Si bien hace unos años vocablos anglosajones como phishing o ransomware nos podían sonar a argot reservado a las profundidades de internet, hoy en día un porcentaje notable de la población ya los asocia rápidamente a un concepto: el peligro. Lo que en castellano conocemos como pesca de credenciales y programas de secuestro son dos de las principales técnicas empleadas por los ciberdelincuentes para entrar en nuestros dispositivos digitales y extraer información de valor. Sin embargo, su reconocimiento teórico no reduce la amenaza: Los sistemas públicos de Catalunya sufrieron más de 6.900 millones de ataques de ciberseguridad en 2024, de los cuales se derivaron 3.372 incidentes de seguridad.
Las amenazas cibernéticas son una problemática transversal a toda persona o entidad que haga uso de dispositivos digitales, pero hay ciertos ámbitos que muestran una vulnerabilidad más elevada. De todos ellos destaca el sector de la educación, que según los datos de la empresa de ciberseguridad Check Point Software se ha convertido en uno de los principales objetivos de los ciberdelincuentes en España. La división de investigación de la compañía señala en un informe que el sector ha registrado una media de 4.484 ataques semanales durante el primer trimestre de 2025, una cifra que representa un aumento del 73% respecto al mismo periodo del año anterior. Esto sitúa la educación como uno de los ámbitos donde más crecen las ofensivas cibernéticas, con un ritmo superior al ya elevado 66% a que crecen los ciberataques al global del Estado. A escala catalana, la Agència de Ciberseguretat de Catalunya confirma a VIA Empresa que este incremento también se ha identificado en los centros de educación pública.
El principal motivo por el que la educación es uno de los sectores donde más crecen los ataques maliciosos es la gran superficie de exposición que suponen sus usuarios. “Es un sector que se ha digitalizado mucho, con más de un millón de ordenadores de carácter público entre universidades y sector educativo expuestos a internet, y que a escala de vulnerabilidades técnicas, no tiene protecciones tan avanzadas como las de sectores como la banca o las infraestructuras críticas”, valora el responsable de seguridad de la información en educación, universidades y centros de investigación de la Agència de Ciberseguretat de Catalunya, Manel Herrer. Está de acuerdo el director técnico de Check Point Software en España y Portugal, Eusebio Nieva, quien también señala la falta de control de los centros educativos sobre los dispositivos de los estudiantes: “En las empresas tienen una concienciación de seguridad más alta y la mayoría tienen sistemas de protección. Pero en los centros educativos, las protecciones son parciales: cubren la navegación, el correo y otras cosas, pero no los dispositivos propios de los usuarios”.
Nieva: “En las empresas tienen una concienciación de seguridad más alta y la mayoría tienen sistemas de protección. Pero en los centros educativos, las protecciones son parciales”
El gran volumen de posibles víctimas y la lentitud con que el sector actualiza sus protecciones ante nuevas amenazas son los dos grandes factores que explican las cifras, pero también existen otras razones minoritarias que son exclusivas de la educación, como son los ataques internos. “Los mismos alumnos, a veces, son los que realizan los ataques por motivos egoístas: por curiosidad, para acceder a sistemas internos para cambiar notas, para tener datos de profesores y sistemas internos… La inmensa mayoría de ataques son externos, pero existen”, apunta Nieva.
Desde el punto de vista de Herrer, el de la educación es un sector “muy apetecible para los atacantes”, ya que pueden acceder a información delicada —por ejemplo, de salud— de una gran base de datos de alumnos, así como a información más especializada cuando se trata de centros de investigación. Según Nieva, el factor público de la educación española hace que sea un objetivo menos “suculento” que otras industrias, dado que la administración no suele ceder ante chantajes, pero esto no quiere decir que no sucedan: “El coste del atacante, entre comillas, es solamente el coste inicial de hacer la primera brecha. Aunque no son un objetivo tan claro, es un ataque de oportunidad, ya que muchas veces los ataques son indiscriminados”. Ante el gran volumen de usuarios no especializados a que se dirigen, es fácil que capten la contraseña de uno de los estudiantes y, con ella, “entrar dentro del sistema y empezar a hacer movimientos laterales para ver las vulnerabilidades del centro”.
