La Universidad La Sapienza de Roma, la grande de Europa, estuvo más de tres sin Internet a primeros de febrero tras un presunto ciberataque. Un 60% de las universidades iberoamericanas ha sido blanco de algún tipo de ciberataque en los últimos 12 meses, según el Índice de Madurez en Ciberseguridad de las instituciones de Educación Superior, elaborado por MetaRed y la SEGIB. Informaciones como éstas nos han llevado a buscar la voz en dos entrevistas de expertos en ciberseguridad, uno procedente del ámbito académico, Arturo Azcorra, ex director del IMDEA Network y Catedrático de la UC3M , y otro del ámbito empresarial, Fernando Mairata, presidente de la Asociación profesional de peritos de nuevas tecnologías, cuyas opinones compartimos a continuación.
Arturo Azcorra, ex director de IMDEA Network, es catedrático de Ingeniería Telemática en la Universidad Carlos III de Madrid y director del IMDEA Networks Institute, con una trayectoria consolidada en investigación y desarrollo de comunicaciones y redes avanzadas, especialmente en tecnologías 5G y telecomunicaciones. Su trabajo académico y científico ha tenido impacto notable en el ámbito de la ingeniería de redes tanto en el contexto español como internacional, contribuyendo a la generación de conocimiento y a la formación de profesionales en su campo.
Fernando Mairata de Anduiza es actualmente CEO de DLTCode y presidente del grupo Armora, además de presidir la PETEC Asociación Profesional de Peritos de Nuevas Tecnologías, donde impulsa iniciativas relacionadas con ciberseguridad y formación digital. Su carrera se caracteriza por una amplia experiencia en tecnologías de la información y comunicación, así como por su labor docente y su participación activa en la promoción de la cultura de la seguridad digital en distintos ámbitos profesionales y educativos.
¿Cuáles son hoy las principales ciberamenazas que afectan a las universidades españolas y qué actores o fuentes son los más habituales en estos ataques?
Arturo Azcorra: Las universidades están particularmente expuestas a ciberataques debido a tener un gran número de alumnos en el interior de la red de la universidad, con cuentas de acceso a servidores, y un mayor acceso físico a los sistemas. Esto facilita mucho los ciberataques por parte de los alumnos, en particular en universidades con estudios de teleco o informática.
Al mismo tiempo, facilita la venta de credenciales de acceso en la darknet, ya que los alumnos sienten una menos responsabilidad institucional hacia la universidad que un empleado. Estos ataques con credenciales de acceso internas son adicionales a los ciberataques externos, donde las universidades tienen un nivel de riesgo similar al de otras entidades.
¿Nos podría comentar por qué las universidades son un objetivo prioritario para los ciberdelincuentes?
Fernando Mairata: Las universidades son «minas de oro» digitales por tres razones: Manejan datos valiosos: Tienen información personal, bancaria y médica de miles de personas. Investigación puntera: Guardan secretos científicos y proyectos tecnológicos que valen mucho dinero. Son entornos abiertos: A diferencia de un banco, una universidad necesita que miles de estudiantes y profesores se conecten desde cualquier lugar, lo que crea muchas «puertas» de entrada para los atacantes.
Las universidades son «minas de oro» digitales
Fernando Mairata
¿Cuáles son las principales ciberamenazas a las que se enfrentan las universidades españolas y de dónde proceden?
Fernando Mairata: Las amenazas más comunes son el phishing (correos falsos para robar contraseñas) y el ransomware (virus que secuestran los datos y piden un rescate económico). ¿De dónde vienen? Pueden ser desde grupos criminales organizados que buscan dinero rápido, hasta agentes extranjeros que intentan robar investigaciones estratégicas.
¿Qué impacto pueden tener los ciberataques en la actividad académica y administrativa, y cómo pueden verse afectados estudiantes y profesores (pérdida de datos, suplantación, interrupción de servicios, etc.)?
Arturo Azcorra: Aquellas universidades que desarrollan investigación científica y/o tecnológica, son objeto de robo de datos de investigación con altísimo valor comercial.
