Ciberseguridad para estudiantes: 10 riesgos reales y cómo protegerte

Siguiente
Christian Ali Bravo

En el marco del Día de la educación, compartimos las principales amenazas que circulan en el ámbito educativo: qué buscan y cómo identificarlas.

Cada 24 de enero se conmemora en todo el mundo el Día Internacional de la Educación. ¿Por qué esto es importante en el ámbito de la ciberseguridad? Por la cantidad de riesgos reales que existen en el ámbito educativo.

Desde supuesto mails de la universidad y sitios falsos de becas u oportunidades de empleo, hasta engaños con cursos y titulaciones, links de Google Drive con “apuntes”, QR pegados en el campus, apps, herramientas y extensiones falsas, cracks, entre otros.

A continuación, compartiremos 10 riesgos reales a los que puedes estar expuesto como estudiante, como también analizaremos cómo identificarlas (sin necesidad de ser experto), y qué hacer en cada caso.

1) Phishing

Se trata de correos que imitan al equipo de soporte o secretaría de tu universidad, ya sea del campus, SIU o aula virtual.

Estos mensajes suelen apelar a situaciones habituales del calendario académico, como inscripción a materias, regularidad, exámenes, becas o problemas con la cuenta, para generar urgencia y confianza, e inducir a la víctima a ingresar usuario, contraseña u otros datos personales en sitios falsos.

En diversos países de Latinoamérica se reportaron casos de phishing en el ámbito educativo, como por ejemplo en Chile, Brasil y Uruguay.

Imagen 1. Ejemplo de phishing compartido por la Universidad Veracruzana de México.

Los consejos en estos casos son:

  • Nunca compartir clave por mail o WhatsApp.
  • Verificar dominio y canal oficial, y desconfiar de sitios con faltas de ortografía en su URL.
  • Activar el doble factor de autenticación en mail institucional y revisar la recuperación.

2) Quishing

Para quien no conozca es el quishing, podría definirse como el phishing por QR (en mails y también físico con stickers).

En el marco educativo, los códigos QR son muy habituales, ya que pueden utilizarse para acceder a aulas virtuales, materiales de estudio, encuestas, calendarios académicos o trámites administrativos. Esto los convierte en un vector especialmente efectivo para los ciberatacantes.

¿Qué buscan? Credenciales de inicio de sesión, información de tu tarjeta de crédito o incluso el número de seguridad social de las víctimas.

Los consejos en estos casos son:

  • Desconfiar si el QR termina pidiendo contraseña: las plataformas legítimas rara vez piden credenciales tras escanear un código.
  • Evitar escanear QR de emails inesperados.
  • ​​​​​​​Revisar si hay sticker/tampering en los QR físicos.
Imagen 2. Ejemplo de quishing compartido por la Universidad de Rochester.

3) Documentos compartidos

En el ámbito educativo, es muy común el compartir apuntes o materiales de lectura. Como también, las estafas que se aprovechan de ello para obtener credenciales de acceso de sus víctimas. Esta práctica suele ser eficaz para los atacantes debido a que las personas tienen más probabilidades de abrir correos electrónicos de alguien conocido o de confianza.

¿Cómo funciona? Recibes una invitación a un documento que redirige a una página de inicio de sesión falsa (como por ejemplo Google o Microsoft) para obtener las credenciales y así comprometer tus cuentas. La Universidad de New Hampshire compartió un caso real en su página web:

Imagen 3. Ejemplo de este ataque, que simula ser del equipo de Help Desk de la institución.

Los consejos en estos casos son:

  • No loguearse desde botones dentro del mail; abrir Google Drive/OneDrive desde el navegador y revisar “Compartido conmigo”.
  • Mirar URL real antes de ingresar credenciales.
  • Reportar como phishing.

4) Falsos cursos, titulaciones, ofertas de empleo, pasantías o becas

Otras de las amenazas a las que están expuesto los estudiantes involucran falsos cursos, ofertas de empleos y programas de estudios (entre otros).

La Universidad de Wisconsin, por ejemplo, puso en alerta a sus estudiantes sobre estafas que prometen descuentos en la matrícula, y otras que piden a la víctima que compre equipamiento para poder obtener el supuesto empleo, en una página apócrifa.

La UCLA, a su vez, puso el foco en falsas ofertas de trabajo que circulan y se hacen pasar por su Departamento de Inglés.

Imagen 4. Ejemplo de oferta de empleo falsa, que simula ser de la UCLA.

Por su parte, la Comisión Federal de Comercio de los Estados Unidos advirtió sobre una estafa que involucra un mensaje de texto o un correo electrónico de tu supuesto jefe para que lo ayudes con la compra de una tarjeta de regalo, que termina con el robo de los datos de tu tarjeta de crédito.

Los consejos en estos casos son:

  • Chequear canal oficial de empleos/bolsa de trabajo.
  • Desconfiar si piden algún tipo de pago o compra, “verificación” por WhatsApp o datos sensibles.
  • Validar dominio/correo real de la institución/empresa

5) Apps, plataformas, herramientas y extensiones falsas o maliciosas

El ámbito educativo no está exento de los avances digitales, y por eso allí conviven aplicaciones, recursos y/o herramientas utilizadas diariamente por estudiantes e instituciones: ya sean apps para tomar notas, organizar la agenda, canales de comunicación, entre otras cosas.

Recientemente, de hecho, se han reportado casos en los que el malware se encuentra en falsos instaladores de software colaborativo, que simulan ser Notion y Slack. ¿Cómo se distribuyen? A través de anuncios de Google.

