VULNERABILIDAD EXPONE LA INFORMACIÓN DE LOS ALUMNOS DE LA
UNIVERSIDAD DE STANFORD
FEBRUARY 20, 2019
Cerca de 100 alumnos
fueron afectados por el incidente
Especialistas en
seguridad en redes del Instituto Internacional de Seguridad Cibernética
reportan una vulnerabilidad en uno de los sistemas en línea de la Universidad
de Stanford que permite a los estudiantes visualizar sus registros dio a uno de
los alumnos la capacidad de ver las calificaciones de la educación secundaria
de otros estudiantes.
La clave de la filtración, aparentemente, fue
solicitar con antelación acceso a los documentos de admisión de la Universidad
conforme a la Ley de Privacidad y Derechos Educativos de la Familia (FERPA).
Acorde a los
especialistas en seguridad en redes, gran
variedad de datos se filtraron debido a la vulnerabilidad. Entre la información comprometida se pueden
encontrar:
·
Números de seguro social de los estudiantes
·
Domicilio
·
Origen étnico
·
Registros criminales
·
Puntajes en exámenes
estandarizados
·
Solicitudes de becas
Mientras la investigación
se llevaba a cabo, un estudiante pudo acceder a información sobre 81 de sus
compañeros de universidad, además, otros investigadores encontraron información
perteneciente a otra docena de estudiantes. La información comprometida fue
filtrada a través de una URL; la Universidad de Stanford afirma que cada uno de
los 93 estudiantes afectados durante el incidente será notificado de forma
directa.
El sistema comprometido,
llamado NolijWeb, fue actualizado recientemente, comentan los especialistas en
seguridad en redes. Los investigadores estudiantiles y la gaceta de la
Universidad de Stanford cumplieron con los protocolos establecidos por la
comunidad de la ciberseguridad para notificar la vulnerabilidad y el robo de
datos.
Desde que el incidente
fue detectado, el equipo de TI de la Universidad de Stanford inhabilitó el
sistema NolijWeb, que permitió acceder a los registros de otros alumnos.
Asimismo, la institución educativa suspendió el acceso en línea a los
documentos de FERPA, al menos hasta que termina la investigación del incidente.
Análisis:
Una posible
explicación que justifique dicho incidente podría ser que la Universidad no
actualizo sus políticas de acceso a la información. Siguiendo el principio del mínimo
privilegio (un usuario sólo debe tener acceso a aquella información
estrictamente necesaria para desempeñar sus funciones diarias). Ahora bien, en ningún
momento se menciona si la extracción de información ocurrió dentro o fuera de
sus instalaciones, lo cual podría ayudar a delimitar un poco el espectro de
posibles errores.
Una forma de prevenirlo
pudo haber sido una mejor clasificación de la información y determinar que era
conveniente mantener en la nube y que información era lo suficientemente
delicada como para buscar otras formas de almacenarla.
Por ahora, puede
que la universidad sufra consecuencias de imagen e incluso hasta legales por no
haber sido capaces de mantener segura la información. Sin embargo, siempre es
necesario pensar en una solución y lo que se me ocurre es que de inicio
realizar auditorías por las autoridades pertinentes y redactar un informe
preliminar, determinar el estado de la situación y posteriormente realizar una reunión
con el gabinete de crisis e identificar las deficiencias del sistema y establecer
un plan detallado de acción con el cual puedan resolver el problema que causo
la fuga, de igual forma, abarcar casos extraordinarios que tal vez no habían
considerado en donde su sistema se vuelva vulnerable y contrarrestarlo.
Escrito por : Víctor Ariel Rodríguez
Hernández
No hay comentarios.:
Publicar un comentario