Alrededor del 41% de las escuelas en Estados Unidos y el Reino Unido han experimentado ciberincidentes relacionados con la IA, desde campañas de phishing hasta contenido dañino generado por estudiantes, según un estudio publicado recientemente por una empresa de gestión de identidad y acceso a sistemas.
Del 41% de las escuelas que experimentaron un ciberincidente relacionado con la IA, el 11% informó que el incidente causó una interrupción, mientras que el 30% señaló que se contuvo rápidamente, según una encuesta realizada por TrendCandy para Keeper Security a 1.460 administradores educativos en EE.UU. y el Reino Unido.
La mayoría de las instituciones (82%) afirmaron sentirse al menos «algo preparadas» para gestionar las amenazas de ciberseguridad relacionadas con la IA, aunque esa cifra se reduce al 32% en el caso de las que se sienten «muy preparadas», según la encuesta. Esta confianza, atenuada por la cautela, demuestra que las escuelas son conscientes de los riesgos, pero persisten importantes deficiencias en la preparación general y persiste la incertidumbre sobre la eficacia de las medidas de seguridad existentes.
“Nuestra investigación reveló que, si bien casi todos los líderes educativos están preocupados por las amenazas relacionadas con la IA, solo uno de cada cuatro se siente seguro al identificarlas”, afirmó Anne Cutler, experta en ciberseguridad de Keeper Security.
“El desafío no radica en la falta de concienciación, sino en la dificultad de saber cuándo la IA pasa de ser útil a ser perjudicial”, declaró. “Las mismas herramientas que ayudan a un estudiante a generar ideas para un ensayo también pueden usarse indebidamente para crear un mensaje de phishing convincente o incluso una falsificación profunda de un compañero de clase. Sin visibilidad, las escuelas tienen dificultades para distinguir el uso legítimo de las actividades que suponen un riesgo”.
¿Incidentes cibernéticos de IA subregistrados?.
El hallazgo de que el 41% de las escuelas ya han sufrido un ciberincidente relacionado con la IA es sorprendentemente alto, aunque quizás no inesperado dada la rápida y en gran medida descontrolada proliferación de herramientas de IA en entornos educativos, observó David Bader, director del Instituto de Ciencias de Datos del Instituto Tecnológico de Nueva Jersey (NJIT), en Newark, Nueva Jersey.
«Esta cifra es preocupante porque sugiere que casi la mitad de nuestras instituciones educativas se enfrentan a problemas de seguridad antes de haber tenido la oportunidad de establecer las medidas de seguridad adecuadas», declaró.
Históricamente, las escuelas han sido blancos vulnerables de ciberataques debido a la limitación de presupuestos y personal de TI para ciberseguridad. Además, la introducción de herramientas de IA —muchas de las cuales estudiantes y profesores adoptan de forma independiente sin verificación institucional— ha ampliado drásticamente la superficie de ataque.
“Lo que resulta particularmente preocupante es que este 41% probablemente represente solo los incidentes que las escuelas han detectado y reportado, lo que significa que la cifra real podría ser considerablemente mayor”, afirmó.
James McQuiggan, asesor de CISO en KnowBe4, un proveedor de capacitación en concientización sobre seguridad en Clearwater, Florida, coincidió. “Dada la rapidez con la que las escuelas intentan adoptar herramientas de IA y, probablemente, sin prácticas sólidas de higiene en ciberseguridad, esta cifra podría ser conservadora”, declaró.
“Desafortunadamente”, continuó, “muchas escuelas no cuentan con los recursos ni la gobernanza necesarios para gestionar la IA de forma segura para sus estudiantes, lo que aumenta el riesgo de exposición y uso indebido de datos”.
“La cifra no es sorprendente si tenemos en cuenta que entre esos incidentes se incluyen correos electrónicos de phishing”, añadió Paul Bischoff, defensor de la privacidad del consumidor en Comparitech, un sitio web de reseñas, consejos e información sobre productos de seguridad para el consumidor.
“Muchas campañas de phishing no son dirigidas por hablantes nativos de inglés”, declaró. “La IA les ayuda a redactar correos electrónicos de phishing más convincentes y con menos errores”.
Según el Informe de Investigaciones de Violaciones de Datos de Verizon de 2025, el phishing representa el 77% de las filtraciones en el sector educativo, lo que lo convierte en el ataque más común en dicho sector.
La Adopción de IA se extiende en las Escuelas.
El estudio también reveló que la IA es ahora un componente común en las aulas y las oficinas del profesorado. El 86% de las instituciones permite el uso de herramientas de IA por parte de los estudiantes, mientras que solo el 2% las ha prohibido por completo. Entre el profesorado, añadió, la adopción es aún mayor, con un 91%.
