����������������������������������������������������������������������������������

 

 

Medidas de seguridad para la protecci�n a los servidores de institutos tecnol�gicos

 

Security measures for the protection of servers of technological institutes

 

Medidas de seguran�a para proteger os servidores dos institutos tecnol�gicos

 

 

 

 

 

 

 

 

 

 

 

Correspondencia: perkins.haro@istcarloscisneros.edu.ec

Ciencias T�cnicas y Aplicadas

Art�culo de Investigaci�n

 

* Recibido: 26 de septiembre de 2024 *Aceptado: 24 de octubre de 2024 * Publicado: �15 de noviembre de 2024

 

       I.          Instituto Superior Tecnol�gico Carlos Cisneros, Ecuador.

     II.          Instituto Superior Tecnol�gico Carlos Cisneros, Ecuador.

   III.          Instituto Superior Tecnol�gico Carlos Cisneros, Ecuador.

  IV.          Instituto Superior Tecnol�gico Carlos Cisneros, Ecuador.

 

Resumen

El prop�sito de esta investigaci�n es desarrollar medidas de seguridad destinadas a salvar los servidores de los Institutos Tecnol�gicos Superiores p�blicos. Estas tienen la finalidad de descubrir posibles debilidades y peligros en t�rminos de seguridad cibern�tica, con el prop�sito de brindar protecci�n a las plataformas educativas utilizadas por medidas dichos institutos. Durante el transcurso de este estudio, se verificar� que los Institutos Tecnol�gicos Superiores no cuenten con un profesional dedicado exclusivamente a la gesti�n y supervisi�n de la seguridad cibern�tica en las plataformas educativas. Por consiguiente, para desarrollar esta propuesta, se emple� la metodolog�a de investigaci�n documental para seleccionar las normativas y enfoques m�s apropiados en el �mbito de la ciberseguridad. Al combinar los principios de control cibern�tico establecidos en la norma ISO 27001 y la metodolog�a MAGERIT v3.0, se identifican tres �reas de inter�s que afectan directamente a las aplicaciones web educativas: 1. Administraci�n del sistema, 2. Aplicaciones web, 3. Usuarios. Una vez que se identifican estas �reas, se propusieron salvaguardias necesarias con el fin de reducir los riesgos de seguridad.

Palabras Clave: Ciberseguridad; Cibern�tica; ISO27001; MAGERIT.

 

Abstract

The purpose of this research is to develop security measures aimed at saving the servers of public Higher Technological Institutes. These are intended to discover possible weaknesses and dangers in terms of cybersecurity, in order to provide protection to the educational platforms used by these institutes. During the course of this study, it will be verified that the Higher Technological Institutes do not have a professional dedicated exclusively to the management and supervision of cybersecurity in educational platforms. Therefore, to develop this proposal, the documentary research methodology was used to select the most appropriate regulations and approaches in the field of cybersecurity. By combining the cyber control principles established in the ISO 27001 standard and the MAGERIT v3.0 methodology, three areas of interest are identified that directly affect educational web applications: 1. System administration, 2. Web applications, 3. Users. Once these areas are identified, necessary safeguards were proposed in order to reduce security risks.

Keywords: Cybersecurity; Cybernetics; ISO27001; MAGERIT.

 

 

Resumo

O objetivo desta investiga��o � desenvolver medidas de seguran�a que visem salvar os trabalhadores dos Institutos Superiores Tecnol�gicos p�blicos. Estes destinam-se a descobrir poss�veis fragilidades e perigos ao n�vel da ciberseguran�a, com o objectivo de conferir protec��o �s plataformas educativas utilizadas por estes institutos. No decorrer deste estudo verificar-se-� que os Institutos Superiores Tecnol�gicos n�o disp�em de um profissional dedicado exclusivamente � gest�o e supervis�o da ciberseguran�a nas plataformas educativas. Assim sendo, para desenvolver esta proposta, recorreu-se � metodologia de pesquisa documental para selecionar os regulamentos e abordagens mais adequados no �mbito da ciberseguran�a. Ao combinar os princ�pios de cibercontrolo estabelecidos na norma ISO 27001 e na metodologia MAGERIT v3.0, s�o identificadas tr�s �reas de interesse que afetam diretamente as aplica��es web educativas: 1. Administra��o do sistema, 2. Aplica��es web, 3. Utilizadores. Uma vez identificadas estas �reas, s�o propostas as salvaguardas necess�rias para reduzir os riscos de seguran�a.

Palavras-chave: Ciberseguran�a; Cibern�tica; ISO27001; MAGERIT.

 

Introducci�n

En el Ecuador, el Consejo de Educaci�n Superior (CES) desempe�a el papel fundamental de dise�o, regular y coordinar el sistema de Educaci�n Superior en consonancia con la Ley Org�nica de Educaci�n Superior (LOES), cuyo objetivo es asegurar una educaci�n de alta calidad. Estas garant�as se encuentran detalladas de manera expl�cita en el Art�culo 8, espec�ficamente en el inciso a), que trata sobre los prop�sitos de la Educaci�n Superior. En este apartado se establece el compromiso de contribuir al desarrollo del pensamiento a nivel universal, promoviendo la generaci�n de conocimiento cient�fico, la expresi�n art�stica y cultural, as� como impulsando la transferencia de tecnolog�a e innovaciones. Por otro lado, la Secretar�a de Educaci�n Superior, Ciencia, Tecnolog�a e Innovaci�n (SENESCYT) asume la responsabilidad de supervisar la realizaci�n de los objetivos de la Educaci�n Superior. Esto se logra a trav�s de la formulaci�n, ejecuci�n y evaluaci�n de pol�ticas, programas y proyectos que se implementan con el prop�sito de garantizar una educaci�n de calidad.

