En los últimos tiempos han crecido las violaciones de la seguridad informática como consecuencia del uso de vpn “gratuitas” como es el caso de Pshiphon.
En virtud de esta situación, en las ultimas tres semanas en el Blog de Ciberseguridad de la UO ha publicado el artículo titulado: “El uso de las VPN “gratuitas”. Sus aristas e inconveniencias.” (en tres partes) y que puede ser consultado en los enlaces: Parte 1, Parte 2 y Parte 3.
En los últimos días casi un centenar de estudiantes han visto afectada su navegación como consecuencia del uso de VPN “gratuitas”, en especial el Psiphon, con su consabido bombardeo de información subversiva. Como se dice en la tercera parte del artículo del Blog referido, la violación no está en usar un vpn, sino en que se “borren” las trazas de navegación del usuario.
La legislación cubana en torno a la ciberseguridad establece requerimientos al respecto en el decreto 360 y la resolución 128 del MINCOM, emitidas en 2019 y que aparecen en la Gaceta Oficial de la República de Cuba número 45 del año referido.
En el decreto 360/2019 en el artículo 55 se determina lo que se considera traza, mientras que en el artículo 56, inciso E, F y G se establecen las bases de la obligatoriedad de preservar las trazas. La base de esto es que solo a través de ellas se pueden desarrollar las investigaciones que fijen la evidencia digital en caso de incidente. Estas deben ser guardadas por 12 meses, que se corresponde con el período en el que pierden su validez la posibilidad de establecer reclamación por un delito vinculado a algunas cuestiones relacionadas con las TIC.
Por otra parte la resolución 128/2019 del MINCOM, que es el reglamento de seguridad informática de la República de Cuba en su artículo 39 establece la obligatoriedad de implementar mecanismos de seguridad para la confidencialidad, la disponibilidad, la integridad y el no repudio. Esta última, en especial, solo se puede garantizar a partir de la consulta de las trazas.
Además en el artículo 36 de la propia resolución en su inciso H se establece la obligatoriedad de garantizar un registro de trazas que incluyan la navegación en Internet correlacionadas con la dirección IP de salida del provedor de servicios.
Por su parte el artículo 45 establece la obligatoriedad en el Plan de prevención de la entidad, del cual forma parte el Plan de seguridad de las TIC, menciona los requisitos en sus inciso D y E la recogida de todos los eventos vinculados a las TIC y la colecta y preservación de las trazas de auditoria y otras evidencias.
Los estudiantes refieren que los docentes envían trabajos y tareas a través de whatsapp y no pueden acceder a ellas desde la red UO Net, lo que es cierto. Ninguna aplicación tiene salida a través de la WIFI de la institución.
La solución a la problemática está en que la UO dispone de plataformas para que los estudiantes trabajen libremente en sus actividades docentes y de investigación y estas apenas se utilizan como un FTP donde se cuelgan documentos. Además no hay limitación en el volumen de tráfico porque se suprimieron las cuotas, cosa que no ocurre en otras universidades.
Para el trabajo docente sería más adecuado el uso de la plataforma de educación a distancia de la UO (eva.uo.edu.cu) y si se requiere “colgar” para compartir un archivo, de forma puntual, se dispone de la nube de la institución.
La Dirección de Informatización de la UO insta estudiantes y trabajadores a modificar las prácticas que se desarrollan hoy en torno a esta problemática por los docentes para contribuir a la reducción de los incidentes informáticos en la UO.