En los últimos años, la ciberseguridad en la Universidad Pontificia Comillas se ha convertido en una pieza clave para proteger tanto la actividad académica como la gestión interna. No solo se trata de salvaguardar ordenadores o redes, sino de blindar un ecosistema entero donde conviven datos de estudiantes, proyectos de investigación, información de gestión y comunicaciones críticas. En este contexto, Comillas ha apostado por una estrategia muy completa que combina tecnología puntera, formación especializada y una mirada muy humana a la seguridad digital.
Además, la universidad ha impulsado iniciativas avanzadas como el Máster en Ciberseguridad del ICAI y proyectos de neurociberseguridad que investigan el papel del factor humano ante los ciberataques. Todo ello se articula alrededor de una Unidad de Ciberseguridad específica, políticas alineadas con estándares internacionales como ISO 27001 y una estrecha colaboración con empresas, otras universidades y organismos públicos como INCIBE. El resultado es un enfoque integral que va mucho más allá de poner parches técnicos cuando surge un problema.
Ciberseguridad en el entorno universitario: por qué es tan crítica
En un campus universitario moderno, la seguridad de la información se ha vuelto absolutamente estratégica. Las instituciones de educación superior gestionan una enorme cantidad de datos sensibles: expedientes académicos, historiales económicos de los estudiantes, información de personal, investigaciones científicas, proyectos tecnológicos y todo tipo de documentación administrativa. Un incidente de seguridad no solo puede afectar a la reputación de la universidad, sino también al futuro profesional y personal de miles de personas.
La Universidad Pontificia Comillas asume que su Sistema de Información (SI) es un activo crítico y que su protección debe abarcar todos los ámbitos: desde las redes internas hasta las plataformas en la nube, pasando por aplicaciones de gestión, servicios web, dispositivos de los usuarios y canales de comunicación. Todo ello en un entorno híbrido, con acceso desde diferentes ubicaciones, múltiples perfiles de usuario (estudiantes, PDI, PAS, colaboradores externos) y usos muy diversos.
Por eso, la seguridad informática se entiende en Comillas como seguridad de los sistemas de información (SSI) en sentido amplio. No se limita a antivirus o cortafuegos, sino que incluye medidas técnicas, organizativas, humanas y jurídicas. El objetivo último es evitar el uso indebido o abusivo de los recursos de información de la universidad y garantizar que la actividad académica y administrativa pueda continuar incluso ante incidentes, fallos o ataques.
En este contexto, cobra especial importancia la protección del carácter estratégico de los datos electrónicos que maneja la institución: resultados de investigaciones, desarrollos tecnológicos, planes de gestión, datos personales y documentos confidenciales. La pérdida, alteración o filtración de esta información puede tener un impacto directo en la competitividad científica, en el cumplimiento normativo y en la confianza de la comunidad universitaria.
Todo este enfoque se plasma en un Plan de Seguridad de la Universidad Pontificia Comillas que se construye, revisa y actualiza periódicamente. Este plan se basa en buenas prácticas reconocidas del sector de la ciberseguridad y se apoya en normas internacionales como la ISO 27001, que marcan una hoja de ruta clara para gestionar riesgos, definir controles y establecer responsabilidades.
La Unidad de Ciberseguridad de Comillas: misión y funciones
Para aterrizar esta estrategia, Comillas cuenta con una Unidad de Ciberseguridad específica que nace con una misión muy clara: minimizar el nivel de riesgo de todos los activos expuestos a ataques de naturaleza cibernética. Hablamos de servidores, redes, aplicaciones, bases de datos, dispositivos, pero también de procesos, personas y cualquier elemento que pueda convertirse en puerta de entrada para un atacante.
La principal preocupación de esta unidad es protección integral de la información de la Universidad Pontificia Comillas, manteniendo siempre un estándar alto en los cuatro grandes principios clásicos de la seguridad de la información: Confidencialidad (que solo acceda quien debe), Integridad (que los datos no se alteren indebidamente), Disponibilidad (que los sistemas funcionen cuando se necesitan) y Trazabilidad (que se pueda saber quién ha hecho qué y cuándo).
Para lograrlo, la Unidad de Ciberseguridad trabaja codo con codo con el equipo informático de la STIC (Servicios de Tecnologías de la Información y las Comunicaciones). Esta colaboración diaria permite anticiparse a las amenazas, reforzar los sistemas antes de que surjan problemas y responder de manera coordinada cuando aparece un incidente. La idea es que la seguridad no sea algo añadido al final, sino un elemento integrado en cada proyecto tecnológico desde su diseño.
