Por Deborah Bach.
Las universidades, uno de los objetivos más populares para los ciberdelincuentes, han comenzado a emplear una nueva herramienta en la lucha contra el cibercrimen: sus propios estudiantes.
En los últimos años, las universidades y colegios de todo Estados Unidos han contratado cada vez más estudiantes y los han capacitado para convertirse en analistas en sus centros de operaciones de seguridad, conocidos como SOC (por sus siglas en inglés). Los estudiantes trabajan junto a los empleados de tiempo completo en tareas como revisar informes de incidentes, buscar amenazas cibernéticas e investigar comportamientos sospechosos en línea. Los centros suelen estar ubicados en el campus, aunque algunos empleados trabajan de forma remota y la dotación de personal se organiza en función de los horarios académicos de los estudiantes.
El modelo ofrece beneficios en ambos lados: los estudiantes obtienen una valiosa experiencia práctica en la defensa de una gran organización contra los ciberataques, y las universidades obtienen recursos de TI a un costo menor mientras abordan la escasez de personal de ciberseguridad.
«Es en verdad genial para un estudiante poder decir: ‘En realidad hago un verdadero trabajo de analista de SOC'», dice David McMorries, director de seguridad de la información de la Universidad Estatal de Oregón, cuyo SOC emplea a alrededor de ocho estudiantes.
«Le damos a la gente que tiene un gran entusiasmo, pero no mucha experiencia, la capacidad de adquirir experiencia. Y eso los hace súper comercializables cuando se van».
Ese fue el caso de George Cothren, quien comenzó a trabajar en el SOC de la Universidad de Auburn en Alabama cuando tenía 19 años. Sabía poco sobre ciberseguridad en ese momento, aparte de «no quieres que otras personas obtengan tu contraseña», y pensó que no lo contratarían. Pero lo consiguió.
Cothren trabajó en el SOC durante tres años hasta que se graduó, encargándose de tareas que incluían la detección de amenazas, la respuesta a incidentes de correo electrónico y el apoyo a los esfuerzos para implementar la plataforma de seguridad Microsoft Defender for Endpoint en todo el campus. Trabajó en estrecha colaboración con los consultores de seguridad externos de la universidad y obtuvo varias certificaciones de ciberseguridad.
Dos semanas después de graduarse con un título en ciencias de la computación en 2024, Cothren comenzó a trabajar como analista sénior de ciberseguridad en Regions Bank, un trabajo que, según dice, su experiencia en SOC lo ayudó «por completo» a conseguir.
«Las empresas en realidad no buscan estudiantes recién salidos de la universidad, porque la ciberseguridad se trata de proteger a las corporaciones de miles de millones de dólares: sus datos, su reputación, su integridad», dice Cothren, ahora de 23 años. «Soy muy afortunado por haber tenido tres años de experiencia».
Una solución impulsada por los estudiantes
Los SOC asistidos por estudiantes se han vuelto más frecuentes en los últimos cinco años, lo que coincide con un aumento importante en los ataques cibernéticos contra colegios y universidades. El sector de la educación es ahora la tercera industria más atacada por la ciberdelincuencia a nivel mundial, según un informe reciente de Microsoft, y las universidades se enfrentan a desafíos únicos de ciberseguridad.
La cultura universitaria valora la apertura y el intercambio de información, pero las universidades también deben proteger la propiedad intelectual y los datos de alta confidencialidad sobre el personal y los estudiantes, por lo general con departamentos de TI pequeños y limitaciones de financiamiento.
En 2019, Jay James buscaba construir el SOC en la Universidad de Auburn. James, líder senior de operaciones de ciberseguridad de la universidad, se dio cuenta con rapidez de que incluso si Auburn tuviera los recursos para contratar analistas profesionales, con más de 400 mil puestos de trabajo de ciberseguridad sin cubrir en los EE. UU., sería difícil cubrir esos puestos.
Los estudiantes analistas de los SOC universitarios suelen ganar entre 15 y 25 dólares por hora, según Microsoft, en comparación con un salario inicial medio de entre 99 mil y 122 mil dólares, por lo general más de 45 dólares por hora, para un analista de ciberseguridad en Estados Unidos.
A James se le ocurrió una solución: contrataría a estudiantes. En un inicio contrató a dos estudiantes para trabajar en el SOC, y al final se expandió a alrededor de 10.