Del ‘ransomware’ al ‘quishing’ y l'‘smishing’
Las principales vías que tienen los ciberdelincuentes para acceder a los sistemas internos de los centros educativos son una combinación entre metodologías comunes a todos los sectores y otras que ganan popularidad, concretamente dentro de la educación. En Catalunya, según los datos recogidos por la Agència de Ciberseguretat, la amenaza más usual es la misma que en el resto de sectores, el ya mencionado ransomware o software de secuestro. Este método, que consiste en instalar un programa malicioso dentro del ordenador que secuestra la información para pedir un rescate económico, es el responsable de los “grandes ataques que ha habido en Catalunya”, según comenta Herrer. En cambio, en segunda posición se sitúa una técnica que ha ganado popularidad recientemente, los info-stealers o ladrones de información, definidos por Herrer como “la evolución de los gusanos y de los troyanos”, y que también son programas que se instalan en el computador, pero que en vez de robar información para un secuestro, extraen credenciales para hacer otros tipos de ataques. “Es muy común, porque dentro del sector educativo se utilizan muchos dispositivos personales que no están bajo el paraguas de la Agencia o de la protección corporativa, y por aquí pueden entrar más fácilmente”, remarca Herrer.
Otras amenazas frecuentes en los ataques dirigidos al sector de la educación en Cataluña son los ataques de black hat o sombrero negro y el compromiso de las cadenas de suministro, especialmente cuando las escuelas y universidades dependen de terceros para los programas y plataformas informáticas que utilizan. Desde Check Point señalan también el incremento de casos que nacen de intentos de pesca de credenciales a través de quishing o smishing, que cambian el correo electrónico del phishing por los códigos QR y los SMS, respectivamente. Se trata de dos técnicas por las cuales, según Nieva, los centros educativos todavía no han adoptado las protecciones adecuadas o bien no se han formado como es debido para estar atentos.
El caso de la UAB como detonante de un nuevo sistema
La amenaza digital que experimenta el sector de la educación no es ninguna novedad en Cataluña, donde todavía se recuerda el ciberataque que sufrió la Universitat Autònoma de Barcelona (UAB) en octubre de 2021 como uno de los casos más notorios de este ámbito. Efectuado a través de un software de secuestro, la ofensiva afectó a más de 650.000 documentos de la universidad y paralizó completamente la red interna del centro durante varios días, hasta el punto que la normalidad no se recuperó hasta principios de 2022. “Perdieron un montón de datos, algunas que no se han llegado a recuperar”, recuerda Herrer.
El impacto del ciberataque de 2021 en la UAB impulsó la puesta en marcha de un SOC para universidades públicas gestionado por la Agència de Ciberseguretat de Catalunya
El impacto fue tan grande que hizo ver a la Generalitat que era necesario poner en marcha un nuevo sistema desde la Agencia de Seguridad que ayudara a evitar casos similares en el futuro. Esta solución tomó la forma de un centro de operaciones de seguridad (SOC) que monitoriza de manera continuada las posibles amenazas de ciberseguridad de todo el sistema público de educación universitaria de Catalunya. “Las universidades tienen sus propios equipos de ciberseguridad que gestionan el día a día de la gestión de alertas y la implementación y actualización de los parches de seguridad, pero nosotros les ofrecemos apoyo”, comenta el responsable de seguridad de la información de educación y universidades de la Agència.
Más allá de la formación postobligatoria, la Agència también gestiona la ciberseguridad del sistema público de educación primaria y secundaria de Catalunya, dado que todos los sistemas centrales son proveídos por la Generalitat, donde se almacenan de manera exclusiva todos los datos de los alumnos, como las notas, las oposiciones, las preinscripciones o las matrículas. “También proporcionamos servicios de protección a la navegación y formación a los docentes en ciberseguridad”, aporta Herrer, “así como campañas falsas de phishing —a modo de simulacro— y campañas para buscar las vulnerabilidades más graves de los sistemas críticos”.
Formación, prevención y expertos
Sean de titularidad pública o privada, tanto Herrer como Nieva coinciden a la hora de hacer recomendaciones a los centros para mejorar su ciberseguridad. De entrada, el consejo básico es la formación y las medidas preventivas. “Hay muchas maneras, pero al final la educación de los usuarios y de los estudiantes es importantísima para evitar que caigan, al menos, en una parte importante de los ataques de phishing y quishing. Si nos entrenamos para reconocerlos, quizás se escapa alguno, pero la inmensa mayoría los reconocerán”, considera el director técnico de Check Point Software. Adicionalmente, Nieva propone ayudarse de entrenamientos y de simulacros de falsos ataques que les ayuden a reconocer los ataques de manera sencilla. También estar atentos a las últimas tendencias de ataques al sector: “Si no puedes adquirir la tecnología, al menos establecer políticas de seguridad y educación interna para que este tipo de ataques también estén previstos”. “En muchas ocasiones, un protocolo adecuado evita que los sistemas sean vulnerados fácilmente”, remarca. Y en caso de que falle todo, la respuesta es clara: “El único consejo es que se pongan en manos de expertos. Son quienes saben cuáles son las prioridades y las maneras de actuar”.