Contenido Exclusivo

Engaños, estafas y certificaciones TI

No pasó mucho tiempo para que el supervisor del centro de pruebas se diera cuenta de que algo andaba mal. Un grupo de personas se destacó claramente del resto de candidatos que tomaban un popular examen de certificación de TI. Se sentaron rígidamente en sus sillas, casi sin moverse en absoluto, y sorteaban las preguntas a un ritmo de seis ítems por minuto, muy por encima de la norma de una a dos preguntas por minuto. Todos aprobaron muy por encima del mínimo necesario para pasar la prueba. Después de terminar el examen, el centro de pruebas llamó a Caveon LLC, una consultora que se especializa en la seguridad de las pruebas, incluyendo datos forenses, para revisar la situación. “A primera vista parece que -mediante el uso de un altavoz Bluetooth y una cámara de video- estaban colaborando con un experto fuera de las instalaciones”, señala el vicepresidente de Caveon, Steve Addicott. Dicho equipo está disponible en línea en sitios como el acertadamente llamado spycheatstuff.com. Los aspirantes a tramposos pueden comprar audífonos inalámbricos que se ajustan en el interior del canal auditivo, donde no pueden ser vistos con facilidad, así como cámaras diminutas que son fáciles de ocultar. Los tramposos sospechosos de este caso permanecieron sentados para que sus cámaras ocultas transmitieran una clara imagen de la pantalla, anota Addicott. La revisión del caso todavía está en curso. El engaño está en tendencia Las certificaciones de TI se han convertido en una ruta principal para las primas salariales y la promoción profesional, de acuerdo con un reciente informe de Foote Partners. Así que no es de extrañar que, a medida que la popularidad de las certificaciones crece, también lo han hecho los engaños o fraudes. “Los empleos y las carreras están en juego, así que la gente va a intentar todo tipo de cosas”, comenta Matthew Poyiadgi, vicepresidente de la unidad de negocio de Pearson Education Inc., que gestiona 5.100 centros de pruebas en todo el mundo y cuenta con el programa de certificación de TI CompTIA entre sus clientes.

 
Y mientras CompTIA estima que el nivel de trampa en los exámenes de certificación es inferior al 5%, expertos de la industria dicen que el problema está creciendo y que mantenerse al día con los tramposos requiere una vigilancia constante.

trampa certificaciones

Hasta ahora, el engaño no parece haber devaluado la mayoría de las certificaciones de TI ante los ojos de los directores de recursos humanos. Para las 309 certificaciones de TI que sigue Foote Partners, la prima salarial promedio entre las 2.600 empresas encuestadas ha subido en los últimos cuatro trimestres consecutivos, señala el CEO, David Foote. Si bien no hay manera de saber definitivamente si un postulante ha engañado para obtener una certificación de TI, los empleadores pueden y deben consultar con el organismo de certificación para asegurarse de que la persona en realidad la alcanzó. “Confíe, pero verifique”, agrega Addicott.

