El mercado negro de los certificados académicos

24 Jun 2019

¿Los exámenes no van según lo planeado? Puede pasarle a cualquiera. Muchos de los afectados se repondrán, los volverán a hacer o cambiarán su objetivo. Pero, en algunos casos, los estudiantes pueden considerar la opción de hacer trampa para alcanzar el éxito.

A lo largo de los años, se ha desarrollado una industria clandestina que juega con ese tipo de tentación y que cuenta con foros de discusión, así como tutoriales en vídeo sobre cómo hackear el sistema de un colegio para falsear los certificados y diplomas para venderlos en el mercado negro. Por ello, decidimos investigarlo y comprobar qué pueden hacer las escuelas y universidades para protegerse tanto a sí mismos como a sus estudiantes.

Cómo usan los estudiantes los diplomas de la dark web y las calificaciones falsificadas para hacer trampa y alcanzar la excelencia académica

Cómo se obtiene acceso a las calificaciones

Muchas escuelas han introducido plataformas de información basadas en web para sus actividades, tareas, evaluaciones, comunicaciones entre padres y profesores, etc. Algunas funciones están abiertas a Internet y muchas de estas plataformas, incluidas algunas de las más usadas, suelen ser vulnerables.

Una de las plataformas de información para escuelas más popular es PowerSchool, conocida por haber presentado una vulnerabilidad (CVE-2007-1044) que permitiría a un atacante hacer una lista del contenido de la carpeta del administrador mediante una URL manipulada. El impacto de esta vulnerabilidad depende de los ajustes del servidor web y de las carpetas que contenga.

No obstante, las vulnerabilidades y exploits como este no permiten a un atacante saltarse la autenticación ni escalar privilegios para obtener acceso al tipo de información que los hackers de calificaciones buscarían. Para ello, existe una vía más fácil: usar las credenciales de cuenta.

La puerta de enlace de PowerSchool, como la de otras muchas plataformas, solo se protege mediante un usuario y una contraseña.

Las páginas de inicio de sesión del sistema online PowerSchool.

En marzo del 2019, algunos estudiantes fueron acusados de haber hackeado PowerSchool con la finalidad de cambiar sus calificaciones y mejorar sus registros de asistencia. Y como los usuarios utilizan los mismos accesos en diferentes webs, es muy probable que estos portales estén siendo hackeados mediante información robada o reutilizada. Estas cuentas se pueden obtener mediante diferentes métodos, desde simplemente copiarlos desde una nota adhesiva en el teclado del profesor a un hackeo de verdad o un recopilado de credenciales en la red del colegio o universidad. De manera alternativa, los estudiantes pueden contratar a un hacker para que lo haga por ellos.

El hackeo de servicios y los diplomas falsificados en el mercado negro

Una búsqueda online realizada el 12 de junio nos condujo hacia una oferta online para hackear servicios y obtener certificados, diplomas y calificaciones falsificados de diferentes instituciones y que parecen auténticos. El proceso es claro y simple y cuenta con un formulario de pedido e información de contacto.

Un mercado negro online que vende certificados y diplomas de diferentes instituciones.

Mejora la seguridad en la educación

Entonces, ¿qué pueden hacer las escuelas, universidades y las empresas que buscan nuevo talento con calificaciones impecables para asegurarse de que lo que están viendo es real?

Cuando se trata de los certificados y diplomas, las organizaciones deberían verificar su autenticidad con la institución que lo ha emitido. Si no hay registro de que el estudiante haya obtenido dicha certificación, es probable que sea falsa.

En el caso de sistemas de información basados en web, con una serie de medidas básicas bastaría para proteger a los empleados, los estudiantes y la información:

  • Implementa algún tipo de autenticación de dos factores cuando sea posible, en particular para acceder a los registros, calificaciones y evaluaciones de los estudiantes. Establece unos controles de acceso fuertes y apropiados para que no sea tan fácil que un hacker pueda moverse por el sistema.
  • En el campus, ten dos redes Wi-Fi separadas y protegidas, una para el personal y otra para los estudiantes. Sería buena idea tener una tercera red aislada para visitantes.
  • Introduce y refuerza la política de contraseñas del personal y anima a todos para que mantengan la confidencialidad de sus credenciales de acceso en todo momento.
  • Usa una solución de seguridad de confianza para contar con una protección completa contra un amplio abanico de amenazas.