Una adolescente expuso fallas de seguridad en el portal de calificaciones de India
El organismo educativo más grande del país admitió que su plataforma OnMark tenía vulnerabilidades críticas, descubiertas por una investigadora joven.
El 31 de mayo, la Central Board of Secondary Education de India, conocida como CBSE, confirmó que ha estado monitoreando vulnerabilidades críticas en su portal OnMark, una plataforma de calificación en línea que el organismo introdujo este año. Las fallas habían sido identificadas, antes que cualquier auditor oficial, por una investigadora adolescente de ciberseguridad.
OnMark fue diseñado para digitalizar el proceso de calificación: los maestros acceden a copias escaneadas de los cuadernillos físicos de los estudiantes y los califican de forma remota. La promesa era modernizar un sistema que durante décadas dependió de pilas de papel y traslados físicos. El resultado, por ahora, es un portal con agujeros que una chica encontró antes que el equipo de seguridad de la junta.
La CBSE dijo que ha estado "monitoreando de cerca" las debilidades y que las ha contenido. No especificó cuáles son, desde cuándo existían, cuántos registros estuvieron potencialmente expuestos ni qué datos maneja el portal además de los documentos de respuesta. Eso es bastante para una declaración oficial de un organismo que administra uno de los exámenes más importantes del país.
Los exámenes de la CBSE determinan el acceso a universidades de millones de estudiantes en India cada año. No son una prueba estatal menor. Son el filtro que decide trayectorias académicas, y el portal que procesa esa información tenía vulnerabilidades que requirieron una investigadora adolescente para salir a la luz.
La situación no es excepcional, aunque debería serlo. Las instituciones educativas son blancos frecuentes de brechas de datos en todo el mundo, y la aceleración hacia la digitalización de procesos sensibles rara vez viene acompañada del presupuesto de seguridad correspondiente. India no es la excepción: el país ha expandido agresivamente sus infraestructuras digitales en los últimos años, desde portales gubernamentales hasta plataformas de pago, con resultados variables en materia de ciberseguridad.
Lo que distingue este caso es quién encontró las fallas. No fue un equipo de pentesting contratado, no fue un reporte de bug bounty de un investigador senior, no fue una alerta de un proveedor externo. Fue una adolescente que miró el sistema con más atención que las personas a las que se les paga por hacerlo.
Según Bloomberg Technology, la CBSE no ha dado detalles sobre la naturaleza exacta de las vulnerabilidades ni sobre si hubo acceso no autorizado a datos de estudiantes antes de que las fallas fueran reportadas. Tampoco hay información pública sobre si la investigadora recibió reconocimiento formal, o si simplemente se le agradeció con una declaración corporativa y punto.
El portal OnMark es nuevo. La CBSE lo introdujo este año como parte de su transición hacia la evaluación digital. Que un sistema tan reciente, que maneja información tan sensible, haya llegado a producción con vulnerabilidades críticas no es una sorpresa técnica, pero sí es un problema institucional. Las prisas por digitalizar sin revisar la seguridad tienen consecuencias que eventualmente las pagan los estudiantes.
Las protestas en la sede central de la CBSE en Nueva Delhi, registradas el 30 de mayo, muestran que el descontento sobre cómo maneja el organismo la información de los examinados no es nuevo. La digitalización del proceso de calificación era una de las respuestas a esas quejas. La ironía es evidente.
Por ahora, la CBSE dice que las vulnerabilidades están contenidas. Lo que no dice es cómo piensa garantizar que el siguiente sistema que lance haya pasado por una revisión de seguridad que no dependa de que una adolescente tenga curiosidad suficiente para buscarlo.