En su mayor parte, añade, los directores de recursos humanos pueden confiar en que las certificaciones de TI verificadas fueron legítimamente ganadas. “Pocas manzanas podridas han puesto en duda la cualificación de las personas en la profesión de TI”, anota. Pero, añade, es posible que algunos individuos se hayan beneficiado del contenido del examen disponible en línea, y lo han utilizado para obtener una puntuación más alta en un examen. Así que una certificación de TI debe ser solo una parte de la decisión de contratación. Otros pasos incluyen la verificación de referencias, la revisión de la historia de empleo y hacer algunas preguntas cuidadosamente elaboradas diseñadas para evaluar si el candidato realmente conoce sus cosas. Cuando los desarrolladores certificados encajan Los desarrolladores de programas de certificación de TI, como Microsoft y CompTIA, contratan a Prometric, Pearson VUE y otros centros de pruebas independientes que administran y evalúan pruebas en todo el mundo en su nombre. Estas empresas también ofrecen servicios de capacitación, por lo que deben tener un firewall seguro entre las pruebas y la capacitación. Los organismos de certificación de TI y los operadores de los centros de prueba están comprometidos en una carrera armamentista contra los piratas que roban las preguntas y las respuestas de los exámenes, y con los tramposos que compran esa información, comparten respuestas en las salas de chat, pagan “proxies” (gente que va a tomar pruebas para ellos) y aportan una serie de tecnologías y técnicas en centros de exámenes para obtener una ventaja. Las organizaciones de certificación de TI, preocupadas por la degradación de sus credenciales, están contraatacando y girando a métodos más sofisticados para atrapar a los tramposos y mitigar la piratería. Y los tramposos que se ven atrapados, enfrentan consecuencias que van más allá de un jalón de orejas.
Incluso las personas que hacen trampa y no son atrapadas durante el examen, todavía tienen motivos para preocuparse. Pearson VUE registra cada sesión en video digital y la revisa después de acabada la prueba. Recientemente, el escrutinio de los inusuales movimientos de cabeza de un asistente a la prueba, delataron que tenía una cámara incorporada en los anteojos. “La manera en que la gente está haciendo trampa está cambiando. Están utilizando más tecnología”, añade Poyiadgi. Pero las formas más comunes en que las personas tratan de engañar no siempre son las más tecnológicas, anota Shelby Grieve, directora de certificaciones profesionales, incluyendo la Microsoft Certified Solutions Expert y Microsoft Technology Associate. “La tendencia ha pasado de sacar las respuestas del examen en un centro de pruebas, hacia métodos más pasivos de hacer trampa -como el uso de los sitios de ‘desecho de cerebros’ y los servicios de proxy para pruebas”, indica la ejecutiva. Grieve anota que Microsoft ha sorprendido a candidatos que se habían coludido en línea para compartir preguntas y respuestas, así como a personas que utilizan enfoques de baja tecnología, como copiar el examen de otro, pasarse respuestas por mensaje de texto, e incluso la modificación de los resultados impresos de otra persona. Los sitios de ‘desecho de cerebros’ no solo proporcionan un lugar donde los usuarios pueden compartir las respuestas, señala Addicott de Caveon. “Estos sitios web venden agresivamente contenido pirateado de exámenes y los empaquetan como materiales de preparación para las pruebas -y garantizan que usted pasará. Es un verdadero problema con las certificaciones de TI”, añade. La mayoría de estos sitios tienen su sede en Asia, donde es más difícil cerrarlos y enjuiciar a los delincuentes. Las franquicias de los centros de pruebas en el extranjero con controles laxos han sido una fuente para el robo y el engaño, porque las pruebas y claves de las respuestas normalmente se descargan y se almacenan en cada lugar, dando un acceso más fácil a los tramposos, añade.

“El factor más importante en la cantidad de trampas que se tiene es si hace la prueba a nivel internacional, y prácticamente todos los programas de certificación de TI son internacionales”, anota John Fremer, presidente del grupo de servicios de consultoría de Caveon. La rebelión de los ‘asesinos a sueldo’ Los proxys o suplantadores en los exámenes son una creciente preocupación para Bryan Kainrath, vicepresidente de operaciones de certificación en CompTIA, propietaria de la A +, Network +, y otras certificaciones populares de TI. “Estamos viendo más suplantaciones que en el pasado. La mayoría de estos engaños implica contratar a alguien en China para que tome la prueba por alguien en los EE.UU. Eso pasa todo el tiempo”, agrega. Hace unos años, un proveedor de certificación de TI comprometió a Caveon para que contrate un proxy e intente pasar la prueba sin ser capturado. “El programa de certificación nos pagó, pagamos un servicio de proxy y uno de mis colegas ganó esta prestigiosa certificación a pesar de que no tenía antecedentes”, comenta Addicott. El precio de hacer trampa: Un cheque por mil dólares en Western Union. Los términos fueron del 50% por adelantado, con el saldo pagado después de que se completó el trabajo. Los servicios de proxy o suplantación para exámenes son un gran negocio en el extranjero, en parte debido a que los estadounidenses consideran que el engaño es culturalmente más aceptable en otros lugares, anota Fremer de Caveon. El comprador se inscribe y el proxy va a un centro de pruebas y toma el examen. Es un buen dinero, señala Fremer. “En algunas partes del mundo se puede ganar seis meses de salario con una suplantación”.

trampa certificaicones

En algunos casos, los suplantadores han sido capaces de eludir los protocolos de seguridad al visitar las instalaciones de pruebas corruptas en el extranjero que operan tanto en un “cuarto delantero” legítimo como en una “trastienda” fraudulenta. “Esos protocolos estrictos no se siguen cuando el centro de pruebas sigue su propio anillo de suplantación”, lo cual puede ser muy lucrativo, anota Addicott. Para hacer frente a los suplantadores, los centros de prueba generalmente requieren que los candidatos presenten una identificación con fotografía, y unos pocos centros -incluidos los gestionados directamente por Pearson VUE- han añadido la identificación biométrica y firmas digitales, así como una foto del candidato. Una vez que una persona se ha registrado con una identidad, no puede actuar como sustituto de otra. Es más, la persona que contrató al proxy será capturada si trata de tomar otra prueba, ya que sus datos fotográficos y biométricos no coincidirán.

