En resumen
Los bots están llenando las clases de los colegios comunitarios en un posible intento de los estafadores de acceder de manera fraudulenta a las subvenciones de ayuda COVID-19 y otras ayudas financieras. Al menos 10 distritos o universidades individuales le dijeron a CalMatters que se habían visto afectados, y el sistema de universidades comunitarias ha anunciado nuevas medidas de seguridad para combatir la estafa.
Read this article in English.
El primer día del trimestre de primavera de este año, un profesor de aeronáutica se acercó a la administradora Laura Hope para compartir algo sospechoso: la mayoría de los estudiantes de su clase virtual no participaban en absoluto.
Hope, directora de instrucción en Chaffey College, un colegio comunitario en Inland Empire del sur de California, se sumergió en los registros de la universidad para averiguar por qué.
¿La impactante respuesta? No se trataba de estudiantes reales, sino de estafadores que probablemente querían estafar a los contribuyentes con millones de dólares en ayuda financiera. El personal se dio cuenta de la estafa antes de empezar a distribuir el dinero, dijo Hope. Si no lo hubieran hecho, alrededor de 1,7 millones de dólares habrían caído en manos de estafadores.
Chaffey no es el único colegio comunitario de California que ha reportado estos incidentes, según una investigación de CalMatters, los funcionarios del sistema de 116 universidades dicen que están viendo un aumento en los ataques cibernéticos desde la pandemia. Los funcionarios sospechan que se debe a que los estafadores están apuntando a las subvenciones federales de ayuda COVID-19 junto con la ayuda financiera tradicional. Al menos 10 distritos o universidades individuales le han dicho a CalMatters que han tenido aumentos en solicitudes falsas, registros, presentaciones de ayuda financiera o alguna combinación de los tres. La Oficina del Canciller estima que aproximadamente el 20% del tráfico que llega al portal de aplicaciones en línea del sistema proviene de bots y otros actores “maliciosos”.
Los bots están llenando las clases, en algunos casos impidiendo que los estudiantes reales se matriculen. E identificar y bloquear las cuentas falsas de los estudiantes está consumiendo una cantidad considerable de tiempo del personal, dicen los funcionarios de la universidad. Dicen que el sistema está siendo atacado en parte porque es de inscripción abierta y no tiene una tarifa de solicitud.
“Es un asalto bien orquestado y dirigido analíticamente contra las debilidades de nuestro sistema”, dijo Hope.
Esta semana, la Comisión de Ayuda Estudiantil de California le dijo a Los Angeles Times que había identificado más de 65,000 solicitudes de ayuda de supuestos estudiantes de colegios comunitarios que parecen ser falsas, lo que da crédito a la idea de que los estafadores buscan hacerse con las subvenciones estatales.
Y en un memorando a las universidades el lunes, la vicerrectora de innovación digital e infraestructura del sistema de colegios comunitarios, Valerie Lundy-Wagner, anunció nuevas medidas de seguridad para combatir la amenaza.
Los estafadores buscan direcciones de correo electrónico de estudiantes y ayuda federal
Si bien los informes de fraude han aumentado recientemente, los ataques cibernéticos a las universidades comunitarias del estado no son nuevos, y los perpetradores no necesariamente tienen que ser piratas informáticos sofisticados.
Una búsqueda rápida en YouTube muestra innumerables videos que detallan cómo crear cuentas de estudiantes fraudulentas para obtener una dirección de correo electrónico .edu y así obtener acceso gratuito o con descuento a software, compras en línea y música digital.
En un video de “Targetter”, un YouTuber que parece tener su sede en la India, explica a sus 70.000 espectadores el proceso de obtención de un correo electrónico .edu mediante un bot que se puede descargar desde la biografía de su cuenta.
“Todo está automatizado, no necesitas hacer nada”, dice el YouTuber mientras el código se desplaza en una ventana emergente. Otra pantalla emergente ofrece opciones para “inscribirse” en uno de los cuatro colegios comunitarios de California que figuran en la lista: Contra Costa College, Mt. San Jacinto College, San Francisco City College y Sacramento City College.
“Todo lo que tengo que hacer ahora es sentarme y relajarme”, dice mientras el robot llena una solicitud de Contra Costa College con información personal falsa. En siete minutos, “Targetter” se había inscrito en Contra Costa College como Ivan N. Atkinson para el período de otoño de 2020.
En un video de seguimiento, menciona que el bot ya no funciona debido a las actualizaciones de seguridad en el sitio web de los colegios comunitarios, pero alienta a los espectadores a realizar sus propios cambios en el código.
“Lo que pasa con esto es que no es difícil de hacer”, dijo Nick Merrill, investigador en ciberseguridad en UC Berkeley. “El código, obviamente, está flotando para hacer esto en un puñado de universidades”.