Se informó que los estudiantes utilizan la IA principalmente para tareas de apoyo y exploración. Los usos más comunes son la investigación (62%), la lluvia de ideas (60%) y la asistencia lingüística (49%). Le siguen los proyectos creativos (45%) y el apoyo a la revisión (40%), mientras que las tareas más sensibles, como la codificación (30%) y la realización de tareas (27%), están más estrictamente controladas.
Si bien el informe muestra que el 86% de las escuelas permiten el uso de IA por parte de los estudiantes y el 91% del profesorado la utiliza, la realidad es que las escuelas han perdido en gran medida la capacidad de «Prohibir significativamente el uso de la IA, incluso si quisieran», argumentó Bader, del NJIT. «Las herramientas de IA están disponibles gratuitamente en dispositivos personales, y los estudiantes acceden a ellas fuera de las redes escolares, independientemente de las políticas institucionales».
“La pregunta más productiva no es si se debe permitir la IA, sino cómo integrarla responsablemente”, afirmó. “Las escuelas se enfrentan a la decisión no de si se utilizará la IA, sino de si asumirán un papel de liderazgo en la configuración de dicho uso mediante la educación, marcos éticos y medidas de seguridad adecuadas”.
“Intentar prohibir la IA sería inútil y contraproducente”, añadió. “Simplemente relegaría su uso a la clandestinidad y privaría a los estudiantes de las habilidades de alfabetización digital que necesitarán en un mundo potenciado por la IA”.
Sam Whitaker, vicepresidente de impacto social e iniciativas estratégicas de StudyFetch, una plataforma impulsada por IA especializada en transformar materiales de estudio en herramientas de estudio interactivas para estudiantes y educadores, en Los Ángeles, advirtió que existe una diferencia entre el “uso de la IA” y el “uso responsable de la IA”. “El uso irrestricto de herramientas de productividad como ChatGPT o plataformas de aprendizaje de IA que no están diseñadas para el aprendizaje no solo es peligroso, sino también potencialmente catastrófico para la creatividad y el pensamiento crítico a largo plazo de los estudiantes”, declaró.
“Las escuelas no solo tienen la opción, sino también la responsabilidad de brindar soluciones responsables que estén verdaderamente diseñadas para el aprendizaje y no para el engaño”, añadió.
Las políticas escolares se quedan atrás en el uso de la IA.
Si bien las escuelas y universidades están desarrollando marcos para regular el uso de la IA, el estudio señaló que su implementación es desigual. El desarrollo de políticas aún se está poniendo al día con la práctica, explicó, ya que poco más de la mitad cuenta con políticas detalladas (51%) o directrices informales (53%), mientras que menos del 60% implementa herramientas de detección de IA y programas de educación estudiantil.
Con más del 40% ya afectado, continuó, el hecho de que solo un tercio (34%) cuente con presupuestos específicos y tan solo el 37% con planes de respuesta a incidentes indica una preocupante brecha en la preparación.
Cutler, de Keeper, señaló que confiar en directrices informales en lugar de políticas formales genera incertidumbre tanto entre estudiantes como entre el profesorado sobre cómo usar la IA de forma segura para mejorar el aprendizaje y dónde podría generar riesgos imprevistos.
«Lo que descubrimos es que la ausencia de políticas se debe menos a la reticencia y más a una estrategia de recuperación», afirmó. «Las escuelas están adoptando el uso de la IA, pero la gobernanza no ha seguido el ritmo».
“Las políticas proporcionan un marco necesario que equilibra la innovación con la rendición de cuentas”, explicó. “Esto implica establecer expectativas sobre cómo la IA puede apoyar el aprendizaje, garantizar que información confidencial, como los expedientes académicos o la propiedad intelectual, no se comparta con plataformas externas y exigir transparencia sobre cuándo y cómo se utiliza la IA en los cursos o la investigación. En conjunto, estas medidas preservan la integridad académica y protegen los datos confidenciales”.
Si bien las políticas que rigen la IA son necesarias, no deben formularse con un enfoque uniforme. “Es importante recordar que un enfoque único probablemente no funcione en este caso”, advirtió Elyse J. Thulin, profesora adjunta de investigación del Instituto para la Prevención de Lesiones por Armas de Fuego de la Universidad de Michigan. “Es importante contar con una guía de referencia, pero las distintas organizaciones deberán adaptar sus enfoques a sus necesidades e infraestructura”.
“Cada nueva tecnología conlleva el potencial de causar daños y usos indebidos, así como los beneficios de los avances”, añadió. “Esto no significa necesariamente que la tecnología sea dañina o incorrecta. Simplemente debemos trabajar para identificar maneras de evitar su uso indebido”. “La IA está incluida en esto y se está desarrollando a un ritmo vertiginoso, por lo que el apoyo continuo a la investigación en este ámbito es fundamental”, continuó. “Cuanto más estudiemos e identifiquemos estos patrones de uso, mejor podremos establecer estrategias y soluciones basadas en la evidencia para, en última instancia, proteger a los estudiantes y lograr entornos escolares más seguros para todos”.