Los ataques de los alumnos “convencionales” suelen ser no destructivos que buscan probarse a sí mismos o en ocasiones modificarse las notas. Por otro lado, los alumnos extranjeros, bien permanentes o de intercambio, tienen una probabilidad mucho más alta que los españoles de ser agentes de gobiernos extranjeros o de pertenecer a organizaciones criminales. En este caso, son altamente peligrosos dado que disponen de conocimientos y medios técnicos muy avanzados, y de una clara motivación finalista.
Adicionalmente a lo anterior, las universidades están expuestas a los mismos ataques externos que cualquier entidad: phishing, ransomware, malware, guerra híbrida, denegación de servicio, etc.
Fernando Mairata: Un ataque no solo detiene las clases. Puede significar: Robo de identidad: Que usen tu nombre para pedir créditos o cometer fraudes. Pérdida de trabajo: Investigaciones de años borradas en un segundo. Parálisis total: No poder acceder a notas, becas, nóminas o plataformas de estudio durante semanas
¿Cuál es el nivel actual de madurez en gobernanza de ciberseguridad dentro de las universidades españolas? ¿Son conscientes las universidades de los riesgos actuales para su ciberseguridad?
Fernando Mairata: Sí, la mayoría ya sabe que el riesgo es real. El problema no es la falta de conciencia, sino la falta de recursos. A menudo, la ciberseguridad compite con otras prioridades (como becas o infraestructuras físicas), y solo se invierte con fuerza cuando el ataque ya ha ocurrido.
Arturo Azcorra: El nivel de ciberseguridad es bueno, pero no tengo información sobre los marcos de referencia que adoptan.
¿Cuentan las universidades con personal especializado, infraestructura adecuada y protocolos consolidados para las fases de identificación, protección, detección, respuesta y recuperación? ¿Qué diferencias existen entre universidades públicas y privadas en estos aspectos?
Arturo Azcorra: Las universidades cuentan con personal especializado, infraestructura adecuada y protocolos consolidados. El nivel de cualificación de los Servicios de Informática de las universidades es, con carácter general, muy alto en cuestiones de ciberseguridad. Cuentan además con el apoyo de empresas de servicios especializadas a quienes contratan labores que requieran una cualificación particularmente elevada. No creo que haya diferencias significativas entre universidades públicas y privadas, si bien no tengo una muestra amplia de datos con la que respaldar esta opinión con carácter general.
Dicho esto, sería muy conveniente dotar a las universidades de un mecanismo de colaboración y compartición de experiencias, métodos y resultados, de cara a reforzar la lucha conjunta y la difusión de las mejores prácticas.
Fernando Mairata: Todas tienen protocolos, pero la ejecución varía: Personal: Hay una escasez mundial de expertos en ciberseguridad, y las universidades suelen tener equipos pequeños. Diferencias: Las privadas suelen tener procesos de compra de tecnología más rápidos. Las públicas dependen de presupuestos estatales y procesos administrativos más lentos, aunque muchas veces colaboran mejor entre ellas para compartir soluciones.
Sería muy conveniente dotar a las universidades de un mecanismo de colaboración y compartición de experiencias, métodos y resultados, de cara a reforzar la lucha conjunta y la difusión de las mejores prácticas
Arturo Azcorra
¿Cómo afecta a la seguridad informática el hecho de que buena parte de los datos correspondan a aspectos tan sensibles y personales como los que están vinculados a la educación de una persona?
Fernando Mairata: Los datos educativos son «datos para toda la vida». Si te roban la tarjeta de crédito, la cancelas y ya está. Pero tu historial académico, tus becas o tus datos personales te acompañan siempre. Si esa información se filtra, el daño a la reputación y a la privacidad es permanente.
En relación con los sistemas de Control de Acceso a la Red (NAC), ¿están suficientemente informados los usuarios (profesorado y estudiantes) sobre cómo funcionan y sobre las implicaciones de su uso? ¿Cómo se garantiza la privacidad de los datos dentro de estos sistemas?
