La ciberseguridad en las universidades es un problema crítico, que preocupa tanto a cada institución individual como a los gobiernos nacionales. El informe Clusit 2025, de hecho, destaca cómo las instituciones educativas pueden tener, por el número de usuarios y la diversidad de actividades, la misma complejidad que una multinacional de gran tamaño y, del mismo modo, ser víctimas de los ciberdelincuentes.
En su Cybersecurity Breaches Survey, el Gobierno del Reino Unido documenta que, en 2024, el 97 % de las instituciones de educación superior sufrieron un ataque informático. Las violaciones pueden ser de distintos tipos: phishing, virus, ataques DDoS – Distributed Denial of Service, robo de identidad digital, etc.
Por lo tanto, es necesario implementar estrategias que garanticen un nivel adecuado de ciberseguridad en las universidades, con el fin de proteger a la institución tanto de daños financieros como de perjuicios a la propiedad intelectual o, por último, a su reputación.
Ciberseguridad para las universidades: cómo actuar
A los graves riesgos ya mencionados, se suma la necesidad de cumplir con la normativa vigente. Las universidades pueden estar incluidas en el PSNC – Perímetro de Seguridad Nacional Cibernética, en función de las actividades de investigación realizadas en sectores críticos como, por ejemplo, telecomunicaciones y energía.
El departamento de seguridad de la universidad y, en general, la Dirección de TI tienen una responsabilidad crítica, que entra en conflicto con el mundo de la investigación científica, el cual no siempre está dispuesto a seguir las directrices centrales sobre el uso de la tecnología.
Por ello, se recomienda que la implementación de una política de ciberseguridad en las universidades se base en buenas prácticas que respeten los hábitos consolidados. A continuación, se presentan 5 formas de proteger los datos de las universidades:
- Integración de la ciberseguridad desde las primeras etapas. La ciberseguridad debe considerarse un elemento imprescindible en cualquier iniciativa que utilice servicios digitales. Por ello, es recomendable que, desde la fase de concepto, un perfil especializado en ciberseguridad forme parte del equipo del proyecto. Esto tiene importantes implicaciones organizativas, ya que la digitalización es omnipresente y diversa; basta pensar, por ejemplo, en los LMS – Learning Management Systems, los portales de servicios (registro electrónico, portal del estudiante, etc.), o en las múltiples aplicaciones científicas de los grupos de investigación, así como en las aplicaciones de backend. Es necesario, por tanto, prever perfiles y políticas específicas que garanticen la supervisión de la ciberseguridad en cada iniciativa de proyecto.
- Difusión de la información y formación. La formación no se limita a los especialistas en ciberseguridad, sino que debe entenderse como una difusión de la cultura de la seguridad hacia todos los tipos de usuarios: estudiantes, docentes, personal administrativo, etc. La concienciación es un factor estratégico. Es imperativo fomentar una cultura de la ciberseguridad, ya que los hackers suelen aprovechar los descuidos o incumplimientos individuales. El entorno universitario es abierto, colaborativo y sujeto a intercambios internacionales; además, el elevado número de dispositivos personales puede ofrecer una superficie de ataque muy amplia. Por lo tanto, la protección de los datos no puede prescindir de un uso correcto de la tecnología a nivel personal.
- Creación de un equipo centralizado. El CSO – Chief Security Officer y su equipo supervisan la ciberseguridad a nivel central: de ellos dependen las figuras responsables de la ciberseguridad en los distintos proyectos. Esto permite alcanzar un doble objetivo: el primero es garantizar una supervisión unificada de los temas relacionados con la seguridad; el segundo es asegurar el cumplimiento de las políticas a nivel local (también mediante auditorías). Las políticas centrales incluyen, por ejemplo, la autenticación multifactor para que los docentes accedan al registro electrónico, o la gestión avanzada de las cuentas de estudiantes y personal. Cabe destacar que el informe del gobierno británico mencionado anteriormente señala que una de las principales causas de las brechas de datos es el acceso no autorizado a recursos digitales por parte del personal interno.
- Monitoreo. Para garantizar la seguridad de los datos, es imprescindible contar con plataformas de software de control. Estas plataformas supervisan constantemente el tráfico de datos y el funcionamiento de los sistemas con el fin de detectar actividades sospechosas. El mercado ofrece soluciones de monitoreo tanto a nivel de infraestructura como a nivel de aplicaciones, como, por ejemplo, las plataformas Dynatrace o Splunk. La elección depende no solo de consideraciones económicas, sino también de la cobertura funcional en los distintos ámbitos de control (red, cloud, endpoints, etc.), de la interoperabilidad con otras plataformas existentes o, por último, de la disponibilidad de funcionalidades avanzadas, como la Inteligencia Artificial o los dashboards personalizables.
- Identificación de una alianza especializada. La definición de políticas de seguridad óptimas, la continua evolución tecnológica, el cumplimiento normativo y, por último, la actualización constante sobre vulnerabilidades requieren competencias especializadas y en permanente actualización. La ciberseguridad no es una actividad puntual, sino un ámbito en constante evolución. Por ello, es recomendable identificar un socio especializado en ciberseguridad, capaz no solo de ofrecer soluciones tecnológicas adecuadas a la realidad específica, sino también de proporcionar un soporte actualizado y continuo.
La ciberseguridad en las universidades es fundamental para crear entornos seguros, capaces de proteger los activos informativos, los datos sensibles de estudiantes y personal, así como la propiedad intelectual de investigaciones y estudios académicos. Además del riesgo de fuga de información, los ataques pueden provocar interrupciones prolongadas, costes significativos de recuperación y también dañar la reputación de la institución. Asimismo, la pérdida de confianza por parte de los estudiantes y los stakeholders puede tener consecuencias a largo plazo, comprometiendo el poder de atracción de la universidad.
Por tanto, la ciberseguridad no debe considerarse únicamente como una medida de protección, sino como un elemento estratégico para el desarrollo futuro y la competitividad de las instituciones académicas. Invertir en soluciones de seguridad avanzadas y en la formación del personal es esencial para afrontar los desafíos actuales y futuros del panorama digital.