Dentro de la universidad, la responsabilidad última de la seguridad de los sistemas de información recae en el director de la oficina de redes, comunicaciones y seguridad, junto con el responsable de la propia Unidad de Ciberseguridad. Juntos definen la política global, marcan los objetivos prioritarios y aseguran el alineamiento con las disposiciones reglamentarias y estándares internacionales que afectan a una institución educativa de este nivel.
Esta estructura organizativa permite que las decisiones de seguridad no se tomen de forma aislada, sino enmarcadas en una estrategia digital de conjunto. De este modo, se equilibran las necesidades de acceso, innovación y flexibilidad propias de un campus universitario con la obligación de proteger la información y cumplir la normativa vigente en materia de protección de datos y ciberseguridad.
Principales roles y actividades de la Unidad de Ciberseguridad
El trabajo de la Unidad de Ciberseguridad de Comillas se despliega en varios frentes complementarios entre sí. Una de sus funciones clave es el establecimiento de procesos y políticas de seguridad que regulen el uso de los recursos tecnológicos, el tratamiento de la información y la respuesta ante incidentes. Estas políticas sirven de marco de referencia para estudiantes, profesores y personal, facilitando que todos sepan qué se puede hacer, cómo y bajo qué condiciones.
Además, la unidad impulsa la aplicación de las mejores prácticas de ciberseguridad reconocidas a nivel nacional e internacional. Esto incluye la configuración segura de sistemas, el principio de mínimo privilegio en el acceso a la información, la segmentación de redes, el endurecimiento de servidores, la actualización constante de software y la adopción de soluciones de protección avanzadas frente a malware, ransomware o ataques de ingeniería social.
Otro pilar importante es la auditoría y el control periódico de los sistemas de información. La unidad realiza revisiones sobre redes, aplicaciones web, activos críticos y procesos internos para identificar vulnerabilidades, malas configuraciones o puntos débiles que puedan ser explotados por atacantes. Estas auditorías permiten corregir errores, reforzar controles y priorizar inversiones en función de los riesgos reales detectados.
La Unidad de Ciberseguridad también actúa como asesor clave en proyectos tecnológicos dentro de la universidad. Siempre que se pone en marcha una nueva herramienta, plataforma o servicio digital, este equipo orienta sobre cómo integrar la ciberseguridad desde el diseño, evitando soluciones improvisadas o inseguras. De este modo, la seguridad se convierte en un requisito de calidad del proyecto, no en un obstáculo.
Por último, hay un ámbito que cada vez cobra más peso: la formación y sensibilización de los empleados y otros usuarios. La unidad participa en acciones de concienciación para que el personal identifique correos de phishing, adopte buenas prácticas de contraseñas, sepa cómo manejar información sensible y entienda la importancia de reportar incidentes. El objetivo es que la primera línea de defensa no sea solo tecnológica, sino también humana.
- Evaluación de vulnerabilidades y amenazas en el entorno tecnológico y organizativo de la universidad.
- Implicación directa en la gestión y respuesta a incidentes de seguridad que puedan afectar a los sistemas o datos.
- Aplicación de normas internacionales de seguridad como referencia metodológica para todas las actuaciones.
- Vigilancia continua del panorama de ciberseguridad, detectando tendencias, nuevas técnicas de ataque y riesgos emergentes.
Protección de la información y continuidad de la actividad
En Comillas, la seguridad de la información se concibe como un componente esencial de su estrategia digital. No se limita a cumplir expediente, sino que se integra en la planificación a largo plazo de la universidad. La idea es proteger la circulación, el almacenamiento y el tratamiento de los datos en todos los contextos posibles: aulas, despachos, laboratorios, teletrabajo, acceso remoto y uso de dispositivos móviles.
Esta protección abarca todos los medios puestos en juego por la institución: medidas técnicas (como cifrado, copias de seguridad, autenticación robusta), medidas organizativas (procedimientos, roles, políticas), medidas humanas (formación, concienciación, cultura de seguridad) y medidas jurídicas (cumplimiento de leyes y reglamentos, clausulados en contratos con proveedores tecnológicos, acuerdos de confidencialidad, etc.). Solo la combinación de todos estos elementos reduce realmente el riesgo.
