By | enero 18, 2019

Una plataforma educativa es un desarrollo hecho por humanos que implica por defecto la posibilidad de contener errores. A estos errores se les llama bugs, del inglés bicho.

Esta forma de llamar a los errores surge de los primeros ordenadores, los cuales eran tan grandes que cabía una persona dentro, inclusive polillas -bugs-. Las polillas quedaban atrapadas en los relés y estropeaban las funcionalidades computacionales. Esto provocaba que los programas funcionasen de forma errónea.

La palabra bug ha perdurado en el tiempo hasta conseguir convertirse en un verbo. De esta manera, debugar o hacer debugging significa comprovar el código de un programa para solucionar posibles errores y disfuncionalidades.

Por desgracia, estos errores pueden usarse para hacer que el programa se comporte de una forma distinta a su objetivo final. Un programa instalado en un ordenador puede tener una brecha de seguridad y afectar a un solo usuario. Una plataforma en la nube con brechas de seguridad puede afectar a todos los usuarios de la plataforma o comprometer el servidor entero. El contexto donde se ejecute el programa eleva el riesgo de impacto.

Virtualización del aprendizaje

En un entorno virtual de aprendizaje (EVA) también existen errores que son explotables. Explotar un error significa aprovecharse del mismo para conseguir distintos fines:

  • Información del sistema
  • Ganar privilegios
  • Ejecutar código
  • Subir archivos
  • Inyección de consultas a base de datos

Un alumno puede aprovechar errores para modificar su propia nota o conseguir información de otro alumno. Esto que es un caso aislado, puede comprometer la privacidad y leyes vigentes. El problema mayor viene dado cuando el aprovechamiento del error afecta a más de un alumno.

Toda plataforma educativa debe estar actualizada a la última versión, puesto que lo desarrolladores van solucionando errores a mediado que se van descubriendo. El ciclo de vida de una aplicación empieza por el análisis del problema y termina por la fase de mantenimiento. En esta fase de mantenimiento se solucionan errores, se mejoran y se añaden nuevas funcionalidades. Es lo normal en la creación de programas, con lo que cualquier plataforma educativa no está libre de errores y por este motivo hay que estar siempre actualizado.

Los buvu

En la anterior entrada «Seguridad, privacidad y ética» ya comenté cómo algunos están recopilando e informando actuaciones ilícitas para explotar contextos educativos. Estas actuaciones hacen uso de los exploits, que no dejan de ser pequeños programas que se aprovechan de bugs o vulnerabilidades –buvu– en plataformas de software.

Cualquier buvu en un EVA puede significar un robo de información o un acceso privilegiado al sistema. En un caso puede afectar a un solo alumno y en otro puede afectar a todos los usuarios y roles de la plataforma.

Los EVA no se libran. Si analizamos cualquiera de ellos veremos que ninguno está libre de buvus y que todos tienen actualizaciones. Moodle por ejemplo es una de las plataformas educativas más utilizadas, y a lo largo de su historia ha tenido muchos buvus con sus consecuentes actualizaciones.

A mi me gusta consultar la base de datos de vulnerabilidades de seguridad CVE details, puesto que ofrece una visión detallada de las mismas en distintos proveedores y sus productos.

La información que arroja CVE details de Moodle es muy interesante, y si vemos sus gráficas nos podemos dar cuenta de las múltiples posibilidades que existen de conseguir información mediante exploits.

Los siguientes gráficos son datos totales recopilados desde el 2004 hasta el 2018:

Tipos de vulnerabilidades detectadas en Moodle
(autor: CVE details)
Vulnerabilidades en Moodle desde 2004 hasta 2018
(autor: CVE details)

El 30% de los buvus hacen referencia a conseguir información de algún tipo dentro de la plataforma. Este aspecto es importante debido al momento destacado que estamos viviendo en cuanto a casos fugas de datos educativos o privados. Cuidar, proteger y securizar la información privada de nuestros alumnos es clave más allá del análisis de datos educativos. Debe ser una norma ética autoimpuesta que vele por la protección de los datos de nuestros alumnos.

A pesar de las cifras y gráficas anteriores, podemos estar muy tranquilos ya que Moodle -y cualquier otro EVA- va solucionando cualquier buvu a medida que se van detectando. La misión de los coordinadores TIC o soporte tecnológico de la institución educativa es manterner las plataformas actualizadas para minimizar riesgos de explotación.