Saltar la navegación

2. Seguridad en las Redes.

2.1. Políticas de uso seguro de Redes y RRSS


La seguridad de redes es un término amplio que cubre una gran cantidad de tecnologías, dispositivos y procesos. En términos simples, es un conjunto de reglas y configuraciones diseñadas para proteger la integridad, confidencialidad y accesibilidad de las redes y datos utilizando tecnologías de software y hardware.

Cada organización, a pesar de su tamaño, industria o infraestructura, requiere un grado de soluciones de seguridad de redes en marcha para protegerse de un creciente panorama de amenazas cibernéticas hoy en día.

Estas vulnerabilidades pueden existir en un amplio número de áreas, incluyendo dispositivos, datos, aplicaciones, usuarios y ubicaciones.

El Instituto Nacional de Ciberseguridad (INCIBE) nos muestra las principales políticas de uso seguro para tener en cuenta e implementar:

  • Contraseña de acceso robusta: La contraseña es la llave de acceso a la red social, por lo que se debe utilizar una contraseña fuerte que no sea fácilmente descifrable, y habilitar siempre que sea posible el doble factor de autenticación. De esta manera, además de tener que conocer el usuario y la contraseña para acceder a la cuenta, será necesario estar en posesión de un segundo factor, lo que aumenta considerablemente su seguridad.
  • Configuración de privacidad: Todas las redes sociales cuentan con parámetros de privacidad que pueden ser configurados en un rango que va desde muy restrictivo a más laxo. La organización debe encontrar un punto intermedio que permita utilizar las distintas redes sociales de manera efectiva, de forma que permita interactuar con su público sin descuidar la seguridad y privacidad de la comunidad educativa, en este caso.
  • Elegir un responsable de publicación: No se debe permitir que cualquier miembro de la comunidad tenga acceso y publique de forma indiscriminada, la imagen del centro puede verse dañada, además de aumentar el riesgo de sufrir un incidente de seguridad. Aquí entra en juego la figura del Comunity Manager.
  • Definir unas normas de publicación: La organización debe definir la imagen que quiere reflejar, qué se publica y qué no, en qué tono o lenguaje, cómo se responde a las consultas y a las quejas, etc. Descuidar estas normas puede influir negativamente en la opinión que se forma sobre el centro.
  • Restricciones de acceso: Existen ciertas aplicaciones que por ciertos motivos (de gestión, estadísticos, publicitarios, etc.) solicitan acceso y ciertos permisos en los perfiles de nuestras redes sociales, y que debemos analizar detalladamente antes de concederles estos privilegios. De lo contrario, esta práctica puede suponer un riesgo para la privacidad, ya que podría permitir el acceso a determinados datos (como información de seguidores), que deben ser privados, o permitir la publicación de contenido no supervisado.
  • Estar al día de las amenazas: La suplantación de seguidores y las campañas de phishing y malware son los fraudes más utilizados por los ciberdelincuentes para engañar y extorsionar a las empresas a través de las redes sociales con el fin de obtener un beneficio económico. La suscripción al boletín de avisos de “Protege tu empresa”, de INCIBE, permite estar al día de las ciber amenazas que pueden perjudicar a la organización, facilitando la prevención y protección ante el riesgo de sufrir un incidente de seguridad.
  • Intentar evitar errores humanos: El desconocimiento y la falta de formación en materia de ciberseguridad pueden llevar a una mala gestión de las redes sociales. Un error frecuente, y por tanto una práctica de riesgo, es la publicación de información privada, ya que los ciberdelincuentes utilizan estas aplicaciones como fuente de información.
  • Precaución a la hora de seguir enlaces y descargar adjuntos: El malware también se difunde por las redes sociales mediante documentos adjuntos en mensajes dentro de la propia red o por medio de sitios web de terceros. Por lo tanto, debemos tratar los enlaces presentes en la red social y los documentos adjuntos con las mismas precauciones que en el correo electrónico. En caso de que un enlace nos dirija a cualquier web que solicite cualquier tipo de información confidencial o bancaria, se comprobará también el certificado de seguridad y que corresponda con el sitio al que se está accediendo.
  • Cierre de sesiones: Dejar las sesiones abiertas es una forma muy fácil para que violen la privacidad digital en las redes sociales, sobre todo si utilizas ordenadores compartidos o redes inalámbricas abiertas de acceso público.