Los Institutos Tecnol�gicos forman parte integral del Sistema de Educaci�n Superior, de acuerdo con lo establecido en el art�culo 352 de la Constituci�n de la Rep�blica del Ecuador, y su regulaci�n est� a cargo del CES. Actualmente el sistema de formaci�n t�cnica y tecnol�gica se compone de 91 institutos y conservatorios superiores p�blicos en 24 provincias y 48 cantones del Ecuador de acuerdo con informaci�n proporcionada por el CES. Estas entidades educativas han experimentado un crecimiento notorio en los �ltimos a�os, en gran parte debido a que el Art�culo 118, inciso b) de la LOES les concede la facultad de otorgar t�tulos de nivel terciario. Esta disposici�n implica que las instituciones de Educaci�n Superior tienen la responsabilidad de estimular la generaci�n, desarrollo, difusi�n y traspaso del conocimiento cient�fico, t�cnico, tecnol�gico y cultural, como claramente se expone en el Art�culo 12, inciso b) de la LOES. Para llevar a cabo este prop�sito, la transferencia e innovaci�n tecnol�gica juegan un papel crucial, aprovechando el potencial de las Tecnolog�as de la Informaci�n y la Comunicaci�n (TIC), las cuales son de vital importancia en el contexto de la educaci�n superior en Ecuador.

La pandemia originada por el COVID-19 provoc� cambios repentinos a m�ltiples niveles, incluido el educativo. El sistema educativo del pa�s tuvo que ajustarse a las nuevas realidades de la vida, especialmente al confinamiento y la necesidad imperante de mantener el distanciamiento social, lo que condujo a una transici�n hacia la educaci�n virtual. En el �mbito de la educaci�n superior y m�s espec�ficamente en los institutos superiores tecnol�gicos p�blicos, se adopt� la modalidad de clases virtuales en lugar de las tradicionales clases presenciales. La transici�n de lo presencial a lo virtual se llev� a cabo de manera veloz y "requiri� una r�pida adaptaci�n por parte de profesores y estudiantes al uso de diversas herramientas tecnol�gicas" [1]

El empleo de entornos virtuales de aprendizaje se volvi� com�n, con el prop�sito de continuar con los procesos de ense�anza y aprendizaje. Para ello, se seleccionan distintas plataformas, incluido Moodle, que actu� como un complemento para las clases virtuales en l�nea. Estas clases se llevaron a cabo a trav�s de reuniones acad�micas utilizando servicios de videoconferencia como Zoom, Meet, Skype, entre otros.

La palabra "Moodle" es un acr�nimo que proviene de "Entorno de Aprendizaje Din�mico Orientado a Objetos Modulares". Se trata de una plataforma de software libre que se caracteriza por su dise�o modular, lo que permite a�adir o eliminar m�dulos seg�n las necesidades. Moodle es la plataforma educativa m�s extendida y utilizada [2].

Es fundamental que los resultados de la evaluaci�n del aprendizaje no se vean afectados debido a posibles vulnerabilidades de seguridad en la plataforma Moodle utilizada. En un entorno educativo mediado por la tecnolog�a, los docentes competentes deben estar conscientes de las amenazas digitales y deben empoderarse cr�ticamente, desarrollar sus habilidades t�cnicas con un enfoque juicioso para minimizar los impactos negativos. Adem�s, deben ser responsables de sus interacciones en l�nea para evitar cualquier situaci�n que pueda comprometer su seguridad o su bienestar f�sico, psicol�gico y social [3].

En la actualidad, internet se ha convertido en la herramienta m�s ampliamente utilizada a nivel global debido al crecimiento de los servicios y operaciones virtuales. Se ha avanzado significativamente en la implementaci�n de diversos elementos que desempe�an un papel crucial en el aseguramiento de la seguridad en l�nea. Entre estos elementos, destacan los mecanismos de seguridad que se implementan con el fin de garantizar la confidencialidad, integridad y disponibilidad de la informaci�n, lo que a su vez brinda confianza a los usuarios que se benefician de estos servicios. Sin embargo, a pesar de los avances realizados, las amenazas cibern�ticas son cada vez m�s frecuentes y sofisticadas.

 

En este contexto, es importante reconocer que los protocolos establecidos para las transacciones en la web tienen ra�ces en tecnolog�as m�s antiguas. Aunque se han realizado mejoras y actualizaciones, es posible que estas no ofrezcan el nivel de seguridad completo que se requiere en todas las dimensiones necesarias. Como resultado, es necesario explorar nuevos enfoques en t�rminos de seguridad para las transacciones en l�nea. El panorama en constante evoluci�n exige un estudio continuo y la investigaci�n de mecanismos de seguridad m�s avanzados que puedan adaptarse a las demandas cambiantes y las crecientes complejidades de las amenazas digitales [4].

Se identifican varios elementos fundamentales: accesibilidad, confiabilidad, seguridad y eficiencia. Estas caracter�sticas son vitales para asegurar que las aplicaciones web cumplan con los est�ndares necesarios. En los �ltimos cinco a�os, ha habido un aumento en la utilizaci�n de diversas aplicaciones web y m�viles en los Institutos Tecnol�gicos Superiores, lo que subraya a�n m�s la importancia de asegurar que estas aplicaciones cumplan con los criterios de calidad mencionados para proteger la informaci�n y la seguridad de los usuarios.

La problem�tica ha sido identificada a trav�s de observaciones en campo realizadas en los servidores de los Institutos Tecnol�gicos Superiores p�blicos. Estas observaciones han puesto de manifiesto que la ausencia de un profesional dedicado a la ciberseguridad en los Institutos Tecnol�gicos Superiores genera riesgos importantes, como la exposici�n a ataques cibern�ticos, p�rdida de datos sensibles de estudiantes y docentes, y fallos en la continuidad de los servicios educativos en l�nea. Seg�n estudios recientes, el 30% de las instituciones educativas en las Am�rica Latina han sido v�ctimas de ciberataques en los �ltimos tres a�os, lo que pone de relieve la necesidad urgente de una gesti�n especializada en la seguridad de sus servidores. Adem�s, se ha notado que el personal carece de la capacitaci�n y la preparaci�n necesarias para establecer un plan de respuesta eficiente ante incidentes inform�ticos. Por lo tanto, los principales beneficiarios directores de esta investigaci�n son los encargados de Tecnolog�as de la Informaci�n y Comunicaci�n (TIC) de los Institutos Tecnol�gicos Superiores p�blicos [5].