Uno de los grandes objetivos es garantizar la continuidad de la actividad universitaria. Para ello se contemplan planes de contingencia, esquemas de recuperación ante desastres y procedimientos de restauración de datos que permitan seguir dando clase, investigando y gestionando la universidad aunque se produzca un incidente grave. La interrupción de servicios digitales clave podría frenar matriculaciones, evaluaciones, acceso a recursos de aprendizaje o proyectos de investigación, de ahí la importancia de anticiparse.
La universidad es muy consciente del volumen de usuarios y del tipo de información que gestiona. Entre estudiantes y empleados, el número de personas que interactúan a diario con el Sistema de Información es enorme, y cada una de ellas puede ser un punto de riesgo si no sabe cómo actuar. A esto se suma el carácter estratégico de los datos electrónicos que custodia Comillas: información científica avanzada, desarrollos tecnológicos, datos de gestión interna, historiales académicos, datos económicos y personales de su comunidad.
Para protegerlos, Comillas aplica controles y políticas que buscan evitar accesos no autorizados, modificaciones indebidas o filtraciones. Esto incluye sistemas de registro y trazabilidad que permiten reconstruir qué ha sucedido ante un incidente, así como mecanismos de detección temprana de comportamientos sospechosos. Al mismo tiempo, se procura no entorpecer el trabajo diario de docentes, investigadores y estudiantes, encontrando un equilibrio razonable entre seguridad y usabilidad.
El Máster en Ciberseguridad del ICAI: formación alineada con la realidad del sector
Dentro de este ecosistema, uno de los pilares formativos más destacados es el Máster en Ciberseguridad del ICAI, que surge precisamente para dar respuesta a las necesidades reales del mercado. Este programa está diseñado en estrecha colaboración con empresas punteras del sector, que han participado activamente en la definición de contenidos, competencias y enfoque práctico del máster.
La idea central es que los alumnos adquieran una visión completa de la seguridad en diferentes sectores donde la protección de la información es un pilar fundamental del negocio: banca, energía, industria, administración pública, telecomunicaciones, sanidad, etc. En un escenario en el que la ciberseguridad impacta directamente en cualquier tipo de organización, sea cual sea su tamaño o actividad, se necesitan profesionales capaces de entender tanto la parte técnica como la organizativa y estratégica.
Este máster es principalmente presencial y cuenta con profesorado propio de ICAI junto a algunos de los mejores especialistas en seguridad procedentes de todo tipo de ámbitos empresariales, de la administración pública e incluso de los cuerpos y fuerzas de seguridad del Estado. Esta mezcla de perfiles académicos y profesionales aporta una visión muy pegada a la realidad, con casos prácticos, experiencias reales y contacto directo con los retos del día a día.
El programa se ha creado para cubrir de forma integral los aspectos de ciberseguridad que cada sector considera más relevantes: protección de infraestructuras críticas, seguridad en redes y sistemas, criptografía aplicada, gestión de incidentes, análisis forense, gobierno y cumplimiento normativo, seguridad en el desarrollo de software, entre otros muchos temas. El resultado es una formación muy completa que prepara tanto para puestos técnicos como para roles de gestión y coordinación de la seguridad.
Uno de los grandes atractivos del máster es la posibilidad de realizar prácticas remuneradas en empresas de primer nivel. Estas prácticas, además de ayudar a financiar parte del coste del programa, permiten a los estudiantes enfrentarse a entornos reales, participar en proyectos de seguridad concretos y generar contactos profesionales de gran valor. A la vez, contribuyen a elevar la calidad de los Trabajos Fin de Máster, que suelen tener un fuerte componente de aplicación práctica en empresas o instituciones.
El Máster en Ciberseguridad del ICAI también proporciona una sólida base de conocimientos para optar a certificaciones profesionales en diferentes ámbitos de la seguridad. Aunque cada certificación tiene sus propios requisitos y exámenes, haber pasado por un programa tan completo facilita mucho el camino para credenciales reconocidas en el mercado, algo muy valorado por las organizaciones que buscan expertos en ciberseguridad.
