1 00:00:02,480 --> 00:00:07,160 Hola, soy Jorge Castellanos de la Delegación de Protección de Datos de la Consejería de Educación. 2 00:00:07,639 --> 00:00:12,019 En este vídeo vamos a hablar sobre las amenazas en el ámbito de la protección de datos. 3 00:00:12,679 --> 00:00:19,879 En la actualidad, la extensión del uso de la tecnología nos expone a sufrir ataques que pueden afectarnos significativamente. 4 00:00:20,519 --> 00:00:25,120 Además, hay que tener en cuenta que no solo nosotros estamos expuestos a estas amenazas. 5 00:00:25,679 --> 00:00:30,140 También los titulares de los datos personales que gestionamos en nuestro día a día en los centros 6 00:00:30,140 --> 00:00:34,380 podrían sufrir consecuencias en caso de que no tomemos las debidas precauciones. 7 00:00:35,140 --> 00:00:38,060 Técnicamente, una amenaza podría definirse como una acción 8 00:00:38,060 --> 00:00:40,759 que puede causar daños a un sistema de información. 9 00:00:41,579 --> 00:00:46,420 Puede producirse, por ejemplo, por un ataque intencionado que intenta robar datos personales, 10 00:00:46,420 --> 00:00:51,840 por un error técnico, como podría ser que un dispositivo que contenía datos deje de funcionar, 11 00:00:52,299 --> 00:00:57,259 o por un error humano, por ejemplo, al perder una documentación que contenía datos personales. 12 00:00:57,259 --> 00:01:03,640 La materialización de esas amenazas puede tener serias consecuencias, como ya se ha 13 00:01:03,640 --> 00:01:08,680 comentado anteriormente, generando un problema de difícil reparación para los titulares 14 00:01:08,680 --> 00:01:11,439 de los datos personales afectados. 15 00:01:11,439 --> 00:01:16,579 En la actualidad, el robo de datos personales es algo común, y los centros educativos no 16 00:01:16,579 --> 00:01:21,439 son ajenos a esa problemática, ya que en nuestros sistemas se almacena mucha información 17 00:01:21,439 --> 00:01:25,500 que tiene valor para aquellos dedicados a estos delitos. 18 00:01:25,500 --> 00:01:30,359 credenciales de los sistemas corporativos pueden dar acceso a mucha información de interés para 19 00:01:30,359 --> 00:01:35,780 los ciberdelincuentes. Por lo tanto, nosotros también podemos ser víctimas de un ataque y la 20 00:01:35,780 --> 00:01:40,840 mejor manera de evitarlo es conocer las técnicas que se utilizan y aplicar una serie de buenas 21 00:01:40,840 --> 00:01:46,659 prácticas que se van a comentar más adelante. Existen amenazas que pueden deberse a un error 22 00:01:46,659 --> 00:01:51,879 humano o a un fallo técnico y contra esas solamente podemos ser cuidadosos. Sin embargo, 23 00:01:51,879 --> 00:01:57,140 existen otro tipo de amenazas que vamos a denominar externas y que debemos conocer con 24 00:01:57,140 --> 00:02:03,599 el propósito de poder identificarlas y evitarlas. El malware es un software que se instala en 25 00:02:03,599 --> 00:02:08,300 nuestros dispositivos sin que seamos conscientes de ello. Puede realizarse debido a una acción 26 00:02:08,300 --> 00:02:14,280 hecha por nosotros o entrar al equipo mediante una vulnerabilidad del sistema. Ejemplos de 27 00:02:14,280 --> 00:02:19,199 malware son los virus informáticos o una de sus versiones más peligrosas, el ransomware, 28 00:02:19,199 --> 00:02:24,159 un programa que se instala en nuestro equipo, encriptando nuestra información y solicitando 29 00:02:24,159 --> 00:02:30,280 el pago de un rescate si queremos volver a acceder a nuestros datos. Otras amenazas de este tipo son 30 00:02:30,280 --> 00:02:36,180 los troyanos, software espía, adware, etcétera, sobre los que en la documentación del bloque 31 00:02:36,180 --> 00:02:41,699 encontraréis sobrada información. Para evitar ser víctima de este tipo de ataques debemos ser muy 32 00:02:41,699 --> 00:02:46,360 cuidadosos con los programas que instalamos en nuestros dispositivos. Es recomendable instalar 33 00:02:46,360 --> 00:02:51,560 solamente aplicaciones desde fuentes fiables, no instalar programas que permitan saltar las 34 00:02:51,560 --> 00:02:56,379 protecciones oficiales antipiratería de software comercial, ya que pueden contener sorpresas 35 00:02:56,379 --> 00:03:02,599 desagradables, y tener activo un software antivirus y un firewall. Las técnicas de ingeniería social 36 00:03:02,599 --> 00:03:08,460 intentan engañarnos aprovechando nuestra buena voluntad y falta de conocimiento. Además, los 37 00:03:08,460 --> 00:03:13,340 ataques de