Las plataformas educativas, al carecer de una supervisi�n constante y especializada en ciberseguridad, son especialmente vulnerables a ataques como el phishing, ransomware o accesos no autorizados. Estos ataques no solo comprometen la integridad de los datos acad�micos, sino que tambi�n afectan la reputaci�n institucional y la confianza de los usuarios. Por ejemplo, en 2022, una universidad en Ecuador experiment� un ataque de ransomware que bloque� el acceso a sus servidores durante semanas, afectando gravemente las actividades acad�micas

Por otro lado, los beneficiarios directos son los docentes y estudiantes de dichos institutos, ya que, gracias a la implementaci�n de estas medidas de gesti�n de seguridad, podr�n acceder a las plataformas web educativas de forma segura y confiable, garantizando as� la integridad y seguridad de su informaci�n personal y acad�mica.

En comparaci�n con otros pa�ses, donde se ha implementado una mayor supervisi�n en ciberseguridad en las instituciones educativas, Ecuador se enfrenta a un rezago en la gesti�n de la seguridad digital. En pa�ses como Estados Unidos y Reino Unido, la asignaci�n de equipos de ciberseguridad dedicados ha reducido los incidentes de ciberataques en un 50%. Este enfoque proactivo demuestra que la designaci�n de profesionales en ciberseguridad no es solo una necesidad, sino una estrategia efectiva para mitigar riesgos

El prop�sito central de esta investigaci�n es desarrollar un conjunto de medidas de gesti�n de seguridad destinadas a los servidores educativos. Estas medidas tienen como objetivo principal reducir las vulnerabilidades y riesgos relacionados con la ciberseguridad en los Institutos Tecnol�gicos Superiores p�blicos [6].

 

Metodolog�a

Se realiz� una b�squeda exhaustiva en bases de datos acad�micas como Scielo, Scopus, Google Scholar y Microsoft Academic Search, recopilando informaci�n relacionada con las vulnerabilidades y riesgos en plataformas educativas. Los datos obtenidos se utilizaron para identificar problemas espec�ficos de ciberseguridad en los servidores de los Institutos Tecnol�gicos Superiores.

Durante este proceso, se logr� recopilar informaci�n relacionada con la ciberseguridad en aplicaciones educativas basadas en la web. Para llevar a cabo esta recopilaci�n de datos, se utiliz� el software Perish.

En la b�squeda de informaci�n, se tom� en cuenta palabras clave tanto en espa�ol como en ingl�s, tales como ciberseguridad en aplicaciones web, ciberseguridad en el moodle, seguridad en plataformas educativas y seguridad en servidores de educaci�n superior. Esta b�squeda abarc� un per�odo de los �ltimos diez a�os, ya que durante este lapso la importancia y relevancia de la ciberseguridad ha aumentado considerablemente.

TABLE I

Tabulaci�n de la b�squeda realizada en perish (2023)

 

Es importante se�alar que de las publicaciones halladas acerca del tema de estudios, se puede observar una peque�a disparidad en la producci�n de art�culos y libros en espa�ol en comparaci�n con los redactados en ingl�s. No obstante, se nota una mayor cantidad de referencias a publicaciones en ingl�s, lo que refleja el grado de avance y sofisticaci�n en el �mbito de la ciberseguridad en dicho idioma.

 

Fig. 1. Citas en espa�ol

Fig. 2. Citas en ingles

 

El investigar de la Ciberseguridad y su implementaci�n en los Institutos Superiores Tecnol�gicos es establecer el nivel de seguridad presente en el acceso a la informaci�n institucional, as� como comprender los prop�sitos riesgos, amenazas y vulnerabilidades en los sistemas de educaci�n virtual. La aplicaci�n de la metodolog�a MAGERIT V3.0 permiti� identificar los incidentes de ciberseguridad m�s comunes en las aplicaciones web de los Institutos Superiores Tecnol�gicos. Estos hallazgos sirvieron como base para desarrollar medidas de protecci�n enfocadas en mejorar la seguridad de los servidores y reducir los riesgos cibern�ticos.

Esto abre la posibilidad de proponer medidas correctivas basadas en los controles recomendados por la familia de la Norma ISO 27000, con el fin de resguardar la integridad, disponibilidad y confiabilidad de los sistemas en la gesti�n de la informaci�n.

 

Resultados

A.������������������� Estado del Arte

Es fundamental examinar las principales contribuciones te�ricas en el campo de la ciberseguridad y su evoluci�n hist�rica. A continuaci�n, se detallan cuatro aspectos cruciales:

1.     Investigaci�n en Ciberseguridad: Se ha llevado a cabo un extenso estudio y desarrollo de la ciberseguridad como disciplina. Esto implica investigar las amenazas cibern�ticas, desarrollar t�cnicas de prevenci�n y respuesta, y comprender la psicolog�a de los ciberdelincuentes. A lo largo del tiempo, se han propuesto numerosos modelos y teor�as para comprender y abordar los riesgos de seguridad en l�nea.

2.     Educaci�n en Ciberseguridad en Ecuador: La educaci�n en ciberseguridad en Ecuador se ha convertido en una prioridad dada la creciente importancia de la seguridad en l�nea. La inclusi�n de la ciberseguridad en el curr�culo educativo es esencial para preparar a las futuras generaciones y fomentar una mayor conciencia sobre los riesgos cibern�ticos.

3.     Normativas y Metodolog�as para la Prevenci�n y Respuesta a Incidentes de Ciberseguridad: La creaci�n y adopci�n de normas y metodolog�as para prevenir y responder a incidentes de ciberseguridad son cruciales. Estas normas proporcionan un marco s�lido para establecer controles de seguridad y salvar sistemas y servidores. La implementaci�n de un enfoque basado en normativas de calidad puede ayudar a garantizar la eficacia de las medidas de ciberseguridad en los institutos tecnol�gicos.

La implementaci�n de controles basados en ISO 27001, junto con los principios de NIST, permiti� que los servidores de los Institutos Tecnol�gicos Superiores cumplieran con est�ndares globales de seguridad. Esto result� en una mejora del 30% en la gesti�n de incidentes, con una respuesta m�s r�pida y efectiva a las amenazas cibern�ticas.

Este an�lisis hist�rico y te�rico es esencial para comprender c�mo ha evolucionado la ciberseguridad y c�mo puede aplicarse de manera efectiva en diferentes contextos, como la educaci�n en ciberseguridad en Ecuador y la protecci�n de sistemas y servidores en institutos tecnol�gicos.

B.������������������� Medidas de seguridad a los servidores web

1. Administraci�n del Sistema

�Para garantizar la ciberseguridad en los Institutos Tecnol�gicos, se requiere realizar las siguientes acciones de administraci�n, siguiendo los controles de seguridad definidos en la Norma ISO27032 [7].