     Figura 9

    seguridad RRSS
    seguridad RRSS
    Philipp Katzenberger. seguridad RRSS (CC BY)

2.2. Configuración y gestión segura de las cuentas de Redes Sociales de centro

2.2.1. Tipos de seguridad en redes:

La seguridad de redes, por lo general, consiste en tres diferentes controles: físico, técnico y administrativo.

A continuación, se presenta una breve descripción de los distintos tipos de seguridad de redes y cómo funciona cada control:

  • Seguridad física en redes:
    Los controles de seguridad física están diseñados para evitar que el personal no autorizado acceda de manera física a los componentes de la red, como rúter, armarios cableados y más. El acceso controlado como cerraduras, autenticación biométrica y otros dispositivos es esencial en cualquier organización.
  • Seguridad técnica en redes:
    Los controles de seguridad técnica protegen los datos almacenados en la red o que están en tránsito a través, hacia o fuera de la red. La protección es doble: deben proteger los datos y sistemas del personal no autorizado, así como de las actividades maliciosas de los empleados.
  • Seguridad administrativa en redes:
    Los controles de seguridad administrativa consisten en políticas y procesos de seguridad que controlan el comportamiento del usuario, incluso cómo se autentican los usuarios, su nivel de acceso y cómo el personal de tecnología de la información (TI) implementa cambios en la infraestructura.

2.2.2. Límites y riesgos:

La propia definición de red social implica en cierto modo una pérdida de privacidad.

La primera decisión que debemos tomar es si nuestra red social será pública, es decir, abierta a todas las personas que utilicen ese servicio, o privada y limitada sólo a la comunidad educativa de nuestro centro.

Plantearnos quién accederá a nuestras publicaciones o qué información ofreceremos desde el perfil es indispensable, de modo que seamos conscientes del alcance de nuestras publicaciones y la pérdida de control que supone.

Para ello debemos tener en cuenta el objetivo con el que hemos creado nuestro perfil: promocional, académico, comunitario, etc.

Independientemente de la opción elegida, sin duda la cuestión más temida serán las fotos o vídeos que queremos subir a nuestra red.

Es lógico prever que, en un centro educativo, la mayoría de estos contenidos incluirán alumnado menor de edad, pero también profesorado, familias, etc.

Es necesario tener claro cuál va a ser nuestra política de actuación y cómo proceder para no comprometer la privacidad y los derechos de todos ellos.

Además, existen otros datos personales que debemos proteger, como sus nombres o cualquier otra información que sirva para identificar a los menores.

Siempre podemos valorar crear una red social sin exponer imágenes de menores o limitando su uso a contadas ocasiones, ya que nada impide que el contenido pueda ser igualmente atractivo o visual.

Una vez determinadas estas cuestiones, tenemos la obligación de informar de forma clara a las familias sobre la posible utilización de imágenes, e incluso al propio alumnado cuando su nivel de madurez lo permita, así como al profesorado.

Figura 10

seguridad RRSS
Tumisu. seguridad RRSS (CC BY)


2.2.3. Puesta en práctica con seguridad:

En el momento de poner en marcha nuestras redes sociales, hay que recordar que no podemos utilizar las redes sociales del centro como si fueran nuestros propios perfiles de Facebook o Twitter: estamos representando a una entidad y en nuestras manos tenemos datos o contenidos de carácter personal que debemos proteger.

Nombrar a un “responsable de las redes sociales del centro” para la configuración y gestión de las mismas es de vital importancia. Ya hemos comentado los riesgos que asumimos al abrir este tipo de espacios públicos, por lo que, aunque todo el equipo educativo debe tener conocimiento de cómo vamos a administrar las redes, sólo dos o tres personas deberían tener acceso y encargarse de la publicación y gestión.

Algunos centros cuentan con un departamento de marketing y/o comunicación que asume esta tarea, pero en la mayoría de los casos, cualquier miembro del equipo educativo puede aceptar esta función.

