El paso del instituto a la universidad es uno de los momentos más cruciales en la vida de cualquier estudiante. Por ello, con el objetivo de ayudar a los jóvenes a tomar decisiones informadas sobre su futuro desde la Dirección de la E.S.T de Ingeniería de la Universidad de Sevilla con los Departamentos de la Escuela se celebran las Jornadas de Puertas Abiertas.
Estas jornadas son celebradas cada año, y en esta ocasión, durante la semana del 3 de enero fueron más de 1800 las solicitudes recibidas por parte de 74 centros.
Así, desde la Cátedra de Ciberseguridad y Ciberinteligecia BeOneSec y el Departamento de Telemática se ha recibido la visita de un total de 289 alumnos, distribuidos en 8 grupos de 36 alumnos cada uno para realizar un ejercicio práctico de phishing. Promoviendo así uno de nuestros objetivos, fomentar la concienciación de la seguridad digital entre los más jóvenes.
Desarrollo de la actividad: de la Ingeniería Telemática a la Ciberseguridad
La sesión se dividió en diferentes bloques para conseguir una visión completa de la Ingeniera Telemática a los futuros estudiantes y su aplicación real en el mundo digital.
Introducción a los estudios de Ingeniería.
Para comenzar la jornada, los alumnos recibieron una breve presentación sobre los estudios de Grado y Máster en Ingeniera de Telecomunicaciones, destacando las oportunidades profesionales y los retos constantes a los que se enfrenta el sector y para los que son necesarios nuevos talentos como ellos.
Demostración de IoT: programando un sensor de presencia.
La segunda parte de la jornada consistió en una demostración en vivo del internet de las cosas, un campo de aplicación clave en la Ingeniería Telemática. Aquí, los estudiantes observaron cómo se programa una placa de Arduino para que actuara como un sensor de presencia.
La programación en director consistió en:
- Revisión del código, compilación y grabación de la placa.
- Levantamiento de un servidor MQTT accesible a través de Internet, el cuál recibía mensajes de la placa cuando esta era alimentada por una batería portátil.
- Análisis del tráfico de datos con un analizador de tramas, permitiendo así visualizar cómo la información era transmitida en la red.
Esta demostración permitió a los estudiantes comprender cómo los dispositivos inteligentes pueden interactuar con el entorno y enviar datos en tiempo real, un principio fundamental del IoT.
Demostración de ciberseguridad.
El siguiente bloque de la sesión estuvo dirigido por la Cátedra de Ciberseguridad y Ciberinteligencia BeOneSec poniendo foco en la ciberseguridad y la concienciación sobre la misma.
Mapa Kaspersky.
Comúnmente se dice que una imagen vale más que mil palabras y así quisimos mostrarle al alumnado la magnitud de las amenazas digitales. Gracias a este mapa en tiempo real se pudieron ver los ciberataques en el mundo.
https://cybermap.kaspersky.com/es
Acceso a cámaras de vigilancia en internet.
Cuando pensamos en cámaras de vigilancia automáticamente se piensa en seguridad y protección, pero esto no siempre tiene porque ser así. A través de la herramienta Shodan se pudo demostrar cómo algunas cámaras de seguridad son accesibles en internet.
Tráfico en internet y geolocalización.
Desde el departamento de Telemática se levantó un punto de acceso dónde todo el tráfico de esa red era copiado en un servido que analizaba y geolocalizaba la ubicación de las direcciones IP destino.
Así, se visitaron páginas web en Italia, Francia y otros países, verificando las localizaciones de los servidores.
Los alumnos se conectaron a la red WiFi y abrieron aplicaciones en sus teléfonos móviles, observando cómo sus datos viajaban a servidores en Singapur, China, Brasil, USA…
Por medio de esta demostración los alumnos comprendieron como la información personal puede ser rastreada y expuesta en la red de forma muy rápida y sencilla.
Ejercicio de phishing
Pero sin lugar a duda, el momento más impactante de toda la sesión fue la simulación de este ataque de phishing.
Para ello, se montó un portal falso de acceso a Gmail, al que los alumnos accedieron desde sus ordenadores. Tras ello, el proceso del ataque simulado fue el siguiente:
- Un servidor DNS falso redirigió a los estudiantes desde sus navegadores al servidor de phishing.
- Los alumnos ingresaron sus credenciales, creyendo que estaban accediendo al portal legítimo de Gmail.
- En este punto las credenciales fueron capturadas de manera anonimizada, mostrando solo los dos primeros caracteres del nombre de usuario y la contraseña.
- Tras este engaño, los estudiantes fueron de nuevo redirigidos al servidor real de Gmail, sin ser conscientes del engaño.
- Se revelaron las credenciales anonimizadas, permitiendo que cada alumno reconociera su propio intento de inicio de sesión comprometido.
- Para finalizar, se explicaron los detalles del proceso de ataque, junto con consejos clave para identificar y evitar este tipo de ataques en un futuro.
Resultados y lecciones aprendidas
Las actividades desarrolladas desde el Departamento de Ingeniera Telemática y la Cátedra de Ciberseguridad y Ciberinteligencia BeOneSec tuvieron un fuerte y positivo impacto tanto en estudiantes como en el profesorado que los acompañada. Clara prueba de ella fueron los espontáneos aplauso tras cada una de las demostraciones y el propio interés demostrado a posteriori por los alumnos.
Entorno al 60% de los alumnos fueron víctimas del ataque, lo que muestra lo fácil que es caer en un ataque de este tipo cuando no se tienen los conocimientos previos necesarios sobre ciberseguridad. Reforzando así nuestra razón de ser en la concienciación y divulgación sobre ciberseguridad.
Pero también pudimos ver un alto interés por parte de los alumnos en evitar este tipo de ataques ya que prácticamente todos ellos realizaron preguntas sobre la prevención de este tipo de ataques.
En definitiva, el alto nivel participación en todas las actividades demuestra que esta actividad consiguió despertar el interés de los más jóvenes, dejando en ellos la inquietud de aprender más sobre ciberseguridad y buenas prácticas en su día a día.
Los esperamos pronto por nuestras aulas.