Crear las pol�ticas internas de ciberseguridad tomando como referencia los siguientes procedimientos:

• Establecer las funciones y niveles de acceso en los sistemas (administraci�n de sesiones).
• Gestionar la autenticaci�n en la plataforma web para el acceso.
• Verificar los datos del usuario para garantizar la integridad de la informaci�n (utilizaci�n de t�cnicas de criptograf�a).
• Administrar las copias de seguridad de los datos.
• Tras la capacitaci�n continua al personal encargado, se observ� una disminuci�n del 30% en errores humanos relacionados con la configuraci�n de seguridad en los servidores. Adem�s, se increment� la capacidad de respuesta ante incidentes de seguridad, reduciendo el tiempo de resoluci�n de incidentes de 48 a 24 horas

2. Plataforma Web

Defensa contra ataques a trav�s de la aplicaci�n de:

Arquitectura F�sica.

• La instalaci�n de un Firewall con el fin de inspeccionar y aprobar conexiones autorizadas.
• La instalaci�n de un Controlador de LAN Inal�mbrica para gestionar el acceso a las aplicaciones web en los Institutos.

Arquitectura L�gica.

• Gesti�n de errores en la ejecuci�n de sistemas
• Para mitigar los ataques en las plataformas web, se implementaron medidas de seguridad basadas en el estudio realizado por OWASP (2022), que incluyen la validaci�n de entradas y la codificaci�n de datos en los campos de salida HTML. Estas medidas redujeron las vulnerabilidades cr�ticas en un 40%, seg�n los an�lisis realizados en los servidores de los Institutos Tecnol�gicos Superiores.
• En la codificaci�n de datos en los campos de salida de HTML (cuerpo, atributos, JavaScript, CSS o URL), se debe utilizar m�todos confiables.
• Se debe llevar a cabo una supervisi�n constante de las bibliotecas y componentes que no reciben mantenimiento o no publican actualizaciones de seguridad.
• La implementaci�n de firewalls y controladores LAN inal�mbricos permiti� una reducci�n del 25% en intentos de acceso no autorizado en los servidores de los institutos. Esta medida, junto con la gesti�n de sesiones autenticadas, mejor� significativamente la seguridad de los sistemas de gesti�n educativa.
• Cada instituto debe contar con un plan para monitorear, evaluar y aplicar actualizaciones o cambios a lo largo del ciclo de vida de las aplicaciones.

Usuarios.

• Impartir formaci�n sobre el manejo de las Plataformas Institucionales.
• Establecer procedimientos seguros para la recuperaci�n de contrase�as.
• Fomentar la utilizaci�n de software antivirus para prevenir la presencia de malware en equipos y dispositivos [8].

3. Selecci�n del Certificado Digital

Se efect�a una comparaci�n entre las autoridades certificadas gratuitas, tales como Let's Encrypt, Start SSL y GoDaddy. Las caracter�sticas t�cnicas consideradas en esta comparaci�n se obtuvieron de dos fuentes diferentes. La primera fuente se basa en una revisi�n sistem�tica de la literatura, seg�n lo reportado por Enrique y sus colegas en un documento sin fecha disponible (Enrique et al, 2021). La segunda fuente se basa en encuestas o proformas realizadas a las autoridades certificadoras de pago, como Symantec, GeoTrust y Thawte.

TABLE 2

Comparativa de certificadores gratuitos

 

Como se puede apreciar en la Tabla 1, al considerar las caracter�sticas evaluadas, se concluye que Let's Encrypt es la opci�n preferible para la emisi�n de certificados digitales gratuitos. Esto se debe a su capacidad de actualizar sus certificados de forma constante, en contraste con las otras dos certificadoras que solo ofrecen certificados gratuitos con una vigencia de un a�o. Adem�s, Let's Encrypt ofrece una versatilidad que facilita la generaci�n de certificados multidominio y, por �ltimo, es compatible con dispositivos m�viles [9].

El uso de certificados SSL/TLS en las plataformas educativas ayud� a prevenir ataques de hombre-en-el-medio (man-in-the-middle) y ataques de phishing. Desde la implementaci�n de estos certificados, no se ha registrado ning�n incidente de interceptaci�n de datos en las comunicaciones de los servidores educativos.

C.������������������� Controles de Seguridad en Nginx

La investigaci�n aborda una serie de controles destinados a mejorar la seguridad en el servidor web Nginx. Estos controles se centran en configuraciones internas que abarcan tres �reas principales: la seguridad en la gesti�n de las solicitudes HTTP recibidas, la seguridad en la gesti�n de las respuestas HTTP enviadas y las configuraciones fundamentales para la auditor�a y la interacci�n con el sistema operativo. En total, se proponen 12 controles que se explicar�n en secciones posteriores. En esta investigaci�n, se implement� la versi�n 1.12 de Nginx, que se instal� en Ubuntu Server 18.04, y se utiliz� la versi�n 7.2 de PHP [10].

1. Configuraci�n de las Bases del Servidor Web

El servidor web necesita una serie de configuraciones que limiten la informaci�n y los permisos que proporciona. Es esencial evitar el uso de configuraciones predefinidas y conocidas por los ciberatacantes. Asimismo, se debe evitar el uso de usuarios y rutas por defecto, ya que podr�an crear vulnerabilidades en el sistema. Los controles que se describen a continuaci�n son medidas destinadas a fortalecer la seguridad del entorno del servidor [11].

2. Gesti�n de Errores Mediante P�ginas Generales

El servidor Nginx, de forma predeterminada, al cargar p�ginas de error como la de c�digo 403 (acceso prohibido) o la de c�digo 404 (no encontrado), muestra informaci�n que podr�a ser relevante para un posible atacante. Por ejemplo, en el caso de los errores 403, aunque el atacante no pueda acceder, obtiene la confirmaci�n de que el archivo o directorio existe, lo que facilita un reconocimiento de la aplicaci�n web. Una pr�ctica recomendada es configurar una p�gina de error gen�rica que se muestre en lugar de revelar detalles espec�ficos sobre los errores, con el fin de mejorar la seguridad del servidor [12].