Los consejos en estos casos son:

  • Instalar pocas aplicaciones y siempre revisar permisos y reputación.
  • Hacer “limpieza” mensual de las extensiones.
  • Usar las señales/controles de seguridad del navegador.

6) Reutilización de contraseñas + Credential stuffing

La reutilización de contraseña y el credential stuffing representa un combo muy peligroso para los estudiantes, pero también para las instituciones.

Por un lado, el usar la misma contraseña en diferentes cuentas y servicios representa un riesgo en sí mismo. Pero si a eso se le suma la práctica de los cibercriminales de valerse de las contraseñas filtradas en una brecha, para probarlas en otras cuentas, las consecuencias pueden ser muy graves. Esto no puede exponer su información académica, sino también datos personales, bancarios y médicos, entre otros.

Un ejemplo de esto es lo ocurrido con la Universidad Peruana de Ciencias Aplicadas (UPC), que sufrió una importante filtración de datos sensibles de su comunidad estudiantil en diciembre de 2024.

Los consejos en estos casos son:

  • Frases largas y únicas para cada cuenta, idealmente combinadas con un gestor de contraseñas.
  • Activar el doble factor de autenticación siempre que sea posible.
  • Revisar si hubo actividad sospechosa y cambiar claves de las cuentas comprometidas.

7) Vishing y smishing

En el ecosistema del phishing también conviven dos variables muy frecuentes: vishing y el smishing.

El primero consiste en un tipo de ataque que sucede a través de llamadas telefónicas o mensajes de voz: con técnicas de ingeniería social se busca engañar a las víctimas y robar información sensible. En el ámbito educativo, los atacantes usan como señuelo un supuesto servicio de soporte técnico, ayudas financieras o un contacto de la institución.

En el caso del smishing, el engaño se presenta a través de un mensaje de texto (SMS) en el cual la víctima es inducida a ingresar a un enlace malicioso.

¿Un ejemplo? En noviembre de 2025, la Universidad de Harvard sufrió un ciberataque de vishing que expuso su base de datos personales de estudiantes, exalumnos y donantes.

Imagen 5. Comunicado oficial de Harvard del 22 de noviembre 2025.

Los consejos en estos casos son:

  • Cortar y volver a contactar a la universidad a través de canales oficiales.
  • No compartir contraseñas, datos de tarjeta o credenciales por llamada, SMS o WhatsApp.
  • Alertar a tu comunidad/grupo:compartirlo ayuda a prevenir nuevas víctimas.

8. Pérdida/robo del dispositivo

En caso de que pierdas o te roben tu teléfono o notebook, un cibercriminal con el dispositivo desbloqueado podría tomar posesión de las sesiones de diversas cuentas, resetear claves, y hasta acceder al doble factor de autenticación.

Dado que estudiantes, docentes y personal administrativo mantienen sesiones activas en plataformas clave como aulas virtuales, correos institucionales, sistemas académicos y servicios en la nube, esto podría dejarlos en un estado de vulnerabilidad preocupante.

Los consejos en estos casos son:

  • Usar bloqueo fuerte y automático del dispositivo: PIN robusto, biometría (huella o rostro) y auto-bloqueo (que se active tras pocos segundos de inactividad).
  • Realizar copias de seguridad automáticas.
  • Activar “Encontrar / bloquear / borrar”: instalar una solución de seguridad que incluya la funcionalidad de bloqueo y borrado a distancia.

9. Cracks/keygens/software pirata

Muchas carreras requieren herramientas profesionales (edición de video, diseño, arquitectura, etc.) cuyos valores comerciales están fuera del alcance de estudiantes. Allí es donde suelen recurrir a software pirata, subestimando completamente el riesgo de seguridad asociado a estos archivos.

Es que estos cracks y keygens suelen venir acompañados de malware, spyware o troyanos diseñados para robar credenciales, capturar teclas o tomar control del dispositivo.

Esto puede derivar en el acceso no autorizado a correos institucionales, aulas virtuales y servicios en la nube, además de la exposición de información personal y académica.

Los consejos en estos casos son:

  • Activar doble factor de autenticación (2FA) en el correo y revisar los métodos de recuperación.
  • Revisar permisos otorgados a aplicaciones instaladas.
  • Revisar dispositivos y sesiones activas en servicios como Google, WhatsApp u otras plataformas académicas.

10) Sobreexposición en redes sociales

El ámbito educativo no está exento de otro gran flagelo: la sobreexposición en redes sociales: estudiantes y docentes suelen compartir en redes sociales información que parece inofensiva, como nombre de la universidad, carrera, materias, horarios, correos institucionales, fotos del campus o incluso capturas de pantalla del aula virtual.

¿El riesgo? Que los cibercriminales utilicen esta información pública para realizar ataques de phishing, vishing o smishing, mucho más creíbles. Cuantos más datos reales tenga el atacante sobre la víctima, mayor es la probabilidad de éxito del engaño.

Los consejos en estos casos son:

  • Evitar publicar correos institucionales, horarios, materias o capturas del campus virtual.
  • Configurar la privacidad de las cuentas y limitar quién puede ver publicaciones e historias.
  • Desconfiar de mensajes “demasiado personalizados”, incluso si parecen venir de alguien que conoce tu contexto académico.

Conclusiones

El ámbito educativo no está exento de las amenazas digitales: por ello, estudiar también implica aprender a identificar engaños y proteger la información personal y académica.

Con hábitos simples, como verificar antes de hacer clic, desconfiar de la urgencia y cuidar las cuentas y dispositivos, es posible reducir significativamente los riesgos y fortalecer la seguridad de toda la comunidad educativa.