En un día normal, los empleados de SOC que son estudiantes clasifican los incidentes capturados por la plataforma Microsoft Defender XDR (desde malware en una computadora portátil hasta actividades sospechosas en la cuenta de correo electrónico de un estudiante), buscan posibles amenazas en línea y trabajan en sus propios proyectos de ciberseguridad. Los incidentes más graves se escalan hasta el personal a tiempo completo del SOC.
Como apoyo adicional a los empleados de tiempo completo, los estudiantes también ayudan a descubrir vulnerabilidades. Un estudiante analista, dice James, descubrió un problema con una cámara en el campus que creaba un riesgo potencial de seguridad, pero que se podía solucionar de manera sencilla.
«Como institución de educación superior, nuestra prioridad Número 1 es empoderar a los estudiantes para lo que sea que planeen hacer a continuación», dice. «Es una victoria en la que los estudiantes tienen la oportunidad de obtener experiencia práctica y podemos utilizar a esos estudiantes para ayudar a asegurar la universidad».
En la Universidad de Tennessee, Knoxville, los estudiantes empleados del SOC han descubierto lo que el director de seguridad y tecnología de la información, Matthew Williams, llama problemas de «combustión lenta», incidentes en apariencia aleatorios de baja prioridad que, cuando se agrupan, apuntan a un problema emergente. Antes de emplear a estudiantes en el SOC, dice Williams, ese tipo de análisis no sucedía.
«Por desgracia, solíamos mirar las alertas de forma aislada debido a la falta de personal», dice. «Ahora tenemos los recursos para ver las cosas a un nivel más alto y, en conjunto, eso podría apuntar a problemas a los que de otro modo tan solo no habríamos prestado atención».
«Un punto de inflexión»
La Universidad Estatal de Oregón se adelantó a la curva cuando comenzó a contratar estudiantes en su SOC alrededor de 2015. Las cosas marcharon bien hasta 2021, cuando la universidad experimentó un grave incidente de ciberseguridad que parecía ser el precursor de un ataque de ransomware.
OSU se movió con rapidez para implementar tecnologías como Microsoft Sentinel y Microsoft Defender y contratar personal adicional de SOC, Microsoft proporcionó entrenamiento y tutoría. La universidad, dice McMorries, ahora tiene un sólido equipo de estudiantes empleados de SOC y una mayor visibilidad de sus operaciones de ciberseguridad. Alrededor del 80% de sus incidentes de seguridad se resuelven a través de la automatización.
«Nuestra capacidad para reaccionar y responder a las cosas es mucho mejor de lo que era hace cuatro años», dice McMorries.
Lo atribuye en parte a Microsoft Security Copilot, una herramienta de IA generativa lanzada en abril de 2024 que utiliza el lenguaje natural para ayudar en las tareas de ciberseguridad y convertir los datos en información. Security Copilot empodera a los analistas junior, permitiéndoles asumir tareas de nivel básico con la confianza de un experto.
Copilot proporciona resúmenes de incidentes de ciberseguridad, dice McMorries, lo que ayuda a los nuevos estudiantes empleados de SOC a aprender y facilita la contratación de estudiantes sin experiencia en ciencias de la computación.
«Reduce las barreras para los estudiantes que tienen alguna aptitud o interés en la ciberseguridad y podrían hacerlo bien», dice.
Security Copilot también puede desarrollar consultas para buscar amenazas particulares en el entorno de la universidad, señala McMorries. Además, señala, los empleados de SOC a menudo usan Security Copilot para ayudar a escribir consultas en KQL, el lenguaje utilizado para muchos servicios de Microsoft, sin que necesiten aprenderlo.
«Es muy potente y acelera el SOC en la forma en que opera», dice McMorries. «Hace que los estudiantes se pongan al día más rápido, y pone en un solo panel la capacidad de extraer información que de otro modo tendría que perseguir en muchos otros lugares para encontrar».
James dice que Security Copilot es «casi como ruedas de entrenamiento» para los nuevos estudiantes analistas de SOC de la Universidad de Auburn, ya que los entrena a través de las tareas, y también ahorra tiempo para los empleados más experimentados.
