBI, quien ha estado siguiendo de cerca los secuestros virtuales. “Es una forma rápida de ganar dinero, y es mucho más fácil realizar un secuestro virtual que uno real”.

La falsificación implica una llamada realizada desde cualquier servicio de voz por IP, como Skype, o una aplicación especializada que permite a los usuarios ingresar cualquier número de host que deseen, ya sea un número creado, un número en su libreta de direcciones o uno de la Casa Blanca. Es tan fácil que cualquiera podría hacerlo.

Skype rechazó una solicitud de comentarios.

Algunas de estas estafas también provienen de teléfonos prepagos que no están registrados y no son atribuibles a una persona.

Los incidentes pueden dejar a las víctimas sin dinero por miles de dólares y conmovidas emocionalmente. Como los estafadores saben que es más probable que una víctima potencial se recupere si reconoce a la persona que llama, puede ingresar un número que crea que está en la libreta de direcciones de su objetivo.

Es difícil cuantificar qué tan comunes son las estafas. El FBI dijo que no recopila estadísticas nacionales sobre secuestros virtuales porque “la mayoría de las víctimas tienden a reportar el crimen a su departamento local o no lo reportan para nada”.

En algunos casos, las víctimas dicen que escuchan gritos en el fondo haciéndose pasar por una hija o un hijo. Otra estafa de suplantación de identidad se dirige a los padres y abuelos a los que se les pide que saquen a su hijo de la cárcel.

Pero Horton notó que la mayoría de las estafas de secuestro virtual que ve no están dirigidas: “Muchos de estos casos se realizan de forma aleatoria en base a números de llamadas en frío, incluso habitaciones de hotel o códigos de área ricos, y el uso de publicaciones en redes sociales para buscar más información.”

Este tipo de estafa es difícil de eliminar debido a donde comienzan. Una investigación del FBI en su División de Los Ángeles en 2017 encontró que la mayoría de las llamadas de secuestro virtual se originaron en México, y que muchas provenían de las cárceles allí. Originalmente, las llamadas estaban dirigidas a hispanohablantes en las áreas de Los Ángeles y Houston. Ahora también ocurren en inglés y se han expandido a otras ciudades de Estados Unidos.

“Los estafadores encarcelados, que suelen sobornar a los guardias para adquirir teléfonos celulares, elegirían un área próspera como Beverly Hills, California”, dijo Erik Arbuthnot, agente especial del FBI en Los Ángeles, en un blog que detallaba las estafas. “Buscarían en Internet para conocer el código de área correcto y el prefijo de marcación telefónica. Luego, sin nada más que tiempo en sus manos, comenzarían a marcar los números en secuencia, buscando a las víctimas”.

Horton, quien confirmó que la mayoría de los secuestros virtuales de los que él sabe todavía se originan en México, dijo que algunos delincuentes usan aplicaciones de suplantación de identidad para ayudar a orquestar los esquemas.

Las redes sociales, y las infracciones, también han facilitado a los estafadores encontrar información personal sobre sus objetivos y los amigos y familiares de sus objetivos.

Aun así, como en el caso de la familia Baker, la demanda de rescate a menudo es baja, de modo que los estafadores pueden burlar las leyes que regulan las transferencias de dinero a través de la frontera.

“Es más fácil evitar algunas leyes y señales de advertencia si estás transfiriendo pequeñas cantidades de dinero”, dijo Horton a CNN Business. “También es más probable que una familia tenga cantidades más pequeñas de dinero a mano o que tenga acceso a esos fondos más fácilmente, especialmente después de las horas de cierre bancario”.

Horton dijo que los delincuentes generalmente presionan a las víctimas para que paguen rápidamente y, a veces, exigen más dinero después de que se completa la primera transacción.

Jake Baker, quien considera que la situación es “traumatizante” para su familia, dijo que el Departamento de Policía de Charlotte no parecía optimista de poder rastrear al criminal.

“Me dijeron que como solo hay unas pocas pistas, podría ser difícil encontrarlas”, dijo. “También me dijeron que es un monto pequeño de dólares que probablemente no genere una investigación más grande”.

El Departamento de Policía de Charlotte no respondió a una solicitud de comentarios.