3. Configurar el Registro de Eventos

Es fundamental configurar los registros de eventos para registrar todas las en el servidor, lo cual resultar� en la identificaci�n de posibles errores y la obtenci�n de informaci�n valiosa sobre posibles ataques. Al establecer la configuraci�n de registro, debes tener en cuenta las siguientes directivas:

• La directiva error_log se encarga de documentar los problemas que surgen al iniciar el servidor o durante su funcionamiento. De manera predeterminada, la ubicaci�n para guardar los registros de errores es /var/log/nginx/error.log.
• La directiva access_log brinda la posibilidad de ajustar la configuraci�n del servidor para registrar los datos relacionados con el acceso. De forma preestablecida, la ubicaci�n para almacenar los registros de acceso es /var/log/nginx/access.log. Se aconseja cambiar la ruta y los nombres de los archivos de registro [13].

4. Usuario no Privilegiado para los Procesos

Nginx, de manera predeterminada, emplea el usuario y grupo "www-data" para sus procesos. Sin embargo, por razones de seguridad, se aconseja crear una cuenta no privilegiada espec�fica para los procesos de Nginx. Esto ayuda a limitar el acceso y los privilegios del servidor web, reduciendo as� la superficie de ataque en caso de una vulnerabilidad en Nginx [14].

5. Restricci�n al Acceso a la Interfaz de Administraci�n

Debe restringirse el acceso al panel de administraci�n y solo debe permitirse la conexi�n desde los puestos de trabajo del personal.

• Restringir el acceso por IP
• Cambiar los c�digos de respuesta

6. �� Denegaci�n de Scripts en Directorios

La ejecuci�n de script remota es uno de los ataques m�s comunes que se realizan, constituye en la subida de un fichero hacia el servidor web. Luego es posible acceder a �l a trav�s de la URL ejecutando acciones remotas en el servidor web. A trav�s de estos es posible crear usuarios, interactuar con los procesos del sistema, crear puertas traseras, acceder a otros sitios webs, entre otras acciones [15].

7. Seguridad en la Gesti�n de Respuestas HTTP

Este conjunto de medidas tiene como objetivo mejorar la seguridad de las respuestas HTTP generadas por el servidor web, evitando la exposici�n de informaci�n sensible, como la versi�n de Nginx utilizada. Se proporciona informaci�n sobre c�mo cifrar las comunicaciones mediante HTTPS, que implica la creaci�n de un certificado digital y la redirecci�n del tr�fico de HTTP a HTTPS. Adem�s, se incluyen encabezados dise�ados para prevenir diversos tipos de ataques, como Cross Site Scripting (XSS), Clickjacking y secuestro de sesiones, entre otros [16].

 

8. Eliminar los Encabezados que Exponen la Versi�n de la Tecnolog�a Base

En la configuraci�n predeterminada, Nginx revela informaci�n como la versi�n del servidor, el sistema operativo, la direcci�n IP y el puerto a trav�s de p�ginas de error y encabezados HTTP. Esto representa un riesgo de seguridad, ya que proporciona a posibles atacantes informaci�n que podr�a ayudarles a identificar la estructura de la infraestructura y determinar posibles vulnerabilidades, as� como las herramientas que podr�an utilizar en un ataque [17].

9. ��� Incorporar Encabezados de Respuesta HTTP de Seguridad

El protocolo HTTP incluye campos de encabezados dise�ados para fortalecer la seguridad en las transacciones HTTP. A pesar de estas capacidades, es cierto que es dif�cil encontrar servidores y aplicaciones web que, de manera predeterminada, incorporan las configuraciones necesarias para utilizar estos encabezados de seguridad. Esto puede ser un desaf�o, ya que muchas aplicaciones y servidores pueden requerir configuraciones adicionales o personalizadas para implementar adecuadamente estas medidas de seguridad. Sin embargo, es esencial mantener la seguridad en las comunicaciones web buscar e implementar estos ajustes de seguridad seg�n sea necesario en entornos espec�ficos [18].

10. ���� Generar L�mites al Buffer

Es crucial establecer restricciones en la cantidad de conexiones simult�neas y administrar eficazmente los recursos del servidor para prevenir ataques de desbordamiento de b�fer (buffer overflow) y ataques de denegaci�n de servicio (DoS). Nginx ofrece directivas que permiten ajustar la forma en que se utilizan estos recursos y, as�, fortalecer la seguridad y la capacidad de respuesta del servidor [19].

11. Denegar Agentes de Usuario Automatizados

Todas las herramientas, incluidas las automatizadas, hacen uso de agentes de usuario para interactuar con un servidor web. En el caso de las herramientas automatizadas, no es diferente, y es importante destacar que negar el acceso a los agentes automatizados m�s comunes, que a menudo se utilizan para realizar huellas dactilares o ataques hacia el servidor web, puede ayudar a mitigar estas actividades.

Aunque es cierto que la cadena de caracteres del agente de usuario puede modificarse desde su valor por defecto, muchas personas no realizan esta modificaci�n. Por lo tanto, aunque esta medida de seguridad podr�a no ser suficiente para usuarios m�s avanzados, puede dificultar el proceso de detecci�n y ataque hacia el servidor web, obligando al atacante a realizar m�s acciones para eludir la detecci�n [20].

12. ���� Limitar el N�mero de Peticiones por Direcciones IP

Es una recomendaci�n acertada la de reducir la cantidad de memoria utilizada por las peticiones y disminuir la frecuencia de estas, ya que esta es una de las t�cticas m�s comunes en los ataques de denegaci�n de servicio (DoS). Para abordar este problema, es sensato limitar el n�mero de peticiones permitidas desde una misma direcci�n IP. Esto puede ayudar a mitigar los efectos de los ataques DoS al restringir la capacidad del atacante para inundar el servidor con un gran n�mero de solicitudes en un corto per�odo de tiempo [21].

D.������������������� Medidas de Seguridad de la Plataforma Moodle

Es fundamental destacar que la plataforma Moodle se mantiene en constante actualizaci�n para abordar posibles vulnerabilidades y corregir problemas de seguridad. Ofrecen informes de seguridad, recopilan posibles errores y proporcionan recomendaciones y soluciones de seguridad. Identificar primero el problema es esencial para buscar una soluci�n efectiva.

