{"id":18736,"date":"2019-06-24T10:06:20","date_gmt":"2019-06-24T08:06:20","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=18736"},"modified":"2019-11-22T10:50:46","modified_gmt":"2019-11-22T08:50:46","slug":"school-hacking","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/school-hacking\/18736\/","title":{"rendered":"El mercado negro de los certificados acad\u00e9micos"},"content":{"rendered":"

\u00bfLos ex\u00e1menes no van seg\u00fan lo planeado? Puede pasarle a cualquiera. Muchos de los afectados se levantar\u00e1n, los volver\u00e1n a hacer o cambiar\u00e1n su objetivo. Pero, en algunos casos, los estudiantes pueden barajar la opci\u00f3n de hacer trampas para alcanzar el \u00e9xito.<\/p>\n

A lo largo de los a\u00f1os, se ha alzado una industria clandestina que juega con ese tipo de tentaci\u00f3n y que cuenta con foros de discusi\u00f3n, as\u00ed como tutoriales en v\u00eddeo sobre c\u00f3mo hackear<\/em> el sistema de un colegio para falsear los certificados y diplomas para venderlos en el mercado negro. Por ello, decidimos investigarlo y comprobar qu\u00e9 pueden hacer las escuelas y universidades para protegerse tanto a s\u00ed mismos como a sus estudiantes.<\/p>\n

Accediendo a las notas<\/h2>\n

Muchas escuelas han introducido plataformas de informaci\u00f3n basadas en web para sus actividades, deberes, evaluaciones, comunicaciones entre padres y profesores, etc. Algunas funciones est\u00e1n abiertas a Internet y muchas de estas plataformas, incluidas algunas de las m\u00e1s usadas, suelen ser vulnerables.<\/p>\n

Una de las plataformas de informaci\u00f3n para escuelas m\u00e1s populares es PowerSchool, conocida por haber tenido una vulnerabilidad (CVE-2007-1044<\/a>) que permitir\u00eda a un atacante hacer una lista del contenido de la carpeta del administrador mediante una URL manipulada. El impacto de esta vulnerabilidad depende de los ajustes del servidor web y de las carpetas que contenga.<\/p>\n

No obstante, las vulnerabilidades y exploits<\/em> como este no permiten a un atacante saltarse la autenticaci\u00f3n ni escalar privilegios para obtener acceso al tipo de informaci\u00f3n que los hackers<\/em> de notas buscar\u00edan. Para ello, existe una v\u00eda m\u00e1s f\u00e1cil: usar las credenciales de cuenta.<\/p>\n

La puerta de enlace de PowerSchool, como la de otras muchas plataformas, solo se protege mediante un usuario y una contrase\u00f1a.<\/p>\n

\"Las<\/p>\n

En marzo<\/a> del 2019, unos estudiantes fueron acusados de haber hackeado<\/em> PowerSchool con la finalidad de cambiar sus notas y mejorar sus registros de asistencia. Y como los usuarios utilizan los mismos accesos en diferentes webs, es muy probable que estos portales est\u00e9n siendo hackeados<\/em> mediante informaci\u00f3n robada o reutilizada. Estas cuentas se pueden obtener mediante diferentes m\u00e9todos, desde simplemente copiarlos desde una nota adhesiva en el teclado del profesor a un hackeo<\/em> de verdad<\/a> o un recopilado de credenciales<\/a> en la red del colegio o universidad. De manera alternativa, los estudiantes pueden contratar a un hacker<\/em> para que lo haga por ellos.<\/p>\n

El hackeo<\/em> de servicios y los diplomas falsificados en los mercados negros<\/h3>\n

Una b\u00fasqueda online<\/em> realizada el 12 de junio nos llev\u00f3 a una oferta online<\/em> para hackear<\/em> servicios y obtener certificados, diplomas y notas falsificados de diferentes instituciones y que parecen aut\u00e9nticos. El proceso es claro y simple y cuenta con un formulario de pedido e informaci\u00f3n de contacto.<\/p>\n

\"Un<\/p>\n

Mejorando la seguridad en la educaci\u00f3n<\/h3>\n

Entonces, \u00bfqu\u00e9 pueden hacer las escuelas, universidades y las empresas que buscan nuevos talentos con unas notas impecables para asegurarse de que lo que est\u00e1n viendo es real?<\/p>\n

Cuando se trata de los certificados y diplomas, las organizaciones deber\u00edan verificar su autenticidad con la instituci\u00f3n que lo ha emitido. Si no hay registro de que el estudiante haya obtenido una calificaci\u00f3n, es probable que sea falsa.<\/p>\n

En el caso de sistemas de informaci\u00f3n basados en web, con una serie de medidas b\u00e1sicas bastar\u00eda para proteger a los empleados, los estudiantes y la informaci\u00f3n:<\/p>\n