Arturo Azcorra: Los sistemas de acceso en algunas universidades deberían mejorarse. Como indicaciones concretas:
Es imprescindible incorporar sistemas que comprueben, e impidan, la selección de contraseñas débiles. Las contraseñas robustas tienen longitudes suficientemente largas (mínimo de diez caracteres), con combinación de letras mayúsculas y minúsculas, números y caracteres especiales, sin la secuencialidad ni repetición de caracteres, ni una similitud excesiva respecto a contraseñas anteriores.
Es imprescindible obligar al cambio de contraseñas con una periodicidad suficiente, en torno a los nueve meses. Es imprescindible separar las redes y sistemas internos por niveles de seguridad, con fuertes cortafuegos y sistemas de protección entre ellas. Como mínimo, separar las redes y sistemas de administración, los de profesorado y las de los alumnos. Es imprescindible introducir sistemas de autenticado de dos factores para el acceso remoto a la red (VPN), y para el acceso a determinados sistemas y servicios.
Fernando Mairata: El NAC es como un «portero» que revisa tu móvil o portátil antes de dejarte entrar a la red de la universidad para ver si estas autorizado a entrar. Casi nunca se explica bien a los usuarios; se ve como una molestia técnica. La privacidad está garantizada si se configura bien, pero los usuarios suelen tener miedo de que la universidad «espíe» lo que hacen. El reto es comunicar que el sistema mira la seguridad del dispositivo, no el contenido del mismo.
Dado el aumento del malware orientado al robo de credenciales (58% según el Global Cyber Risk Outlook Report 2025), ¿qué riesgos supone para la institución la filtración o reutilización de credenciales de estudiantes y profesores?
Fernando Mairata: El gran peligro es la reutilización de contraseñas. Muchos usan la misma clave para el correo de la facultad, su Instagram y su banco. Si un ciberdelincuente roba la contraseña de la universidad, automáticamente tiene la llave de toda la vida digital de esa persona y una vía libre para entrar en los sistemas más profundos de la institución.
Arturo Azcorra: Como se ha indicado con anterioridad, la existencia de gran número de alumnos, con una presencia no despreciable de alumnos extranjeros, supone un riesgo de venta, filtración y mal uso de las credenciales de acceso.
Los datos educativos son «datos para toda la vida». Si te roban la tarjeta de crédito, la cancelas y ya está. Pero tu historial académico, tus becas o tus datos personales te acompañan siempre. Si esa información se filtra, el daño a la reputación y a la privacidad es permanente
Fernando Mairata
¿En qué medida ha aumentado la sofisticación de los ataques (uso de IA generativa, ransomware-as-a-service, phishing hiperrealista) y qué retos supone esto para el sector?
Fernando Mairata: Los delincuentes ahora usan Inteligencia Artificial para escribir correos de engaño perfectos, sin faltas de ortografía y que imitan la voz de un decano o rector. Esto hace que sea casi imposible distinguir un mensaje real de uno falso. El reto es que la defensa ahora debe ser tan rápida y «lista» como el ataque.
¿Qué dificultades tienen las universidades para atraer y retener profesionales especializados en ciberseguridad, y cómo puede impactar esto en su capacidad de protección futura?
Arturo Azcorra: Todo el sector público español, incluyendo las universidades públicas (que no las privadas), tiene grandes dificultades para tener profesionales cualificados en tecnologías de información y las comunicaciones debido al igualitarismo salarial que opera en todo el sector público.
Es completamente absurdo que el salario del sector público en una plaza determinada dependa principalmente del nivel del título académico (FP, grado o master) de la plaza y de la antigüedad, ignorando por completo la disciplina. En el sector privado se valoran los conocimientos en base a la dificultad de obtenerlos y de su rendimiento comercial. En el sector privado no se paga por igual a un titulado en la disciplina X, con gran experiencia en la actividad Y, que a un titulado en la disciplina W, con gran experiencia en la actividad Z.
En el sector público de otros países el salario se aproxima al del sector privado, para poder obtener profesionales cualificados. En las universidades públicas norteamericanas los salarios se aproximan a los del sector privado. El colectivo con mayor salario en las universidades públicas norteamericanas no son el equipo rectoral ni los investigadores de mayor prestigio, sino los entrenadores deportivos, por la sencilla razón que es lo que el mercado laboral determina.