este tipo cada vez son más sofisticados, ya que los delincuentes pueden perfilarnos 38 00:03:13,340 --> 00:03:18,939 previamente en base a datos personales robados o publicaciones que hagamos en redes sociales y 39 00:03:18,939 --> 00:03:25,340 donde, sin saberlo, estamos dando mucha información sobre nosotros. Supongamos que recibimos una 40 00:03:25,340 --> 00:03:29,599 llamada en nuestro teléfono móvil diciendo que nos llaman del departamento de nóminas de la 41 00:03:29,599 --> 00:03:35,259 consejería de educación y que se ha producido un error en el pago de nuestra nómina. Solicitan que 42 00:03:35,259 --> 00:03:40,340 verifiquemos nuestros datos bancarios, por lo que nos van a pedir el número de cuenta. Además, 43 00:03:40,340 --> 00:03:44,919 para demostrar que es totalmente verídico, nos indican en la llamada el banco en el que 44 00:03:44,919 --> 00:03:50,539 tenemos domiciliada la recepción del pago. ¿Le daríamos esa información? Podemos pensar que es 45 00:03:50,539 --> 00:03:56,180 una llamada legítima o quizás alguien ha obtenido un acceso parcial a nuestros datos profesionales 46 00:03:56,180 --> 00:04:02,699 y está utilizando esa información para engañarnos. Una técnica típica basada en la ingeniería social 47 00:04:02,699 --> 00:04:07,979 es el phishing. En este tipo de estafa, el delincuente suele utilizar correos electrónicos 48 00:04:07,979 --> 00:04:12,479 que se envían de manera masiva, intentando engañar a alguno de los destinatarios y así 49 00:04:12,479 --> 00:04:17,759 acceder a sus datos personales. Normalmente contienen un enlace que nos redirige una web 50 00:04:17,759 --> 00:04:22,379 que parece legítima, aunque en ocasiones también puede llevar un archivo adjunto que 51 00:04:22,379 --> 00:04:27,639 pretenden que ejecutemos. Esta técnica tiene muchas variantes, que se comentan con detalle 52 00:04:27,639 --> 00:04:33,420 en la documentación del blog. Para que veáis que esta amenaza es real, en la imagen que nos 53 00:04:33,420 --> 00:04:38,100 acompaña, podemos ver un intento de phishing que sufrió el correo de Ducamadrid hace poco tiempo. 54 00:04:42,689 --> 00:04:47,310 Otra técnica es el farming, en la que los atacantes simulan una página web que es 55 00:04:47,310 --> 00:04:52,769 idéntica a la que estamos intentando acceder. Esto se puede realizar por diferentes técnicas 56 00:04:52,769 --> 00:04:57,990 y es difícil de detectar si está bien realizado. La mayoría de programas de tipo antivirus suelen 57 00:04:57,990 --> 00:05:02,250 tener extensiones que se instalan en los navegadores y que nos avisan cuando la página 58 00:05:02,250 --> 00:05:07,490 a la que accedemos parece no ser legítima. Todo lo anterior puede parecer muy genérico, 59 00:05:07,970 --> 00:05:12,290 sin embargo, existen multitud de problemas en protección de datos que afectan a los 60 00:05:12,290 --> 00:05:17,290 centros educativos. Vamos a ver a continuación casos reales que hemos conocido en la delegación 61 00:05:17,290 --> 00:05:22,230 con el objetivo de que os podáis hacer una idea del nivel que está alcanzando la problemática 62 00:05:22,230 --> 00:05:28,370 y además poder detectar estas situaciones. En primer lugar, os mencionaré algunos problemas 63 00:05:28,370 --> 00:05:33,610 de seguridad que nada tenían que ver con los sistemas informáticos. En el primer caso se 64 00:05:33,610 --> 00:05:38,389 produjo un robo de documentación del centro por parte de un alumno al que se castigó a permanecer 65 00:05:38,389 --> 00:05:44,310 en el despacho de jefatura de estudios. Dicho alumno cogió las fichas de datos personales de 66 00:05:44,310 --> 00:05:50,529 sus compañeros y se las llevó a casa. Se descubrió todo porque en un recreo le dijo una compañera que 67 00:05:50,529 --> 00:05:55,689 sabía dónde vivía. Al final fue complicado recuperar gran parte de esas fichas que se 68 00:05:55,689 --> 00:06:02,250 perdieron. En el segundo de los casos, que es muy habitual, se produce una pérdida de exámenes o 69 00:06:02,250 --> 00:06:07,250 informes escritos de los que no hay copia de seguridad. Esto es algo que ocurre con frecuencia. 