Los esfuerzos de la Comisión Federal de Comunicaciones (FCC, por sus siglas en inglés) para acabar con las llamadas fraudulentas de números desconocidos, o de los números que se hacen pasar por alguien que el destinatario conoce, han sido lentos, pero la industria de las telecomunicaciones está trabajando en una herramienta llamada Stir/Shaken (Agitar/Sacudir) para identificar y rastrear los esfuerzos de suplantación de identidad. AT&T, Comcast y Verizon ya han completado las pruebas, y otros proveedores se han comprometido a adoptar Stir/Shaken a fines de 2019 (AT&T es propietaria de WarnerMedia, la empresa matriz de CNN).

Este miércoles, la FCC reveló una propuesta para limitar los robos telefónicos al permitirle a los operadores aplicar tecnologías de bloqueo de llamadas de robo teléfonico a las cuentas de los clientes de forma automática.

Mientras tanto, los operadores que incluyen Verizon, AT&T y T-Mobile ofrecen aplicaciones de descarga gratuita que bloquean las llamadas automáticas y los esfuerzos de suplantación de identidad. Sprint ofrece un servicio pago de bloqueo y etiquetado de llamadas de robo telefónico llamado “Premium Caller ID”, que permite a los usuarios recibir información sobre el tipo de llamada entrante y configurar preferencias para bloquear intentos falsos.

¿Quién está en riesgo?

Tarun Wadhwa, quien fundó la firma de asesoría tecnológica Day One Insights y estudia de cerca los temas relacionados con la identidad, las tecnologías de falsificación y la ciberseguridad, compara el secuestro virtual con el phishing. Ahí es cuando los estafadores o piratas informáticos envían mensajes para que parezca que provienen de alguien que la víctima conoce, pidiéndoles que renuncien a la información o que realicen una acción, como ingresar una contraseña.

“Esta ha sido una de las amenazas más persistentes y dañinas en la ciberseguridad, todo porque no es realmente un problema de tecnología”, dijo Wadhwa. “Es un problema de psicología humana. Se aprovechan del hecho de que estamos ocupados y no sospechamos de la veracidad de cada mensaje que estamos viendo. Parece tan simple, pero he visto a personas increíblemente inteligentes que caen en esto”.

Algunas personas no informan sobre secuestros virtuales porque se avergüenzan de caer en una estafa, quieren olvidar lo que sucedió o saben que es un desafío para las autoridades hacer un seguimiento de los culpables. Pero Horton, del FBI, argumenta que es fundamental que las autoridades hagan un seguimiento de estos incidentes y que las personas se sensibilicen sobre las estafas de suplantación de identidad para que las familias puedan estar preparadas.

“Si se encuentra en esta posición, aconsejamos a las personas que permanezcan en calma y detengan a la persona en el teléfono”, dijo Horton. “Trata de comunicarte con la víctima por teléfono o por voz o en las redes sociales, por ejemplo, para que se pongan en contacto y se aseguren de que estén bien. También es bueno obtener una prueba de vida o una fotografía o pedir hablar con la persona”.

Wadhwa cree que las estafas de suplantación de identidad solo serán más complejas gracias a los avances en la tecnología de manipulación de voz. (Piensa en llamadas de robo con “deepfakes”, la sintetización de imágenes en movimiento que está en desarrollo en este momento). Un secuestrador virtual podría potencialmente algún día imitar la voz de un ser querido, además de su número de teléfono.

“El desafío que tenemos por delante es enorme: tenemos que convencer a la gente de que lo que ven sus ojos, oyen sus oídos y lo que la mente reconoce no es lo que está pasando”, dijo Wadhwa. “Eso es algo increíblemente difícil de hacer. Y cuanto más se logre, más personas caerán serán víctimas de ello”.

Desde entonces, la familia Baker ha implementado una palabra segura que pueden usar si alguna vez vuelven a estar en la misma situación. También han tomado medidas para eliminar información personal de Internet, lo que dificulta que los extraños aprendan detalles íntimos sobre su familia.

“Mi hijo está a salvo y estoy agradecido, pero me preocupo por todos los otros padres que están pasando por esto o que pasarán por esto en el futuro”, dijo Maggie Baker.

Más información en CNN