Los centros de prueba también pueden grabar a los sujetos en video digital, y poner la foto correcta del postulante en el informe de certificación. “Las suplantaciones solían ser masivas”, anota Poyiadgi de Pearson. “Pero una vez que empezamos a utilizar fotos y firmas digitales desaparecieron”. Pero mientras que el “estándar de oro” de la seguridad de prueba se aplica a las pruebas de 500 centros que posee Pearson VUE, no ocurre lo mismo en los otros 4600 sitios propiedad de los socios de Pearson, incluyendo organizaciones de formación en TI, y colegios y universidades que ponen a prueba a los estudiantes al final de un programa de capacitación. Cueva de ladrones Los piratas utilizan una variedad de técnicas para robar pruebas completas y las claves de las respuestas. Estas incluyen el envío de personas a los centros de prueba para memorizar o fotografiar grupos de preguntas. (Este tipo de “cosecha” podría requerir el envío de tan solo 10 personas a un centro de pruebas con el fin de memorizar todas las preguntas en una prueba determinada.) También puede implicar el robo directo de los datos de prueba de los centros de exámenes corruptos o laxos. “Debido a que todas las pruebas y sus respuestas se descargan en los servidores de cada ubicación, son susceptibles de ser hackeadas. Es realmente problemático”, señala Addicott de Caveon -y esto ha causado que algunas organizaciones de certificación y de prueba pasen a un modelo de examen basado en una entrega SaaS. (Ver el recuadro, a continuación.)
 
trampa-piratas-nube
Sin embargo, cuando los examinados tratan de engañar utilizando sitios de ‘desecho de cerebros’ a veces terminan siendo ellos mismos engañados. En algunos casos, los sitios le ofrecen contenido fraudulento u obsoleto a los compradores desprevenidos, anota Dave Meissner, director de operaciones de Kryterion Inc., un proveedor de servicios de pruebas de certificación de TI en línea. “Si la gente gastase la misma energía y creatividad en estudiar como lo hacen para pretender engañar estarían mucho mejor”. En respuesta, los organismos de certificación TI han protagonizado ataques coordinados en los sitios de ‘desecho de cerebros’ donde los piratas tratan de vender los datos robados, señala Kainrath. “Nos reuniremos con Cisco, Microsoft, VMware y trataremos de averiguar la mejor manera de mitigar estos sitios”, agrega. “Si nos damos cuenta de que un centro de pruebas ha estado coludido de alguna manera, será cerrado por nuestro equipo de seguridad”, anota Poyiadgi de Pearson VUE, y añade que solo ha experimentado “un puñado de casos”. Para la industria en su conjunto, sin embargo, la lucha contra el robo de propiedad intelectual ha sido una batalla cuesta arriba. “Puede cerrar los sitios, pero es como cortar la parte superior de una mala hierba. Solo aparecerá en otro lugar”, añade Kainrath. “No son pájaros fruteros”, señala Fremer. “Los ladrones sofisticados organizados pueden hacer millones -o decenas de millones- de un solo programa de certificación.” Por lo tanto, los sitios de prueba y programas de certificación tratan de reaccionar rápidamente para minimizar el daño. CompTIA monitorea sitios de desecho de cerebros en línea y las salas de chat en busca de elementos de prueba robados, y utiliza el análisis para determinar si la efectividad de cualquier pregunta que figura en la competencia de medición podría haber sido comprometida. “Tan pronto como se descubre algún tipo de degradación se remueve el ítem”, señala Kainrath. “Tenemos enormes bancos de artículos en reserva y podemos meter y sacar preguntas rápidamente”.
Ese proceso puede presentar un desafío costoso, debido a que las bandas organizadas de ladrones pueden comprometer pruebas enteras dentro de tres a cinco semanas desde que son liberadas, mientras que la mayoría de los exámenes de certificación de TI se actualizan cada 12 a 15 meses, anota Addicott. Kainraith admite que es un problema, pero él piensa que las preguntas se demoran un poco más en aparecer en los sitios de desecho de cerebros, y dice que CompTIA sustituye las pruebas a un ritmo rápido. “Somos capaces de batir nuestros artículos mucho antes de los 12 a 15 meses”, dice, aunque se negó a decir qué tan rápido. Mientras que CompTIA tiene la escala y los recursos para entregar sus preguntas con mayor rapidez, los programas de certificación de TI más pequeños son más limitados debido a que el costo de la construcción y mantenimiento de las pruebas varía en cientos de dólares por cada elemento de la prueba, de acuerdo con Caveon. Contramedidas: Sacar a los tramposos La captura de los tramposos se ha convertido en su propia ciencia. “Más candidatos están compartiendo conocimiento, a diferencia del pasado”, señala Kainrath. Pero ambos centros de pruebas y dueños de certificación de TI tienen maneras de averiguar quién está utilizando datos robados y compartiéndolos, así como quién podría robarlos. Además de utilizar procuradores, Microsoft y otros se están moviendo hacia el monitoreo en línea, que combina el uso de una cámara de video con una transmisión en vivo de la pantalla de quien está pasando la prueba. Mientras que un supervisor en línea está limitado por lo que puede ver en una cámara de video, es más fácil tomar medidas inmediatas contra los tramposos, señala Grieve. Debido a que pueden buscar actividades sospechosas a nivel de pregunta, los procuradores en línea pueden identificar el engaño más pronto y poner fin a la prueba antes de que el candidato pueda ver -y posiblemente comprometer- el resto del contenido del examen.