La afluencia de ayuda federal de emergencia y el cambio al aprendizaje remoto, facilita que los estafadores se escondan detrás de una pantalla en lugar de aparecer en persona y esto ha hecho que el sistema de colegios comunitarios sea aún más atractivo para los malos actores, dicen los funcionarios de la universidad. Eso, junto con el deseo de los administradores universitarios de sacar el dinero lo antes posible a los estudiantes golpeados por los efectos económicos de la pandemia, crea un duro acto de equilibrio para los funcionarios encargados de proteger el dinero de los contribuyentes mientras distribuyen ayuda vital.
A lo largo de tres rondas de ayuda federal de emergencia, los colegios comunitarios de California recibirán al menos $4,3 mil millones, de los cuales $1,75 mil millones irán directamente a los estudiantes.
Los signos reveladores de fraude en Chaffey fueron evidentes tan pronto como Hope comenzó a investigar las preocupaciones de un profesor. Un supuesto estudiante matriculado en un curso de aeronáutica y enfermería. “Esos no son programas que se cruzan”, comentó Hope. Sin embargo, esas clases tienen cargas unitarias elevadas, lo que hace que los estudiantes estén más cerca de ser elegibles para la cantidad máxima de ayuda financiera.
Los funcionarios de la universidad encontraron aproximadamente 500 cuentas que consideraron falsas, y sus perfiles de datos de estudiantes tenían banderas rojas similares. Un obsequio: las solicitudes que enviaron estos estudiantes provienen de la misma dirección IP: un identificador en línea que muestra dónde se encuentra alguien. Muchas de las aplicaciones tenían las mismas direcciones de correo electrónico. Pocos tenían números de teléfono correspondientes.
Otras universidades informaron aumentos dramáticos en las solicitudes durante el año escolar 2020-21, a pesar de una eventual caída en la inscripción. “Recibimos alrededor de 33,000 solicitudes al año. Este año obtuvimos 75,000 ”, dijo Brandon Moore, jefe ejecutivo de efectividad institucional en Mt. San Jacinto College en el condado de Riverside. “La mayoría de ellos no son estudiantes reales”.
El Distrito de Colegios Comunitarios de Contra Costa descubrió a casi 40,000 solicitantes falsos en el otoño de 2020, frente a los 12,000 en 2019. Otras universidades que identificaron cuentas falsas durante la pandemia incluyen College of the Sequoias, Citrus College, Compton College, College of the Siskiyous, Southwestern College y Ohlone College, encontró CalMatters.
En algunos casos, los funcionarios de la universidad identificaron el fraude justo antes de haber desembolsado la ayuda financiera, como en Fullerton College, que tuvo que suspender el pago de más de $1 millón en becas este verano después de identificar unas 3,000 cuentas falsas, dijo el director de ayuda financiera Greg Ryan.
El Distrito de Colegios Comunitarios de Peralta también revirtió $4,800 en desembolsos financieros fraudulentos de verano después de descubrir más de 125 solicitudes falsas, según un informe de la oficina del canciller del distrito a su junta directiva.
Impacto en estudiantes reales
En la clase de antropología de Kathryn Maurer en Foothill College en Silicon Valley, 23 de cada 50 estudiantes eran falsos, lo que llenó la clase de inmediato. Debido a que las clases de los colegios comunitarios son de acceso abierto, dijo Maurer, no pudo eliminar a los estudiantes de la lista hasta el comienzo de la clase, cuando los estudiantes pudieron usar Canvas, el sistema de aprendizaje en línea de la universidad.
Incluso entonces, hubo algo de participación en clase. Sospechaba de algunos “estudiantes” porque solo contestaban la primera pregunta de un cuestionario. En una tarea en la que se pedía a los estudiantes que se presentaran, Maurer dijo que algunas de las publicaciones incluían exactamente la misma información con solo el nombre y el lugar cambiados.
Pero cuando se eliminaron las cuentas fraudulentas, ya era demasiado tarde para que los estudiantes reales se inscribieran, comento Maurer.
Los estudiantes falsos representaron el 2-3% de la matrícula de Foothill en los últimos dos trimestres, dijo Anthony Cervantes, decano de admisiones. La universidad ha dedicado cientos de horas a investigar un posible fraude y los estudiantes reales a veces quedan atrapados en la red.
“Estamos tratando de traer nuevamente a esos estudiantes que son reales lo antes posible”, dijo. “Estamos tratando de evitar que estos grupos fraudulentos se inscriban para que no les quiten los asientos a los estudiantes”.
Después de identificar 1,600 solicitudes falsas de ayuda financiera federal en los últimos dos trimestres, lo que probablemente implica el robo de identidad, ya que requiere un número de Seguro Social real, la universidad comenzó a exigir que las cuentas sospechosas carguen digitalmente una identificación para demostrar que son estudiantes reales. La mayoría de los estafadores desaparecen en ese momento, dijeron los funcionarios de la universidad.
