Cómo estudiantes del MIT ayudan a prevenir ciberataques en gobiernos locales
El MIT Cybersecurity Clinic capacita a estudiantes multisectoriales para ofrecer evaluaciones pro bono a gobiernos locales y organizaciones de salud. Su enfoque combina aspectos técnicos con lo que llaman “ingeniería social defensiva”.
Un modelo educativo con impacto práctico
En 2019, un ciberataque paralizó la ciudad de Baltimore: archivos críticos fueron cifrados por delincuentes que exigían un rescate, y la ciudad optó por no pagar. El incidente afectó servicios como transacciones inmobiliarias y pagos de facturas, y los costos de recuperación se elevaron a millones. Esa crisis aparece en el plan de estudios del curso 11.074/11.274 (Cybersecurity Clinic) del Departamento de Urban Studies and Planning (DUSP) del MIT como un ejemplo claro de cómo el ransomware puede colapsar operaciones públicas.
Para enfrentar estas amenazas, los profesores Jungwoo Chun y Lawrence Susskind lanzaron en 2019 el MIT Cybersecurity Clinic. Desde entonces han ofrecido la materia casi cada semestre, combinando formación práctica para estudiantes con servicios pro bono para comunidades en riesgo.
Cómo funciona la clínica
El curso opera de manera similar a una clínica legal o médica: los estudiantes completan módulos instructivos y deben aprobar un examen de certificación. Luego se organizan en equipos y cada equipo es asignado a un cliente. Al final del semestre, entregan un informe que evalúa las vulnerabilidades del cliente frente a ciberataques y recomienda medidas concretas para mejorar la protección.
Hasta ahora, la clínica ha producido más de 40 evaluaciones confidenciales y gratuitas, mayormente para municipios y organizaciones de salud en la región de Nueva Inglaterra. Ese modelo demuestra que las universidades pueden canalizar talento y conocimiento técnico hacia instituciones públicas con recursos limitados.
Un problema creciente y caro
Los datos muestran la magnitud del desafío: en 2025, el Internet Crime Complaint Center del FBI reportó un promedio de 2,765 ciberataques dirigidos a estadounidenses cada día. Entre 2018 y 2024 hubo 525 ataques de ransomware contra entidades gubernamentales de EEUU, aproximadamente uno cada cinco días, con costos por tiempo de inactividad estimados en 1.09 mil millones de dólares, según Comparitech.
Cuando los ataques afectan a ciudades y hospitales, las consecuencias superan lo económico. Como señala Chun, “hay un efecto en cascada y aterrador en todas las dimensiones de nuestras vidas”: el servicio de emergencias, el abastecimiento de agua y la protección de datos personales pueden verse comprometidos.
Ingeniería social defensiva: más que tecnología
Una característica distintiva del programa es que no está dentro del departamento de ciencias de la computación, sino en planificación urbana. Chun, científico social aplicado, y Susskind, experto en resolución de conflictos y construcción de consensos, subrayan que la ciberseguridad no es solo un problema técnico.
Ellos definen su enfoque como “ingeniería social defensiva”: partir de la psicología humana y las dinámicas organizacionales para que la seguridad sea responsabilidad de todos, no solo del equipo de TI. Aunque el curso dedica tiempo a aspectos técnicos y a las herramientas que emergen con el desarrollo de la inteligencia artificial, insisten en que el vector de ataque más grande sigue siendo el factor humano. “Al final del día, el mayor vector de ataque sigue siendo a través de las personas”, dice Chun.
La idea es enseñar medidas prácticas y sostenibles: usar mejor los recursos y presupuestos existentes en lugar de depender únicamente de la compra del último antivirus. Para muchas entidades públicas y sin fines de lucro, que están escasamente financiadas, Susskind propone una “ruta de autoayuda” con acciones de bajo costo apoyadas por clínicas gratuitas.
Formación interdisciplinaria y capacidad organizacional
El curso reúne estudiantes de informática, planificación, ciencias sociales e ingeniería. Esto responde a una necesidad clara: los futuros profesionales deben comprender tanto la tecnología como las estructuras de decisión y presupuesto de sus clientes. Susskind señala que alumnos con formación técnica suelen sorprenderse por la importancia de fortalecer la capacidad organizacional de los clientes. Por ejemplo, un director de TI necesita aprobación política y presupuestos para implementar cambios; no puede actuar aisladamente.
A la vez, estudiantes de planificación suelen conocer iniciativas de ciudades inteligentes sin manejar los detalles tecnológicos ni los riesgos asociados. La clínica busca completar esos vacíos y lo hace además invitando varios oradores expertos cada semestre.
Voces invitadas y temas especializados
Entre las charlas recientes estuvieron expertos como Dan Ricci, fundador de Industrial Data Works, que habló sobre modelado de riesgos en sistemas energéticos con restricciones presupuestarias; Gus Serino, presidente de I&C Secure Inc., sobre ciberseguridad en tecnología operacional para sistemas de control industrial; y representantes del MassCyberCenter y de la Cybersecurity and Infrastructure Security Agency (CISA) que ofrecieron visiones de programas estatales y federales.
Estos aportes permiten a estudiantes y organizaciones clientes comprender también cómo la inteligencia artificial está transformando el panorama —tanto como herramienta defensiva como potenciador de ataques— sin perder de vista las medidas administrativas y de gestión que marcan la diferencia.
Lecciones relevantes para América Latina
Aunque el programa opera principalmente en Nueva Inglaterra, su enfoque tiene lecciones claras para municipios y hospitales en América Latina. Muchas autoridades locales en la región enfrentan limitaciones presupuestarias y falta de personal especializado, lo que las vuelve vulnerables a ataques que pueden paralizar servicios críticos.
El modelo de clínica universitaria ofrece una vía replicable: combinar formación práctica interdisciplinaria con apoyo directo a instituciones públicas, priorizando medidas de bajo costo y el fortalecimiento institucional. Además, en contextos donde la contratación de expertos es difícil por competencia salarial con el sector privado, la articulación entre universidades, centros de investigación y agencias públicas puede ser una forma efectiva de cerrar brechas.
Conclusión: prevención, formación y colaboración
La experiencia del MIT Cybersecurity Clinic muestra que prevenir y mitigar ciberataques exige algo más que soluciones tecnológicas: requiere formación, comprensión de las dinámicas organizacionales y colaboración entre el mundo académico y el sector público. Para gobiernos locales y organizaciones de salud, en Estados Unidos y en América Latina, impulsar capacidades internas y aprovechar recursos académicos puede ser una estrategia costo-efectiva para reducir riesgos y proteger servicios esenciales.
Fuente original: MIT News AI