Image Image Image Image Image Image Image Image Image Image

Repensar Educativo | August 24, 2017

Scroll to top

Top

No Comments

Vulnerando la educación en el Perú. Mejorando la seguridad - Repensar Educativo

Vulnerando la educación en el Perú. Mejorando la seguridad
Miguel Guerra
¡Comparte y difunde!

La educación y la seguridad en el Perú me recuerda la frase del pensador Ralph Waldo Emerson: “Los años enseñan muchas cosas que los días jamás llegan a conocer”. Existen [ciber] lugares que guardan información que podría ser vulnerada, sitios educativos que alcanzan un nivel de riesgo con los datos que almacenan.

El sector educativo en el país crece rápidamente, es por ello que las instituciones estatales y privadas deberían preocuparse por proteger los datos privados de los estudiantes y defender la información e imagen de la empresa, caso contrario podrían extraer: Nombres de alumnos, DNI, padres y profesores, teléfonos, domicilios, correos, mensualidades, horarios, claves, procesos internos y mucho más.

La delincuencia a la que todos están expuestos, incluidos los estudiantes, se le suma el peligro de los cibercriminales, cada vez más organizados para acosar, extorsionar u obtener datos que terminan en el mercado negro. Es decir, la información de estudiantes de colegios, academias, institutos y universidades a nivel nacional está en peligro, posiblemente los datos de sus hijos estés expuestos para fines maliciosos sin que los centros educativos lo percaten al no cumplir con el estándar de seguridad en sus páginas web y servidores.

Peligro latente

Bastan añadir unos comandos para encontrar páginas con fallas de seguridad, errores que podrían ser aprovechados por gente inescrupulosa. ¿Quién controla aquello? Obviamente los centros educativos deberían preocuparse por brindar un servicio que evite el robo de información de los alumnos.

Este análisis tan sencillo se realizó solo en Centros Educativos del Perú a nivel nacional, y se hallaron errores que permiten ver Carpetas sin protección que permiten visualizar o copiar documentos, fallos para obtener información del sistema, los indeseables errores para modificar una página (deface) y hasta vulnerabilidades para robar información con un Metasploit y SQL Injection.

Estadísticas:

directorios

22, 700 páginas en donde las carpetas no están protegidas, es decir, se pueden ver que documentos hay en su interior, se podrían guardar los archivos y analizar la distribución o esquema de la página para recopilar información para un posible ataque.

||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||

archivos-sistema

||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||

Recomendaciones:

Cabe señalar que solo expuse dos ejemplos de los siete comandos que utilicé, y de los cerca de 500 que pueden existir. Un problema por el que pasan empresas e instituciones sin darse cuenta.

– No guarden archivos con las contraseñas en los servidores vía FTP, podrán ser encontrados fácilmente.

– Si reciben el reporte de una persona indicando una falla en su web, les aconsejo lo escuchen, muchos desean contribuir. Personalmente he avisado de errores de seguridad a universidades y empresas, aunque muchas nunca me han prestado atención.

– Se recomienda añadir un código para que Google no absorba esta información en sus resultados. Añadir (o crear) al archivo robots.txt lo siguiente:

User-agent: *
Disallow: /cgi-bin/
Disallow: /tmp/

– Para algo más estricto añadir en la web la meta-etiqueta que indica que no se indexe ningún enlace del sitio.

<META NAME=”ROBOTS” CONTENT=”NOINDEX, NOFOLLOW”>

Submit a Comment

Please type the characters of this captcha image in the input box

Por favor escriba los carácteres de la imagen para poder publicar su comentario.