Los administradores de varias universidades dijeron que están preocupados por el impacto potencial del fraude en los estudiantes reales cuando el sistema de universidades comunitarias en su conjunto está luchando contra la disminución de las inscripciones. “Saber que posiblemente decepcionamos a los estudiantes o los rechazamos, por supuesto, no se siente bien, y especialmente cuando la inscripción es más valiosa que nunca”, comentó Hope.
Un patrón nacional de ciberataques
Las estafas pueden ser parte de una tendencia nacional; los ciberataques a instituciones educativas de EE. UU. han aumentado un 15% desde principios de 2021, según datos de Check Point, una empresa de ciberseguridad.
La Oficina del Canciller ha informado del aumento en el fraude a la Oficina del Inspector General del Departamento de Educación de Estados Unidos, dijo el portavoz Paul Feist. Un portavoz del Inspector General dijo que puede confirmar un aumento en los informes de fraude tanto para el sistema de colegios comunitarios de California como para los de otros estados, pero “no puede proporcionar ningún dato adicional, ya que podría relacionarse con los casos actuales”.
El canciller Eloy Ortiz Oakley dijo el lunes a Los Angeles Times que estaba “alarmado” por la amenaza.
“Hay muchos estafadores sin escrúpulos en este momento que intentan acceder y explotar los beneficios, no muy diferente de lo que sucedió con el seguro de desempleo y cualquier otro tipo de beneficios que se han puesto a disposición recientemente debido a la pandemia”, dijo Oakley. “Pero estoy seguro de que las universidades han podido identificar la actividad y están trabajando para mitigar el riesgo de los campus”.
Crear una cuenta de estudiante falsa es solo el primer paso. Para que los estafadores traspasen las puertas y se escapen con la ayuda federal para estudiantes, tienen que pasar muchas cosas.
Primero, tienen que pasar por alto los filtros que la Oficina del Canciller ha instado a las universidades a configurar para detectar cuentas sospechosas. A continuación, los estafadores tendrían que participar con regularidad en las clases para evitar el escrutinio de profesores que están capacitados para buscar perfiles sospechosos de estudiantes en línea que no participan en el material de la clase.
Luego deben pasar por la oficina de ayuda financiera. Bajo la administración de Biden, la ayuda federal COVID está abierta a prácticamente cualquier estudiante, incluso aquellos sin solicitudes de ayuda financiera archivadas. En algunos colegios comunitarios, los estudiantes deben recoger los cheques de subvenciones en persona utilizando una identificación federal o estatal que coincida con su perfil de estudiante. Pero otros han renunciado a ese paso durante la pandemia.
Lucha contra el fraude
Los profesores desempeñan un papel clave en la lucha contra el fraude, porque son responsables de sacar a los estudiantes de la clase si no participan aproximadamente a las tres semanas del término, cuando la universidad realiza un recuento formal de inscripciones, conocido como censo.
“Es vital que los profesores retiren a los estudiantes que no asisten antes de la fecha del censo para reducir significativamente la probabilidad de que la ayuda financiera se desembolse de manera fraudulenta”, escribió Lundy-Wagner, la vicerrectora, en otro memorando a las universidades en junio.
Pero gran parte de la instrucción todavía se imparte en línea, lo que puede ser difícil de controlar, dicen instructores como Maurer, que a veces enseña hasta 200 estudiantes cada trimestre.
En el pasado, gran parte de la carga de detectar el fraude recaía en las universidades individuales. Pero este verano, la Oficina del Canciller de los Colegios Comunitarios de California lanzó un nuevo detector de bots para captar tráfico malicioso en su sitio web de aplicaciones.
A partir de este mes, se suspenderá cualquier cuenta de estudiante asociada con actividad fraudulenta. El sistema universitario estatal también comenzará a exigir a los campus que presenten informes mensuales que detallen el fraude de ayuda financiera y de registro sospechoso y confirmado, incluido el dinero pagado erróneamente a los estafadores.
Para octubre, los estudiantes deberán usar la autenticación de múltiples factores que requiere la confirmación de un correo electrónico o número de teléfono antes de que puedan completar una solicitud.
Patrick Perry, director de políticas e investigación de la Comisión de Ayuda Estudiantil de California, describió la respuesta del estado hasta ahora como una “historia de éxito”.
A pesar del aumento en los intentos de fraude, “el sistema funcionó como debería: numerosas personas en numerosos niveles se dieron cuenta de esto y lo resolvieron”, explicó.
Pero Merrill, el experto en ciberseguridad, dijo que una defensa centralizada y continua por parte del sistema de colegios comunitarios sería importante para detener la marea de estudiantes bots.
“La única forma de hacer esta escala es usar el mismo repositorio, las mismas herramientas en muchas universidades y muchas aplicaciones”, dijo.
_
Síganos en Twitter y Facebook.
Siga nuestro canal RSS para artículos en español.
CalMatters.org es una organización de medios de comunicación sin fines de lucro, no partidista, que explica las políticas públicas y los temas políticos de California.
