Si bé fa uns anys vocables anglosaxons com phishing o ransomware ens podien sonar a argot reservat a les profunditats d’internet, avui dia un percentatge notable de la població ja els associa ràpidament a un concepte: el perill. El que en català coneixem com a pesca de credencials i programaris de segrest són dues de les principals tècniques emprades pels ciberdelinqüents per entrar als nostres dispositius digitals i extreure’n informació de valor. Tanmateix, el seu reconeixement teòric no en redueix l’amenaça: Els sistemes públics de Catalunya van patir més de 6.900 milions d’atacs de ciberseguretat el 2024, dels quals se’n van derivar 3.372 incidents de seguretat.
Les amenaces cibernètiques són una problemàtica transversal a tota persona o entitat que faci ús de dispositius digitals, però hi ha certs àmbits que mostren una vulnerabilitat més elevada. De tots ells destaca el sector de l’educació, que segons les dades de l’empresa de ciberseguretat Check Point Software s’ha convertit en un dels principals objectius dels ciberdelinqüents a Espanya. La divisió de recerca de la companyia assenyala en un informe que el sector ha registrat una mitjana de 4.484 atacs setmanals durant el primer trimestre de 2025, una xifra que representa un augment del 73% respecte al mateix període de l’any anterior. Això situa l’educació com un dels àmbits on més creixen les ofensives cibernètiques, amb un ritme superior al ja elevat 66% a què creixen els ciberatacs al global de l’Estat. A escala catalana, l’Agència de Ciberseguretat de Catalunya confirma a VIA Empresa que aquest increment també s’ha identificat en els centres d’educació pública.
El principal motiu pel qual l’educació és un dels sectors on més creixen els atacs maliciosos és la gran superfície d’exposició que suposen els seus usuaris. “És un sector que s’ha digitalitzat molt, amb més d’un milió d’ordinadors de caràcter públic entre universitats i sector educatiu exposats a internet, i que a escala de vulnerabilitats tècniques, no té proteccions tan avançades com les de sectors com la banca o les infraestructures crítiques”, valora el responsable de seguretat de la informació en educació, universitats i centres de recerca de l’Agència de Ciberseguretat de Catalunya, Manel Herrer. S’hi mostra d’acord el director tècnic de Check Point Software a Espanya i Portugal, Eusebio Nieva, qui també assenyala la manca de control dels centres educatius sobre els dispositius dels estudiants: “A les empreses tenen una conscienciació de seguretat més alta i la majoria tenen sistemes de protecció. Però als centres educatius, les proteccions són parcials: cobreixen la navegació, el correu i altres coses, però no els dispositius propis dels usuaris”.
Nieva: “A les empreses tenen una conscienciació de seguretat més alta i la majoria tenen sistemes de protecció. Però als centres educatius, les proteccions són parcials”
El gran volum de possibles víctimes i la lentitud amb què el sector actualitza les seves proteccions davant de noves amenaces són els dos grans factors que expliquen les xifres, però també existeixen altres raons minoritàries que són exclusives de l’educació, com són els atacs interns. “Els mateixos alumnes, a vegades, són els que realitzen els atacs per motius egoistes: per curiositat, per accedir a sistemes interns per canviar notes, per tenir dades de professors i sistemes interns… La immensa majoria d’atacs són externs, però existeixen”, apunta Nieva.
Des del punt de vista d’Herrer, el de l’educació és un sector “molt llaminer per als atacants”, ja que poden accedir a informació delicada —per exemple, de salut— d’una gran base de dades d’alumnes, així com a informació més especialitzada quan es tracta de centres de recerca. Segons Nieva, el factor públic de l’educació espanyola fa que sigui un objectiu menys “suculent” que altres indústries, atès que l’administració no acostuma a cedir davant de xantatges, però això no vol dir que no succeeixin: “El cost de l’atacant, entre cometes, és solament el cost inicial de fer la primera bretxa. Tot i que no són un objectiu tan clar, és un atac d’oportunitat, ja que moltes vegades els atacs són indiscriminats”. Davant del gran volum d’usuaris no especialitzats a què es dirigeixen, és fàcil que captin la contrasenya d’un dels estudiants i, amb ella, “entrar dins del sistema i començar a fer moviments laterals per veure les vulnerabilitats del centre”.