Neurociberseguridad y algoritmo EVE: cuando el eslabón débil es humano
Uno de los proyectos más innovadores asociados a Comillas es el desarrollo de EVE (Emotions and Vulnerabilities Exposed and Protected), un algoritmo predictivo que aborda la ciberseguridad desde una perspectiva profundamente humana. La universidad, a través de su Cátedra de Innovación y Salud Mental Digital, ha tenido un papel clave en este trabajo, que une neurociencia, tecnología y psicología para entender cómo reaccionamos ante los ciberataques.
La idea de partida es clara: aunque la tecnología puede llegar a bloquear entre el 90% y el 99% de los ataques, el pequeño porcentaje que consigue superar las barreras técnicas suele tener un impacto enorme. ¿Por qué? Porque se apoya en el factor humano, el eslabón más débil de la cadena. Un clic impulsivo en un correo malicioso, una contraseña compartida, una información revelada sin pensar… basta una decisión errónea para comprometer a toda una organización.
EVE se integra en una plataforma de neurociberseguridad que analiza cómo influyen nuestras emociones y rasgos de personalidad en la probabilidad de caer en un ciberataque. El algoritmo es una inteligencia artificial que aprende de nuestro comportamiento y trata de predecir si somos más o menos vulnerables ante diferentes tipos de engaños digitales, como campañas de phishing o mensajes fraudulentos especialmente diseñados.
Para ello, EVE se centra en tres grandes “brújulas internas” que orientan nuestra reacción ante los estímulos. La primera es el Sistema de Inhibición del Comportamiento (BIS), relacionado con el miedo a los castigos o a las consecuencias negativas. Las personas con un BIS más sensible tienden a ser más vulnerables a mensajes del tipo “si no actúas ahora, pierdes algo” o advertencias que juegan con la urgencia y el miedo a la pérdida.
La segunda brújula es el Sistema de Activación del Comportamiento (BAS), asociado a la impulsividad y a la búsqueda de recompensa. Aquí encajan los clásicos ganchos de “gana un premio”, “aprovecha la oferta” o “recibe un regalo exclusivo”. Quienes presentan rasgos más marcados en este sistema pueden ser más proclives a hacer clic en mensajes que prometen beneficios rápidos.
Por último, EVE mide la llamada Necesidad de Cognición (NC), que refleja la tendencia de una persona a disfrutar del pensamiento complejo y del análisis profundo. Curiosamente, este perfil puede ser más vulnerable a correos o mensajes que apelan a la curiosidad intelectual: “descubre más”, “consulta este informe exclusivo”, “accede a este contenido técnico avanzado”. El deseo de saber más puede llevar a bajar la guardia frente a enlaces maliciosos.
El desarrollo de EVE ha contado con la colaboración de tres empresas especializadas -TechHeroX, Ticsmart y Softcom- y otra universidad, la Autónoma de Madrid. Esta alianza entre mundo académico y sector privado ha permitido combinar conocimiento científico, experiencia tecnológica y necesidades reales de mercado en un producto que aspira a convertirse en herramienta de referencia para la prevención de ciberataques basados en ingeniería social.
Está previsto que esta solución se ponga a disposición de las empresas a partir de 2026, ofreciendo un enfoque totalmente nuevo en la evaluación y gestión del riesgo humano. El proyecto ha sido cofinanciado por el Instituto Nacional de Ciberseguridad (INCIBE), dependiente del Ministerio para la Transformación Digital y de la Función Pública, con fondos de la Unión Europea-NextGenerationEU dentro del Plan de Recuperación, Transformación y Resiliencia y, en concreto, del programa de Compra Pública Innovadora del INCIBE.
La implicación de Comillas en iniciativas como EVE refleja una visión de la ciberseguridad que no se queda en lo puramente técnico, sino que trata de entender qué nos hace vulnerables como personas y cómo se puede reforzar nuestra capacidad de decisión bajo presión, estrés, cansancio, miedo o curiosidad. En la práctica, esto se traduce en herramientas más afinadas para formar y proteger a los usuarios, tanto dentro como fuera del ámbito universitario.
Todo este ecosistema de políticas, unidades especializadas, formación y proyectos de investigación sitúa a la Universidad Pontificia Comillas como un referente en ciberseguridad aplicada al entorno académico y profesional. Desde la protección diaria de sus sistemas hasta la creación de un máster alineado con la empresa y el desarrollo de algoritmos que analizan el comportamiento humano, la institución construye un modelo integral en el que tecnología, personas y procesos reman en la misma dirección para hacer frente a un panorama de amenazas cada vez más complejo.