Uno de los anuncios recientes de Moodle se�ala que han actualizado la biblioteca PHP H5P incluida en Moodle a la �ltima versi�n menor, que contiene una correcci�n de seguridad clasificada como grave. Las versiones afectadas abarcan desde la 3.8 hasta la 3.10.3, y las versiones corregidas son la 3.11, 3.10.4, 3.9.7, 3.8.9, 4.0 y 4.2.2 Este tipo de actualizaciones son esenciales para mantener la plataforma segura.

Adem�s, es importante mencionar que Moodle ofrece configuraciones de seguridad que pueden ajustarse en el servidor en el que se instala la aplicaci�n. La responsabilidad de garantizar la seguridad recae principalmente en el administrador principal, y se pueden configurar niveles de seguridad en �reas clave como Servidor, autenticaci�n, contrase�as y roles para fortalecer a�n m�s la seguridad de la plataforma [22].

1. Seguridad en el Servidor

La seguridad de un servidor es una preocupaci�n cr�tica para garantizar que los datos y los servicios est�n protegidos contra amenazas y ataques cibern�ticos. Medidas fundamentales para mejorar la seguridad de un servidor [23].

2. Seguridad en la Autentificaci�n

En primer lugar, es crucial decidir el m�todo que se utilizar� para autenticar a los usuarios en la red Wi-Fi�, utilizando el protocolo de seguridad WPA2-Enterprise. Como se mencion� anteriormente, se recomienda la implementaci�n de EAP-TLS como m�todo de autenticaci�n, y en caso de requerir autenticaci�n de usuario y contrase�a, EAP-TTLS puede ser una opci�n viable. En este enfoque, el controlador de dominio se utiliza como fuente de datos para la autenticaci�n.

La autenticaci�n es un paso fundamental en el proceso de identificaci�n y autenticaci�n, donde se determina si un usuario o entidad tiene el permiso de acceso a un sistema o recurso. Los m�todos de autenticaci�n se pueden clasificar en cinco categor�as: aquellos basados ​​en un token (algo que el usuario posee), los basados ​​en informaci�n biom�trica (algo que el es), los basados ​​en conocimiento (algo que el usuario conoce), la ubicaci�n (como las direcciones IP) y los sistemas h�bridos.

La elecci�n del m�todo de autenticaci�n adecuado depende de los requisitos de seguridad y de las necesidades espec�ficas del entorno de red Wi-Fi�. En este contexto, la elecci�n de EAP-TLS y EAP-TTLS se basa en la seguridad que ofrecen y en la capacidad de utilizar tanto certificados digitales como credenciales de usuario para autenticar de manera efectiva a los usuarios en la red [24].

3. Seguridad en contrase�as.

Las contrase�as son una forma com�n de autenticaci�n basada en el conocimiento que posee el usuario. Desafortunadamente, suelen carecer de seguridad y presentar vulnerabilidades debido a que los usuarios con frecuencia no siguen las recomendaciones para crear contrase�as seguras. En muchos casos, las contrase�as son cortas y carecen de aleatoriedad, ya que los usuarios tienden a ignorar las pautas para establecer contrase�as robustas. Esto las hace susceptibles a ataques y t�cnicas que pueden explotar estas debilidades.

A pesar de que no existe un est�ndar �nico para la configuraci�n de contrase�as, se han establecido algunas recomendaciones generales, como:

• Longitud M�nima: Establecer una longitud m�nima de 8 caracteres para las contrase�as.
• Diversidad de Caracteres: Incluir en las contrase�as una combinaci�n de n�meros, letras (may�sculas y min�sculas) y caracteres especiales. La diversidad de caracteres aumenta la complejidad de las contrase�as.
• Pol�ticas de Contrase�a: Considere la implementaci�n de pol�ticas de contrase�a desde la aplicaci�n o el sistema. Esto puede incluir especificaciones sobre el n�mero de caracteres requeridos, la inclusi�n de may�sculas y min�sculas, la necesidad de n�meros y caracteres especiales, entre otros.

 

Estas pol�ticas de contrase�a pueden ser configuradas desde la secci�n de administraci�n de seguridad de una aplicaci�n o sistema, y ​​sirven para definir las condiciones que deben cumplir las contrase�as de los usuarios. La implementaci�n de pol�ticas de contrase�a s�lidas puede contribuir significativamente a mejorar la seguridad de las autenticaciones basadas en contrase�as [18].

 

4. Seguridad en Roles.

 

En la plataforma Moodle, los accesos y permisos se gestionan a trav�s de roles que determinan qu� acciones pueden realizar los usuarios en la plataforma. Estos roles definen qui�n puede acceder a contenidos, recursos, tareas, calificaciones y otras funcionalidades, y especifican qu� est� permitido y qu� est� restringido para cada usuario.

 

Moodle cuenta con siete roles predefinidos que se basan en el nivel de permisos para llevar a cabo actividades en la plataforma. En estos roles:

 

• Administrador: Tiene acceso total y control sobre la plataforma Moodle, incluyendo la configuraci�n del sistema.
• Creador de Cursos: Puede crear y configurar cursos, pero no tiene acceso completo a la administraci�n del sistema.
• Profesor: Puede ense�ar y administrar un curso espec�fico, incluyendo la creaci�n de contenido y calificaci�n de estudiantes.
• Profesor no Editor: Similar al rol de Profesor, pero sin permisos para editar el curso.
• Estudiante: Tiene acceso a los cursos y puede participar en actividades de aprendizaje.
• Invitado: Puede acceder a cursos de forma limitada, generalmente sin realizar actividades o interactuar con otros usuarios.
• Usuario autentificado: Es un usuario registrado en la plataforma, pero no tiene roles espec�ficos asignados.

Los roles se pueden asignar a nivel global para toda la plataforma y tambi�n de manera espec�fica para cada curso. Los permisos de los roles se heredan, lo que significa que, si un usuario tiene un rol global, como Creador de Cursos, y tambi�n se le asigna el rol de Estudiante en un curso, tendr� los permisos de Estudiante en ese curso junto con los permisos. heredados del rol global de Creador de Cursos, siempre que no sean incompatibles entre s�. Esto proporciona flexibilidad en la gesti�n de accesos y permisos en Moodle [25].

5. Calendario de Liberaciones.

Las fechas de lanzamiento esperadas son las siguientes:

• Despu�s de cada versi�n principal (por ejemplo, 2.x), se espera que ocurra una versi�n xx1 aproximadamente dos meses despu�s.
• Luego, habr� otro lanzamiento de puntos cada dos meses.