Del ‘ransomware’ al ‘quishing’ i l'‘smishing’
Les principals vies que tenen els ciberdelinqüents per accedir als sistemes interns dels centres educatius són una combinació entre metodologies comunes a tots els sectors i d’altres que guanyen popularitat concretament dins de l’educació. A Catalunya, segons les dades recollides per l’Agència de Ciberseguretat, l’amenaça més comuna és la mateixa que a la resta de sectors, el ja mencionat ransomware o programari de segrest. Aquest mètode, que consisteix a instal·lar un programa maliciós dins l’ordinador que segresta la informació per demanar-ne un rescat econòmic, és el responsable dels “grans atacs que hi ha hagut a Catalunya”, segons comenta Herrer. En canvi, en segona posició se situa una tècnica que ha guanyat popularitat recentment, els info-stealers o lladres d’informació, definits per Herrer com “l’evolució dels cucs i dels troians”, i que també són programes que s’instal·len al computador, però que en comptes de robar informació per un segrest, extreuen credencials per fer altres tipus d’atacs. “És molt comú, perquè dins del sector educatiu es fan servir molts dispositius personals que no estan sota el paraigua de l’Agència o de la protecció corporativa, i per aquí poden entrar més fàcilment”, remarca Herrer.
Altres amenaces comunes en els atacs dirigits al sector de l’educació a Catalunya són els atacs de black hat o barret negre i el compromís de les cadenes de subministrament, especialment quan les escoles i universitats depenen de tercers per als programaris i plataformes informàtiques que fan servir. Des de Check Point assenyalen també l’increment de casos que neixen d’intents de pesca de credencials a través de quishing o smishing, que canvien el correu electrònic del phishing com a via d'accés a la víctima pels codis QR i els SMS, respectivament. Es tracta de dues tècniques per les quals, segons Nieva, els centres educatius encara no han adoptat les proteccions adequades o bé no s’han format com cal per estar-ne atents.
El cas de la UAB com a detonant d'un nou sistema
L'amenaça digital que experimenta el sector de l'educació no és cap novetat a Catalunya, on encara es recorda el ciberatac que va patir la Universitat Autònoma de Barcelona (UAB) l'octubre de 2021 com un dels casos més notoris d'aquest àmbit. Efectuat a través d'un programari de segrest, l'ofensiva va afectar més de 650.000 documents de la universitat i va paralitzar completament la xarxa interna del centre durant diversos dies, fins al punt que la normalitat no es va recuperar fins a principis de 2022. “Van perdre un munt de dades, algunes que no s’han arribat a recuperar”, recorda Herrer.
L'impacte del ciberatac de 2021 a la UAB va impulsar la posada en marxa d'un SOC per a universitats públiques gestionat per l'Agència de Ciberseguretat de Catalunya
L’impacte va ser tan gran que va fer veure a la Generalitat que calia posar en marxa un nou sistema des de l’Agència de Seguretat que ajudés a evitar casos similars en el futur. Aquesta solució va prendre la forma d'un centre d'operacions de seguretat (SOC) que monitora de manera continuada les possibles amenaces de ciberseguretat de tot el sistema públic d'educació universitària de Catalunya. “Les universitats tenen els seus propis equips de ciberseguretat que gestionen el dia a dia de la gestió d’alertes i la implementació i actualització dels pegats de seguretat, però nosaltres els oferim suport”, comenta el responsable de seguretat de la informació d'educació i universitats de l'Agència.
Més enllà de la formació postobligatòria, l’Agència també gestiona la ciberseguretat del sistema públic d’educació primària i secundària de Catalunya, atès que tots els sistemes centrals són proveïts per la Generalitat, on s'emmagatzemen de manera exclusiva totes les dades dels alumnes, com les notes, les oposicions, les preinscripcions o les matrícules. “També proporcionem serveis de protecció a la navegació i formació als docents en ciberseguretat”, aporta Herrer, “així com campanyes falses de phishing —a tall de simulacre— i campanyes per buscar les vulnerabilitats més greus dels sistemes crítics”.
Formació, prevenció i experts
Siguin de titularitat pública o privada, tant Herrer com Nieva coincideixen a l'hora de fer recomanacions als centres per millorar la seva ciberseguretat. D'entrada, el consell bàsic és la formació i les mesures preventives. “Hi ha moltes maneres, però al final l’educació dels usuaris i dels estudiants és importantíssima per evitar que caiguin, almenys, en una part important dels atacs de phishing i quishing. Si ens entrenem per reconèixer-los, potser s’escapa algun, però la immensa majoria els reconeixeran”, considera el director tècnic de Check Point Software. Addicionalment, Nieva proposa ajudar-se d’entrenaments i de simulacres de falsos atacs que els ajudin a reconèixer els atacs de manera senzilla. També estar atents a les últimes tendències d’atacs al sector: “Si no pots adquirir la tecnologia, almenys establir polítiques de seguretat i educació interna perquè aquesta mena d’atacs també estiguin previstos”. “En moltes ocasions, un protocol adequat evita que els sistemes siguin vulnerats fàcilment”, remarca. I en cas que falli tot, la resposta és clara: “L’únic consell és que es posin en mans d’experts. Són els qui saben quines són les prioritats i les maneres d’actuar”.