2.2.4. Publicación de datos en redes sociales:

La publicación de datos personales en redes sociales por parte de los centros educativos requiere contar con el consentimiento de los interesados, a los que habrá que informar previamente de manera clara de los datos que se van a publicar, en qué redes sociales, con qué finalidad, quién puede acceder a los datos, así como de la posibilidad de ejercitar sus derechos de acceso, rectificación, oposición y supresión.

Respetar ese consentimiento firmado es prioritario a la hora de utilizar estos servicios. Por ejemplo, a pesar de que en ambos casos se debe tener consentimiento familiar, no es igual la difusión de contenidos en la web o revista virtual del centro, que, en una red social, donde el alcance es mucho mayor.  

Se entenderá el consentimiento como una manifestación de voluntad libre, específica, informada e inequívoca, mediante declaración o clara acción afirmativa.

La normativa incluye la obligación de informar sobre el plazo durante el que se conservarán las imágenes o, si no fuera posible, de los criterios para determinarlo.

2.2.5. Consideraciones relativas al uso de redes sociales en un centro educativo:

  • ¿Puede un centro educativo acceder al contenido de dispositivos electrónicos del alumnado, como los sistemas de mensajería instantánea (WhatsApp) o redes sociales?

Dada la información que se contiene en los dispositivos con acceso a Internet, así como la trazabilidad que se puede realizar de la navegación efectuada por los usuarios, el acceso al contenido de estos dispositivos, incluyendo su clave, supone un acceso a datos de carácter personal que requiere el consentimiento de los interesados o de sus familiares si se trata de menores de 14 años.

No obstante, en situaciones en las que pudiera estar presente el interés público, como cuando se ponga en riesgo la integridad de algún menor (situaciones de ciberacoso, sexting, grooming o de violencia de género) el centro educativo podría, previa ponderación del caso y conforme al protocolo que tenga establecido, acceder a dichos contenidos sin el consentimiento de los interesados/as.

  • ¿Puede el profesorado crear grupos con aplicaciones de mensajería instantánea con su alumnado?

Con carácter general, las comunicaciones entre profesores y alumnado deben tener lugar dentro del ámbito de la función educativa y no llevarse a cabo a través de aplicaciones de mensajería instantánea (exceptuando las propias que nos ofrece la Junta de Castilla y León).

Si fuera preciso establecer canales específicos de comunicación, deberían emplearse los medios y herramientas establecidas por el centro educativo, teniendo en cuenta la protección de datos y puestas a su disposición (por ejemplo, áreas específicas en la intranet del centro o uso de plataformas que cumplan los requisitos que se verán más adelante) o por medio del correo electrónico.

En situaciones concretas, como la realización de una tarea o trabajo específico, por ejemplo, con motivo de la participación en un concurso escolar, o de refuerzo que fueran necesarias, se podrían crear con carácter excepcional, siendo aconsejable la participación en el grupo de un tercero. 

Con todo ello, existen variedad de herramientas que permiten dotar de seguridad nuestros perfiles, las cuales todo centro educativo debería utilizar para evidenciar una correcta gestión y configuración de redes sociales y evitar un asalto a datos personales de cualquier miembro de la comunidad educativa.

Se exponen los siguientes ejemplos de herramientas que puedes ser utilizadas según las necesidades propias:

  • LastPass: es una herramienta muy útil que permite solucionar el problema de tener contraseñas simples y fáciles de hackear.
  • LogDog: es una aplicación Android que permite saber si están intentando hackear alguna de nuestras cuentas.
  • HTTPS Everywhere: Con el objetivo de defender los derechos de privacidad de los ciudadanos en la red, se pensó en esta extensión que permite el cambio de HTTP a HTTPS en los sitios webs a los que se acceden.
  •  AVG PrivacyFix: Esta aplicación, disponible para Android, Chrome y iOS, es un complemento que ayuda a los usuarios a ajustar las configuraciones de privacidad de las Redes Sociales más utilizadas como Facebook, LinkedIn, Twitter y Google+. A su vez, posibilita bloquear el seguimiento no deseado.
  • Digi.me: es útil por estar diseñada para almacenar los datos de las Redes Sociales en caso de que toda la información se pierda por piratería, hackers o cualquier otro motivo. Te brinda la oportunidad de realizar copias de seguridad y de ver el contenido de hasta cuatro cuentas diferentes.