educación

El mercado negro de los certificados académicos

Cómo algunos estudiantes buscan la excelencia académica con diplomas de la dark web y calificaciones hackeadas.

David Jacoby
24 Jun 2019

¿Los exámenes no van según lo planeado? Puede pasarle a cualquiera. Muchos de los afectados se repondrán, los volverán a hacer o cambiarán su objetivo. Pero, en algunos casos, los estudiantes pueden considerar la opción de hacer trampa para alcanzar el éxito.

A lo largo de los años, se ha desarrollado una industria clandestina que juega con ese tipo de tentación y que cuenta con foros de discusión, así como tutoriales en vídeo sobre cómo hackear el sistema de un colegio para falsear los certificados y diplomas para venderlos en el mercado negro. Por ello, decidimos investigarlo y comprobar qué pueden hacer las escuelas y universidades para protegerse tanto a sí mismos como a sus estudiantes.

Cómo se obtiene acceso a las calificaciones

Muchas escuelas han introducido plataformas de información basadas en web para sus actividades, tareas, evaluaciones, comunicaciones entre padres y profesores, etc. Algunas funciones están abiertas a Internet y muchas de estas plataformas, incluidas algunas de las más usadas, suelen ser vulnerables.

Una de las plataformas de información para escuelas más popular es PowerSchool, conocida por haber presentado una vulnerabilidad (CVE-2007-1044) que permitiría a un atacante hacer una lista del contenido de la carpeta del administrador mediante una URL manipulada. El impacto de esta vulnerabilidad depende de los ajustes del servidor web y de las carpetas que contenga.

No obstante, las vulnerabilidades y exploits como este no permiten a un atacante saltarse la autenticación ni escalar privilegios para obtener acceso al tipo de información que los hackers de calificaciones buscarían. Para ello, existe una vía más fácil: usar las credenciales de cuenta.

La puerta de enlace de PowerSchool, como la de otras muchas plataformas, solo se protege mediante un usuario y una contraseña.

En marzo del 2019, algunos estudiantes fueron acusados de haber hackeado PowerSchool con la finalidad de cambiar sus calificaciones y mejorar sus registros de asistencia. Y como los usuarios utilizan los mismos accesos en diferentes webs, es muy probable que estos portales estén siendo hackeados mediante información robada o reutilizada. Estas cuentas se pueden obtener mediante diferentes métodos, desde simplemente copiarlos desde una nota adhesiva en el teclado del profesor a un hackeo de verdad o un recopilado de credenciales en la red del colegio o universidad. De manera alternativa, los estudiantes pueden contratar a un hacker para que lo haga por ellos.

El hackeo de servicios y los diplomas falsificados en el mercado negro

Una búsqueda online realizada el 12 de junio nos condujo hacia una oferta online para hackear servicios y obtener certificados, diplomas y calificaciones falsificados de diferentes instituciones y que parecen auténticos. El proceso es claro y simple y cuenta con un formulario de pedido e información de contacto.

Mejora la seguridad en la educación

Entonces, ¿qué pueden hacer las escuelas, universidades y las empresas que buscan nuevo talento con calificaciones impecables para asegurarse de que lo que están viendo es real?

Cuando se trata de los certificados y diplomas, las organizaciones deberían verificar su autenticidad con la institución que lo ha emitido. Si no hay registro de que el estudiante haya obtenido dicha certificación, es probable que sea falsa.

En el caso de sistemas de información basados en web, con una serie de medidas básicas bastaría para proteger a los empleados, los estudiantes y la información:

Implementa algún tipo de autenticación de dos factores cuando sea posible, en particular para acceder a los registros, calificaciones y evaluaciones de los estudiantes. Establece unos controles de acceso fuertes y apropiados para que no sea tan fácil que un hacker pueda moverse por el sistema.
En el campus, ten dos redes Wi-Fi separadas y protegidas, una para el personal y otra para los estudiantes. Sería buena idea tener una tercera red aislada para visitantes.
Introduce y refuerza la política de contraseñas del personal y anima a todos para que mantengan la confidencialidad de sus credenciales de acceso en todo momento.
Usa una solución de seguridad de confianza para contar con una protección completa contra un amplio abanico de amenazas.

Un editor de fotos muy peculiar

Te contamos cómo una aplicación de edición de fotos de Google Play registró a sus usuarios en páginas de pago por suscripción no deseadas sin que se dieran cuenta

Privacidad y niños

Soluciones Targeted Security

Otras soluciones

OTRA INDUSTRIA

OTROS PRODUCTOS

OTROS SERVICIOS

El mercado negro de los certificados académicos

Cómo se obtiene acceso a las calificaciones

El hackeo de servicios y los diplomas falsificados en el mercado negro

Mejora la seguridad en la educación

Educación superior y ciberseguridad

Educación en línea: consejo para los profesores

Un editor de fotos muy peculiar

Consejos

Un crypto-robo de 500 millones de dólares

Llueven bitcoin: giveaway falso de Nvidia

Browser-in-the-browser: una nueva técnica de phishing

¿Quieres invertir por internet? Ten primero en cuenta estos consejos de seguridad

Suscríbete y recibe nuestras publicaciones en tu correo

Soluciones para el hogar

Empresas pequeñas

Empresas medianas

Corporativo

Securelist

Eugene Personal Blog