70 00:06:08,170 --> 00:06:13,990 Otros problemas típicos se deben a errores humanos. Os voy a comentar algunos. En el tercer caso, 71 00:06:14,230 --> 00:06:18,730 tenemos un docente que escribe su contraseña de raíces en el ordenador sin darse cuenta de que 72 00:06:18,730 --> 00:06:24,269 la pantalla donde está escribiendo está duplicada en la pizarra digital del aula, lo que provoca que 73 00:06:24,269 --> 00:06:30,110 los alumnos vean la contraseña que está escribiendo. Hemos tenido otro caso en el que 74 00:06:30,110 --> 00:06:35,129 se utiliza un aula virtual por parte del centro para guardar información de coordinación docente 75 00:06:35,129 --> 00:06:40,110 en la que hay documentos de carácter sensible y que por un error de configuración en el aula 76 00:06:40,110 --> 00:06:45,410 virtual se permite el acceso de invitados. Este caso fue descubierto por alumnos que accedieron 77 00:06:45,410 --> 00:06:51,329 a dicha información. Otro caso sería el de una carpeta compartida de manera incorrecta en el 78 00:06:51,329 --> 00:06:57,430 servicio de cloud, permitiendo el acceso público a cualquier usuario de internet. Esto nos ha pasado 79 00:06:57,430 --> 00:07:03,959 también en muchas ocasiones. Otro caso que se repite con frecuencia es el envío de un correo 80 00:07:03,959 --> 00:07:09,459 con información sensible sobre un alumno a todas las familias del centro o un destinatario que nada 81 00:07:09,459 --> 00:07:16,139 tenía que ver con el alumno. Otro caso muy frecuente que identificaré con el número 7 es la pérdida o 82 00:07:16,139 --> 00:07:21,500 robo de un dispositivo USB, disco duro externo u ordenador portátil mal protegido que además 83 00:07:21,500 --> 00:07:27,399 contenía datos personales de alumnos, en algunos casos de especial nivel de protección. Casi todos 84 00:07:27,399 --> 00:07:33,139 los meses tenemos en la delegación situaciones como estas. El octavo caso se refiere a un docente 85 00:07:33,139 --> 00:07:37,899 que abandona el equipo del aula con la aplicación Raíces Abierta, lo que permite a los alumnos 86 00:07:37,899 --> 00:07:43,259 acceder a toda su información almacenada y realizar cambios. Por último, os comentaré algunos 87 00:07:43,259 --> 00:07:49,319 problemas de seguridad debido a ataques recibidos. El caso nueve es el de un docente que no localiza 88 00:07:49,319 --> 00:07:54,720 un pendrive en el que almacenaba datos personales de alumnos. Cuando lo encuentra, descubre en su 89 00:07:54,720 --> 00:07:59,620 interior un mensaje personal dirigido a él que le advierte de que debe ser más cuidadoso con la 90 00:07:59,620 --> 00:08:05,420 gestión de sus dispositivos. El décimo caso lo encontramos en una escuela de enseñanzas artísticas 91 00:08:05,420 --> 00:08:10,259 donde encontraron una cámara oculta en un altavoz de un aula, a la que además se podía acceder 92 00:08:10,259 --> 00:08:16,199 remotamente. Otro caso más sería un centro que descubre un dispositivo conectado a un equipo 93 00:08:16,199 --> 00:08:20,620 del aula que registraba todas las pulsaciones de teclado de los docentes que usaban ese 94 00:08:20,620 --> 00:08:26,240 equipo. Los alumnos llevaban meses aprobando todos los exámenes, ya que al conocer la 95 00:08:26,240 --> 00:08:30,660 contraseña del docente podían acceder a los sistemas corporativos y ver todos los 96 00:08:30,660 --> 00:08:35,360 documentos que STAY preparaba. Por último, hemos tenido un caso en el que el director 97 00:08:35,360 --> 00:08:39,840 de un centro recibe un correo en el que se le falta el respeto gravemente, remitido desde 98 00:08:39,840 --> 00:08:44,779 el correo de otro profesor de su centro. Después de investigar el incidente, se descubre 99 00:08:44,779 --> 00:08:49,299 que el mensaje no había sido escrito por el profesor, sino por alumnos que habían utilizado 100 00:08:49,299 --> 00:08:55,740 una página web para simular la dirección de correo del docente. Otro aspecto a considerar y que ocurre 101 00:08:55,740 --> 00:09:00,440 con mucha frecuencia son las suplantaciones de identidad entre alumnos utilizando las cuentas 102 00:09:00,440 --> 00:09:06,460 de EducaMadrid en las que comparten las contraseñas con sus compañeros. Como hemos visto, existen 103 00:09:06,460 --> 00:09:11,919 muchos problemas de seguridad que están afectando actualmente a los centros educativos y que además 104 00:09:11,919 --> 00:09:17,360 pueden evolucionar según avance la tecnología. Por lo tanto, los docentes tenemos que ser 105 00:09:17,360 --> 00:09:22,539 conscientes de estas situaciones para intentar poner remedio ante estas amenazas. En el siguiente 106 00:09:22,539 --> 00:09:29,320 vídeo se verán algunas buenas prácticas que podemos aplicar para resolver este tipo de problemas.