Una universidad fue atacada por ransomware que les cifró los pocos servidores con los que contaban. Durante días, no pudieron emitir constancias, inscribir estudiantes, ni reanudar clases virtuales. Los pagos de colegiaturas quedaron suspendidos, los sistemas de calificaciones inactivos, y los correos electrónicos comprometidos. Algunos alumnos, profesores y padres ni siquiera sabían lo que pasaba, mientras el equipo directivo apenas lograba entender qué había pasado; a muchos de ellos solo se les había comunicado que tenían una interrupción tecnológica.
¿El motivo? Una brecha técnica, sí. Pero, sobre todo, una cadena de decisiones estratégicas postergadas durante años.
El sector educativo suele pensar que no es un objetivo para los cibercriminales. “Nosotros no manejamos grandes sumas de dinero”, dicen algunos. “No somos gobierno ni corporación”, afirman otros. Pero subestimar el atractivo de las instituciones educativas para los atacantes es un error que puede salir caro.
Las universidades, colegios, escuelas privadas y públicas manejan volúmenes inmensos de datos: expedientes académicos, información financiera, bases de datos de docentes, becas, resultados de exámenes, investigaciones científicas, identidades de menores de edad. Información que, en el mercado negro, tiene valor. Pero más allá de eso, operan con recursos limitados, estructuras descentralizadas, sistemas heredados y en muchos casos, una cultura digital poco madura.
Lo que hace vulnerables a estas instituciones no es solo lo que tienen, sino cómo lo protegen. O mejor dicho, cómo no lo protegen.
Muchas instituciones han vivido una digitalización acelerada, especialmente después de la pandemia. Se incorporaron plataformas de clases virtuales, pagos en línea, sistemas de gestión académica, herramientas colaborativas, expedientes digitales y bases de datos en la nube. Pero en la prisa por adaptarse, no siempre se pensó en ciberseguridad. Lo urgente desplazó a lo importante.
Y cuando el incidente ocurre, porque eventualmente ocurre, la respuesta institucional suele ser lenta, reactiva y caótica. No hay protocolos. No hay responsables. No hay claridad. Se convoca de emergencia al área de sistemas (si existe), se apaga todo “por si acaso”, y se espera que la tormenta pase. Pero no pasa. Se transforma.
El impacto de un ciberataque en una institución educativa va más allá de lo técnico. Puede afectar la inscripción, la operación académica, la confianza de las familias y, en algunos casos, la viabilidad misma del modelo educativo. ¿Qué ocurre si una escuela pierde acceso a los historiales de sus estudiantes? ¿Si se filtran datos personales de menores de edad? ¿Si se interrumpe un proceso de admisión en pleno ciclo escolar? ¿O si un docente pierde su investigación doctoral por no tener respaldo?
En varios países, además, la filtración de datos sensibles conlleva sanciones regulatorias. Y aunque la normativa en América Latina aún está en evolución, la tendencia global es clara: se exigirán cada vez más controles, reportes, y responsabilidad por parte de quienes custodian los datos.
Pero más allá de la regulación, hay una dimensión humana. Cuando entregamos nuestros datos o los de nuestros hijos a una institución educativa, lo hacemos desde la confianza. Confiamos en que serán resguardados. En que no caerán en manos equivocadas. En que alguien se está ocupando del riesgo.
¿Y si no es así?
Es hora de dejar de ver la ciberseguridad como un tema solo técnico, solo institucional. Esto también es un asunto personal. La educación nos forma, pero también recolecta, procesa y almacena buena parte de nuestra vida. Por eso, la reflexión no solo es para los rectores, directores administrativos o miembros de consejo. También es para cada uno de nosotros: ¿preguntamos alguna vez qué datos entregamos? ¿qué sistemas los protegen? ¿qué pasa si esa institución sufre un ataque?
La protección de la información no es opcional. Es parte del pacto de confianza entre una institución educativa y su comunidad.
Por eso, la responsabilidad comienza desde arriba. Los directivos de instituciones educativas deben comprender que la ciberseguridad no es un tema “de sistemas” ni una carga tecnológica más. Es un pilar de sostenibilidad institucional. Un eje de confianza. Un componente esencial de la continuidad académica, administrativa y reputacional.
Porque muchas veces, el problema no es la falta de tecnología, sino el mismo desconocimiento. Saber quién decide, quién ejecuta y quién se hace responsable ante una crisis tecnológica. De tener una visión integral y no soluciones dispersas.
No se trata de comprar más herramientas, sino de tomar mejores decisiones.
Hoy, las instituciones educativas no necesitan ser perfectas. Pero sí necesitan estar preparadas. Nadie espera que nunca ocurra un incidente. Lo que se espera y en muchos casos se exige, es que haya un plan. Que no se improvise. Que no se minimice. Que no se esconda.
Y que, cuando se hable de transformación digital en el sector educativo, no se hable solo de innovación… sino también de resiliencia.
La ciberseguridad no puede seguir siendo invisible en el aula. Es parte del futuro que decimos estar formando.
Sobre el autor:
Correo: [email protected]
LinkedIn: https://www.linkedin.com/in/andresvelazquez/
Las opiniones expresadas son sólo responsabilidad de sus autores y son completamente independientes de la postura y la línea editorial de Forbes México.
Sigue la información sobre los negocios y la actualidad en Forbes México