«Si quiero más contexto en torno a un incidente en particular, puedo preguntarle a Copilot y me dará todo el contexto», dice James. «Nos ayuda a clasificar más rápido, a descubrir las cosas más rápido y nos ayuda de maneras que, de otro modo, tomaría a varios empleados de tiempo completo hacerlo.
«En definitiva es un punto de inflexión».
Corey Lee, director de tecnología de seguridad de Microsoft que brinda capacitación y soporte a los SOC de organizaciones educativas, dice que la IA generativa puede transformar la ciberseguridad mediante el uso del lenguaje conversacional para desglosar problemas complejos, proporcionar indicaciones para consultas y automatizar tareas que consumen mucho tiempo.
«Esto es a lo que queremos que la industria cambie: no hacer todo el trabajo pesado y tedioso, sino llegar a un trabajo de seguridad más proactivo», dice.
«Eso es lo que la IA poner sobre la mesa. Va a democratizar el acceso a niveles avanzados de experiencia y conocimiento en seguridad».
Abordar la brecha de género
Más allá de proporcionar experiencia práctica y cubrir puestos de trabajo de TI, los SOC impulsados por estudiantes podrían ofrecer otro beneficio: ayudar a reducir la brecha de género en ciberseguridad. Las mujeres representan solo alrededor del 19% de la fuerza laboral de ciberseguridad de EE. UU., según un estudio reciente, y esa disparidad se ha mantenido como una gran constante.
En 2015, Emily Longman fue la primera mujer contratada en el SOC de la Universidad Estatal de Oregón, después de que Dave Nevin, ex director de seguridad de la información de OSU, la alentara a postularse. Durante ocho años, Longman siguió como la única empleada femenina del SOC, a pesar de lo que ella considera el «excelente compromiso» de la universidad con las prácticas de contratación inclusivas.
«Siempre me entristece cuando tenemos grupos de contratación y hay como dos solicitantes femeninas y 40 solicitantes masculinos», dice Longman, ahora gerente del SOC de la universidad.
Longman se propuso cambiar eso, al asistir a las reuniones de los clubes de ciberseguridad de OSU y alentar a las mujeres a postularse en el SOC. Contrató a Grace Parrish y Emily MacPherson, estudiantes de informática que trabajan en el SOC desde julio de 2023 y octubre de 2024, de manera respectiva.
Parrish se interesó en hackear el cifrado de Wi-Fi cuando estaba en la escuela secundaria, estudió mecatrónica y regresó a la universidad a los 30 años para estudiar ciberseguridad. El SOC, dice, le ha dado su valiosa experiencia en la creación de eficiencias a través de la automatización y el trabajo con sus compañeros de equipo para defender a la universidad contra los ciberataques.
«Me gusta tener en mis manos algunas soluciones de seguridad de nivel empresarial», dice Parrish, estudiante de último año de OSU que cofundó el programa de la universidad WiCys Club de Mujeres en Ciberseguridad.
«Y me gusta mucho trabajar en proyectos de automatización. Son como pequeños rompecabezas para mí».
El interés de MacPherson en la ciberseguridad se despertó cuando era niña, al ver a los piratas informáticos en las películas y por compañeros de clase de secundaria que descubrieron cómo sortear los filtros de la computadora para jugar videojuegos. Una clase de ciberseguridad en la escuela secundaria, donde aprendió sobre criptografía y escribió un programa que rompió con éxito un método de cifrado, consolidó su pasión.
«Al hacer eso, me divertí mucho», dice MacPherson, estudiante de segundo año en OSU. «Fue como la alegría de mi vida».
Trabajar en el SOC, dice, le ha enseñado sobre las estrategias de los atacantes y los mecanismos de Internet, y ha mejorado sus habilidades para resolver problemas. Al igual que Parrish, planea seguir una carrera en ciberseguridad. Pero por ahora, MacPherson encuentra satisfacción en ayudar a proteger a su comunidad universitaria contra los ataques cibernéticos.
«Ayudo en algo, aunque sea de una manera pequeña, a proteger OSU y defender nuestra red de atacantes maliciosos», dice. «El solo hecho de saber que soy parte de eso es genial».
Foto de portada: La estudiante Grace Parrish, a la izquierda, que trabaja en el centro de operaciones de seguridad de la Universidad Estatal de Oregón, habla con la gerente del SOC, Emily Longman. Fotos de Karl Maasdam para Microsoft, a menos que se indique lo contrario.