Como consecuencia, los entrenadores de futbol y baloncesto tienen con frecuencia salarios superiores al millón de dólares. Los profesores tampoco cobran por igual. Típicamente, los salarios más altos son los de catedráticos de medicina, con sueldos en torno a los 500.000 dólares. Los catedráticos de tecnologías de la información tienen sueldos en torno a 300.000 dólares. Sin embargo, los catedráticos de humanidades pueden estar en torno a los 120.000 dólares.
El resultado de la política igualitarista del sector público español es que en aquellas disciplinas donde el sector público paga más que el sector privado se produce una inmensa competencia por obtener puestos públicos. Sin embargo, en las disciplinas donde el sector público paga menos que el sector privado, hay grandes dificultades para cubrir las plazas con personal de suficiente cualificación.
Esta es la razón por la que en el sector público español, incluidas las universidades públicas, hay grandes dificultades para incorporar profesionales cualificados en el sector TIC, incluida la ciberseguridad. Este problema no afecta a las universidades privadas, que ofrecen sueldos en base al mercado laboral.
Si el igualitarismo en sueldos y la tendencia de infrafinanciación en las universidades públicas españolas continúa, la ciberseguridad será sin duda uno de los ámbitos donde se producirán problemas muy significativos
Arturo Azcorra
¿Qué medidas prioritarias deberían adoptar los rectorados para mejorar la resiliencia ante los riesgos cibernéticos emergentes?
Fernando Mairata: Los rectores deben entender que la ciberseguridad no es un «tema de los informáticos», sino de supervivencia institucional, no es un “gasto” es una INVERSIÓN: Inversión continua: No esperar a ser atacados para comprar escudos. Formación: Enseñar a cada alumno y profesor a dudar de mensajes sospechosos. Cultura de prevención: Hacer simulacros de ataque para saber cómo reaccionar y recuperar los datos rápido si algo falla.
¿De qué manera condicionan las limitaciones presupuestarias la implantación de medidas avanzadas de prevención, monitorización y respuesta ante incidentes?
Arturo Azcorra: Hay una tendencia creciente a infrafinanciar las universidades públicas, lo que está reduciendo su calidad en múltiples ámbitos, incluida la ciberseguridad. La gran mayoría de los gobiernos autonómicos no considera esto un problema grave, dado que la reducción de calidad es algo que el votante tiene dificultades para percibir, y por tanto, el político electo no lo considera algo importante. Sin embargo, España pagará muy cara esta desatención a las universidades públicas, dado que un país vale tanto como la cualificación de su población. Si generamos profesionales mediocres, tendremos un país mediocre.
La cualificación de la población en sectores de alta tecnología (TIC, bio, aeroespacial, etc) es esencial para una alta renta per cápita que garantice nuestro estado del bienestar. Esto se aplica en los países líderes en tecnología (Korea, China, Alemania, Estados Unidos, …) con excelentes resultados.
Si no hay suficientes fondos para garantizar una calidad suficiente en todos los sectores, será necesario aplicar distintas políticas que permitan garantizarlo: priorización presupuestaria por sectores, co-pago, reducción del número de alumnos por profesor, etc.
La cualificación de la población en sectores de alta tecnología es esencial para una alta renta per cápita que garantice nuestro estado del bienestar
Arturo Azcorra
Por último. ¿Qué importancia tiene la cultura de seguridad y la formación continua del personal y del estudiantado para reducir el riesgo de incidentes?
Arturo Azcorra: La cultura de seguridad y la formación continua del personal y del estudiantado es sin duda muy importante. Pero es mucho más importante contar con los procedimientos y los medios técnicos y humanos necesarios. Un buen ejemplo es la selección y actualización de contraseñas. Es infinitamente más eficaz (y más cost-effective) que el sistema no permita la utilización de contraseñas débiles, y que fuerce a su actualización periódica, que hacer campañas de concienciación en este sentido.
Si el igualitarismo en sueldos y la tendencia de infrafinanciación en las universidades públicas españolas continúa, la ciberseguridad será sin duda uno de los ámbitos donde se producirán problemas muy significativos.
ENTREVISTA POR ALFONSO GONZALEZ Y CECILIA LLOP ESdiES
