El mercado negro de los certificados académicos

24 Jun 2019

¿Los exámenes no van según lo planeado? Puede pasarle a cualquiera. Muchos de los afectados se levantarán, los volverán a hacer o cambiarán su objetivo. Pero, en algunos casos, los estudiantes pueden barajar la opción de hacer trampas para alcanzar el éxito.

A lo largo de los años, se ha alzado una industria clandestina que juega con ese tipo de tentación y que cuenta con foros de discusión, así como tutoriales en vídeo sobre cómo hackear el sistema de un colegio para falsear los certificados y diplomas para venderlos en el mercado negro. Por ello, decidimos investigarlo y comprobar qué pueden hacer las escuelas y universidades para protegerse tanto a sí mismos como a sus estudiantes.

Cómo usan los estudiantes los diplomas de la dark web y las notas falseadas para hacer trampa y alcanzar la excelencia académica

Accediendo a las notas

Muchas escuelas han introducido plataformas de información basadas en web para sus actividades, deberes, evaluaciones, comunicaciones entre padres y profesores, etc. Algunas funciones están abiertas a Internet y muchas de estas plataformas, incluidas algunas de las más usadas, suelen ser vulnerables.

Una de las plataformas de información para escuelas más populares es PowerSchool, conocida por haber tenido una vulnerabilidad (CVE-2007-1044) que permitiría a un atacante hacer una lista del contenido de la carpeta del administrador mediante una URL manipulada. El impacto de esta vulnerabilidad depende de los ajustes del servidor web y de las carpetas que contenga.

No obstante, las vulnerabilidades y exploits como este no permiten a un atacante saltarse la autenticación ni escalar privilegios para obtener acceso al tipo de información que los hackers de notas buscarían. Para ello, existe una vía más fácil: usar las credenciales de cuenta.

La puerta de enlace de PowerSchool, como la de otras muchas plataformas, solo se protege mediante un usuario y una contraseña.

Las páginas de login del sistema online PowerSchool

En marzo del 2019, unos estudiantes fueron acusados de haber hackeado PowerSchool con la finalidad de cambiar sus notas y mejorar sus registros de asistencia. Y como los usuarios utilizan los mismos accesos en diferentes webs, es muy probable que estos portales estén siendo hackeados mediante información robada o reutilizada. Estas cuentas se pueden obtener mediante diferentes métodos, desde simplemente copiarlos desde una nota adhesiva en el teclado del profesor a un hackeo de verdad o un recopilado de credenciales en la red del colegio o universidad. De manera alternativa, los estudiantes pueden contratar a un hacker para que lo haga por ellos.

El hackeo de servicios y los diplomas falsificados en los mercados negros

Una búsqueda online realizada el 12 de junio nos llevó a una oferta online para hackear servicios y obtener certificados, diplomas y notas falsificados de diferentes instituciones y que parecen auténticos. El proceso es claro y simple y cuenta con un formulario de pedido e información de contacto.

Un mercado negro online que vende certificados y diplomas de diferentes instituciones

Mejorando la seguridad en la educación

Entonces, ¿qué pueden hacer las escuelas, universidades y las empresas que buscan nuevos talentos con unas notas impecables para asegurarse de que lo que están viendo es real?

Cuando se trata de los certificados y diplomas, las organizaciones deberían verificar su autenticidad con la institución que lo ha emitido. Si no hay registro de que el estudiante haya obtenido una calificación, es probable que sea falsa.

En el caso de sistemas de información basados en web, con una serie de medidas básicas bastaría para proteger a los empleados, los estudiantes y la información:

  • Implementa algún tipo de autenticación en dos pasos cuando sea posible, en particular para acceder a los registros, notas y evaluaciones de los estudiantes. Establece unos controles de acceso fuertes y apropiados para que no sea tan fácil que un hacker pueda moverse por el sistema.
  • En el campus, ten dos redes wifi separadas y protegidas, una para el personal y otra para los estudiantes. Sería buena idea tener una tercera red aislada para visitantes.
  • Introduce y refuerza la política de contraseñas del personal y anima a todos para que mantengan la confidencialidad de sus credenciales de acceso en todo momento.
  • Usa una solución de seguridad de confianza para contar con una protección completa contra un amplio rango de amenazas.