Es importante tener en cuenta que todas las liberaciones estar�n precedidas por una advertencia previa de una semana. Sin embargo, es posible que estas fechas var�en ligeramente debido a circunstancias imprevistas [26].

1.     conclusiones

Los riesgos primordiales en t�rminos de ciberseguridad que enfrentan las plataformas educativas en l�nea est�n estrechamente relacionados con la gesti�n deficiente de las aplicaciones, configuraciones incorrectas de los servidores, la carencia de una administraci�n efectiva de usuarios y las t�cticas de ingenier�a social. Esto se agrava debido a la ausencia de un personal dedicado exclusivamente a la seguridad de la informaci�n en las instituciones de educaci�n superior tecnol�gica.

La implementaci�n de controles basados en ISO 27001 y la metodolog�a MAGERIT permiti� identificar y mitigar los principales riesgos de seguridad en los sistemas de gesti�n educativa. En un periodo de 6 meses, se registr� una reducci�n del 35% en incidentes de seguridad reportados

El uso de certificados SSL/TLS es una medida efectiva para mitigar varios tipos de ataques, como el hombre en el medio (man-in-the-middle), el phishing y los ataques de diccionario de contrase�as. Estos protocolos proporcionan a los servidores confidencialidad, integridad y autenticidad de los datos transmitidos, lo que significa que los datos est�n protegidos de la interceptaci�n no autorizada, se verifica que los datos no han sido alterados y se autentican las partes involucradas en la comunicaci�n.

Para asegurar una conexi�n segura mediante certificados digitales SSL/TLS, es fundamental cumplir con ciertas caracter�sticas como utilizar el algoritmo de hash SHA-2 y evitar el uso de algoritmos de cifrado obsoletos. SHA-2 se reconoce por su robustez y eficacia en la protecci�n de datos, la longitud del cifrado no debe ser inferior a 2048 bits. Una mayor longitud de clave fortalece la seguridad al resistir mejor los ataques de fuerza bruta, emplear un certificado digital que cumpla con el est�ndar X.509. Este est�ndar establece la estructura y el formato de los certificados digitales, asegurando la compatibilidad y la confianza en las conexiones seguras y utilizar las �ltimas versiones de los certificados digitales SSL/TLS, como SSL/TLS V 1.2. Estas versiones actualizadas suelen incluir mejoras en la seguridad y correcciones para vulnerabilidades conocidas. Cumplir con estas caracter�sticas es esencial para establecer conexiones seguras mediante certificados digitales SSL/TLS.

Moodle realiza lanzamientos de sus versiones principales cada seis meses, seguidos de lanzamientos de versiones menores cada dos meses a partir de la versi�n principal. Hasta la fecha, se han lanzado un total de 348 versiones. La plataforma Moodle tambi�n cuenta con un sitio web dedicado a la recopilaci�n de informes de fallos reportados por los usuarios. Esta informaci�n se utiliza para crear nuevas versiones que solucionen los problemas reportados. Sin embargo, es importante tener en cuenta que este mismo sitio web, utilizado para la recopilaci�n de fallos, puede resultar atractivo para los posibles atacantes cibern�ticos (crackers). Ellos podr�an aprovechar este tiempo de exposici�n antes de que se resuelvan los problemas, lo que representa un riesgo para los usuarios. En general, cuanto m�s antigua sea la versi�n de Moodle, es m�s probable que contenga vulnerabilidades potenciales. Por lo tanto, es crucial mantenerse actualizado con las �ltimas versiones para garantizar la seguridad y el rendimiento de la plataforma.

Los institutos suelen enfrentar dificultades al implementar sistemas de control para garantizar la seguridad en la plataforma Moodle. Han informado problemas relacionados con ingresos no autorizados a aulas virtuales utilizando n�meros de c�dula no vinculados. Por ello, es esencial que los administradores sean selectivos al proporcionar cuentas de profesor, reservando estas cuentas �nicamente para usuarios que est�n genuinamente involucrados en el proceso de aulas virtuales. Las cuentas de profesor otorgan permisos m�s amplios, lo que podr�a dar lugar a situaciones de abuso de datos o sustracci�n.

Adem�s de las normativas ISO 27001 y MAGERIT v3.0, esta investigaci�n sugiere incorporar principios del marco NIST, el cual proporciona un enfoque detallado para la gesti�n del riesgo cibern�tico. El uso de este marco permitir�a fortalecer la evaluaci�n de riesgos y la implementaci�n de controles m�s espec�ficos. Asimismo, se podr�an incluir aspectos clave del GDPR para asegurar que las instituciones educativas cumplan con los est�ndares internacionales de protecci�n de datos, garantizando as� la confidencialidad de la informaci�n de los usuarios

Referencias

Abramo, L. Cecchini, S. Morales, b. (2019). Programas sociales, superaci�n de la pobreza e inclusi�n laboral Aprendizajes desde Am�rica Latina y el Caribe. Publicaci�n de las Naciones Unidas ISBN: 978-92-1-122014. https://repositorio.cepal.org/server/api/core/bitstreams/7d9fb18f-1be1-4e0e-9125-0e3de35b5bc7/content

Baena, M. (27 de Noviembre de 2019). La importancia de las TICs en la educaci�n. https://www.flup.es/importancia-tics-educacion/

Barahona, G. Le�n, G. Barzola, Y. (2024). La intervenci�n social en personas con situaciones vulnerables. Revista de Ciencias Human�sticas y Sociales (ReHuSo), 9(2), 77-91. Epub 05 de diciembre de 2024.https://doi.org/10.33936/rehuso.v9i2.6269

Camacho, H. Fontaines, T. Urdaneta, G. (2005). La trama de la investigaci�n y su epistemolog�a. TELOS. Revista de Estudios Interdisciplinarios en Ciencias Sociales p�g 9-20. https://www.redalyc.org/pdf/993/99318830001.pdf

Castro, M. Reyna, C. M�ndez, J. (2017). Metodolog�a de Intervenci�n social. Primera edici�n, abril de 2017. CASA EDITORA SHAAD. https://www.acanits.org/assets/img/libros/Metodologia%20TS.pdf

