El «hackeo» de A Estrada es el primero que se detecta en un instituto gallego

El hackeo descubierto en el IES Manuel García Barros de A Estrada es el primero detectado hasta el momento en un instituto gallego. A la Xunta no le constan precedentes de robos de contraseñas y vulneraciones masivas de la privacidad en ningún otro centro educativo de la comunidad.

No obstante, el caso estradense obliga a replantearse la seguridad de un sistema en el que flotan datos de gran sensibilidad que deberían contar con una protección extrema. Los cinco detenidos en A Estrada consiguieron las claves de los correos corporativos de 27 profesores y durante varios meses -al menos de febrero a mayo- pudieron revisar a sus anchas sus contenidos. Pudieron también entrar en las aulas virtuales del profesorado y acceder al XADE, el programa de gestión administrativa de los centros educativos de la Xunta, donde figuran datos personales y calificaciones del alumnado.

Según las investigaciones llevadas a cabo por la Guardia Civil, el objetivo prioritario del hackeo era en este caso la consecución de exámenes para su posterior distribución, sobre todo a través de grupos de WhatsApp. No obstante, en el proceso los autores de los hechos pudieron tener acceso a múltiples datos confidenciales, desde informes de salud hasta cuentas bancarias. 

El asunto cuenta además con el agravante de que un hackeo semejante podría haber sido cometido por cualquier persona con conocimientos medios de informática, ya que solo es necesario instalar un programa pirata que registra en un archivo todo lo que se teclea en el navegador.

Ante esta vulneración manifiesta de la seguridad, la Consellería de Educación ha anunciado que trabajará con la Axencia para a Modernización Tecnolóxica de Galicia (Amtega) -la responsable del sistema informático corporativo de los centros- para revisar y valorar los procedimientos de acceso del profesorado a correos y plataformas profesionales. Además, está previsto incrementar la información al profesorado en este ámbito.

En el plano judicial, los cinco alumnos detenidos y las diez personas investigadas -nueve alumnos y una profesora de pasantía- permanecen en libertad a la espera de su comparecencia ante el juez, para la que todavía no se ha fijado fecha. La Consellería aún no ha decidido si se personará en el caso, pero garantiza asistencia legal gratuita a los docentes que la soliciten.

Manual básico para garantizar la seguridad en los equipos

El caso de A Estrada ha despertado voces críticas entre el profesorado gallego que hablan de desamparo y echan en falta apoyo formativo e informativo de Educación para detectar y prevenir hackeos. La Axencia para a Moderniazación Tecnolóxica de Galicia ha facilitado algunas reglas básicas de seguridad en cuanto al uso de dispositivos tecnológicos que prevé difundir y ampliar entre el personal docente de cara al próximo curso.

equipos compartidos

Evitar su uso para acceder a sistemas y aplicaciones con contraseña. La Xunta recomienda no acceder a sistemas y aplicaciones que requieran de credenciales personales desde equipos de uso compartido. 

antivirus

Actualizaciones automáticas. La Axencia para a Modernización Tecnolóxica de Galicia considera necesario mantener actualizados los antivirus y los parches de seguridad del sistema operativo de los ordenadores del centro. Apuesta por configurar los equipos para que las actualizaciones de seguridad se instalen de forma automática, sin que el usuario del equipo lo pueda evitar. 

solicitar ayuda

Reportar las incidencias. En caso de detectar alguna posible incidencia de seguridad, los afectados deben informar «de forma inmediata» a la Unidade de Atención a Centros (UAC). 

revisar antes de usar

Ojo con el navegador. El Sindicato de Traballadoras e Traballadores do Ensino de Galicia ofrece sus propias recomendaciones para evitar casos como el estradense. A falta de soluciones técnicas más difíciles de implementar, aconseja que en los ordenadores de uso compartido se revise el navegador para comprobar que no tenga complementos tipo keylogger que cualquiera podría instalar -sin necesidad de permisos- para copiar lo tecleado.