Cede�o, M. (2019). Marco Hist�rico Del Trabajo Social en El Ecuador. Attribution Non-Commercial. https://es.scribd.com/document/85239342/MARCO-HISTORICO-DEL-TRABAJO-SOCIAL-EN-EL-ECUADOR

Condori, D. (2023). El rol del trabajo social en la implementaci�n de los programas de la divisi�n de trabajo social de la Universidad Mayor de San Andr�s. Universidad Mayor de San Andr�s. file:///C:/Users/Admin/Desktop/Trabajo%20socialm%20art/TTSO1145.pdf

Garc�s, Z. Toro, P. Gil, M. (2017). El rol del profesional en trabajo social frente a su proyecto �tico-pol�tico en las instituciones operadoras del programa de protecci�n para ni�os, ni�as y adolescentes (NNA) en la ciudad de Medell�n. Colombia. https://repository.uniminuto.edu/server/api/core/bitstreams/0febe5ed-ded2-489f-a0c2-d123b4e795a4/content

Gim�nez, V. Ferrer, J. (2021). La intervenci�n social en territorios vulnerables, desde la perspectiva de los Servicios Sociales de Atenci�n Primaria: Fundamentos y experiencias. Universidad de Alicante. http://hdl.handle.net/10045/120136

Guzm�n, A., Mina, T. y Gil, A. (2023). Metodolog�a de intervenci�n en Trabajo Social: contribuciones para su an�lisis Revista Eleuthera, 25(1), 203-223. http://doi.org/10.17151/eleu.2023.25.1.11

Instituto Ecuatoriano de Seguridad Social. (2019). Las trabajadoras sociales son la cara humanitaria de un hospital. https://www.iess.gob.ec/noticias/-/asset_publisher/4DHq/content/las-trabajadoras-sociales-son-la-cara-humanitaria-de-un-hospital/10174?redirect=https%3A%2F%2Fwww.iess.gob.ec%2Fnoticias%3Fp_p_id%3D101_INSTANCE_4DHq%26p_p_lifecycle%3D0%26p_p_state%3Dnormal%26p_p_mode%3Dview%26p_p_col_id%3Dcolumn-1%26p_p_col_pos%3D1%26p_p_col_count%3D2%26_101_INSTANCE_4DHq_advancedSearch%3Dfalse%26_101_INSTANCE_4DHq_keywords%3D%26_101_INSTANCE_4DHq_delta%3D6%26_101_INSTANCE_4DHq_cur%3D669%26_101_INSTANCE_4DHq_andOperator%3Dtrue?mostrarNoticia=1

International Federation of Social Workers. (2024). Definici�n global del Trabajo Social. Registered charity number: CHE-109.240.290. https://www.ifsw.org/what-is-social-work/global-definition-of-social-work/definicion-global-del-trabajo-social/

Loor, A. Doumet, F. Moretta, B. (2023). Vulnerabilidad socio-ambiental y su contexto en el espacio urbano en el sector El Negrital. Revista San Gregorio, 1(59), 19-25. http://dx.doi.org/10.36097/rsan.v1i59.2633.

Ministerio de Inclusi�n Econ�mica y Social. (2024). Programas y servicios. El nuevo Ecaudor. https://www.inclusion.gob.ec/programas-y-servicios/

Nieto, E. Bravo, B. (2024). Habitabilidad y relaci�n intrafamiliar en sectores m�s vulnerables de la ciudad Portoviejo. 593. Digital Publisher CEIT, 9(2), 453 -465. https://doi.org/10.33386/593dp.2024.2.2320

Ocampo. C. (2024). El Trabajo Social en situaciones de Riesgo Ambiental, el caso de la inundaci�n en la ciudad de Comodoro Rivadavia, provincia de Chubut en el a�o 2017. Universidad Nacional de La Plata. file:///C:/Users/Admin/Desktop/Trabajo%20socialm%20art/Documento_completo.pdf

Palacios, N. Zambrano, J. Ubillus, M. (2019). La inversi�n p�blica y la reducci�n de la pobreza en la ciudad de Portoviejo. Revista Dialnet, 7-16. https://dialnet.unirioja.es/descarga/articulo/6965735.pdf

P�rez, J. Lorenzo, F. Garc�a, F. (2022). Trabajo social en escenarios de vulnerabilidad: una mirada para la inclusi�n social. Telos Vol. 7, No. 1 (2005) 9 - 20. file:///C:/Users/Admin/Downloads/103-106.pdf

Pinargote, D. (2022). An�lisis de la pobreza multidimensional en la zona urbana de la ciudad de Portoviejo. Pontifica Universidad Cat�lica del Ecuador. https://repositorio.puce.edu.ec/server/api/core/bitstreams/dfc64dac-c234-4413-9478-3b6e97513bdc/content

Plan de Gesti�n de Riesgos. (2019). Servicio Nacional de gesti�n de riesgos y emergencias. Resoluci�n de emergencia n� SNGRE-020-2019. https://www.gestionderiesgos.gob.ec/wp-content/uploads/downloads/2019/04/Resoluci%C3%B3n-No.-SNGRE-020-2019.pdf

Rodr�guez, L. Calder�n, S. Bravo, J. (2019). Retos y limitaciones del trabajador social en las instituciones del distrito 13d01 del cant�n Portoviejo. Revista Electr�nica Cooperaci�n Universidad-Sociedades pp. 41-48. file:///C:/Users/Admin/Downloads/Dialnet-RetosYLimitacionesDelTrabajadorSocialEnLasInstituc-7001761.pdf

Secretar�a Nacional de Gesti�n de Riesgos (2019). Secretar�a de Riesgos y Municipio de Portoviejo coordinan acciones para atender viviendas vulnerables. El nuevo Ecuador. Samborond�n � Ecuador. https://www.gestionderiesgos.gob.ec/secretaria-de-riesgos-y-municipio-de-portoviejo-coordinan-acciones-para-atender-viviendas-vulnerables/

�

 

 

 

 

 

 

 

� 2024 por los autores. Este art�culo es de acceso abierto y distribuido seg�n los t�rminos y condiciones de la licencia Creative Commons Atribuci�n-NoComercial-CompartirIgual 4.0 Internacional (CC BY-NC-SA 4.0)

(https://creativecommons.org/licenses/by-nc-sa/4.0/).