Los centros de exámenes también tienen maneras de saber si los candidatos han memorizando preguntas y respuestas de los exámenes robados o han compartido conocimientos en las salas de chat. “Aprovechamos distintas estrategias de publicación y tipos de preguntas diseñadas específicamente para hacer frente a las trampas”, agrega Grieve.  

trampa certificaciones

  Mientras Grieve se negó a proporcionar detalles, Addicott señala que entre algunas de las anomalías más básicas se encuentran las personas que se desempeñan a “velocidades sobrehumanas” en el examen, o que se desenvuelven bien en los artículos que han estado en la prueba por mucho tiempo y fallan en artículos más nuevos -lo cual es un indicador de que el individuo puede haber memorizado contenido robado del examen. Algunos exámenes de certificación de TI también capturan a las personas que han memorizado datos robados de la prueba mediante la inclusión de preguntas “Caballo de Troya” que incluyen deliberadamente la respuesta incorrecta en las claves de respuestas oficiales. Estas preguntas no cuentan para el puntaje general del candidato, pero si el examinado responde a un número predeterminado de tales preguntas con las respuestas incorrectas que figuran en la clave de respuestas, se asume que utilizaron información robada y la prueba se invalida automáticamente, indica Addicott. Los programas de certificación también pueden utilizar diferentes diseños de prueba en un intento por frustrar a los tramposos que han memorizado las preguntas y respuestas del examen. Estos incluyen alterar el orden de las preguntas en cualquier examen dado, el orden de las respuestas a las preguntas de opción múltiple, tener un grupo de preguntas entre las cuáles elegir para cada elemento de prueba, y darle distintas versiones de las pruebas a los candidatos. CompTIA y otras organizaciones de certificación también han comenzado a complementar o sustituir algunas de las preguntas de selección múltiple en la prueba estándar con metodologías adaptativas y basadas en el rendimiento, las cuales son más difíciles de comprometer. Con las pruebas de adaptación a cada pregunta sucesiva, la vista de usuario depende de si contestó la anterior correctamente o no. Tan pronto como la prueba determina que el postulante sabe -o no sabe- el contenido, la prueba termina. “Es una forma más refinada de juzgar, y también proporciona seguridad”, señala Greenwood. CompTIA está añadiendo progresivamente más pruebas basadas en el rendimiento, que utiliza cuestionarios basados en escenarios supuestos donde se le pide a los usuarios que realicen acciones específicas en un entorno simulado. Tales preguntas son más difíciles de memorizar. “En ese momento se hace más fácil solo estudiar”, añota Kainrath. Y eso, en pocas palabras, es una parte clave de la estrategia de CompTIA. “No podemos detener las trampas, pero podemos estar seguros de que toma más tiempo que el estudio”. Quedar atrapado: Una gran manera de matar una carrera Desconfíe de los daños que el engaño rampante puede tener en una certificación de TI, como dicen que ocurrió en la década de 1990 (véase el recuadro de abajo), las empresas no solo están volviéndose agresivas en lo referido a la captura de los tramposos, sino que dictan medidas drásticas y sanciones más severas. “Sancionamos de por vida a quien sea sorprendido haciendo trampas. No se les permitirá tomar cualquier examen de Microsoft nunca más”, señala Grieve. Y Microsoft, a su discreción, puede también quitarle al candidato las certificaciones Microsoft TI obtenidas anteriormente, añade. CompTIA también está tomando una línea más dura con el engaño, “abarcando una red más amplia” mediante el uso de datos forenses en sus investigaciones, señala Kainrath. Hoy en día si le pillan haciendo trampa no obtendrá la certificación, y deberá esperar un período de tiempo -generalmente un año- antes de poder tomar el examen de nuevo. Pero CompTIA está considerando cambiar eso a una suspensión de por vida. “Este año vamos a desplegar una política más dura”, anota. Poyiadgi señala que ha visto a los tramposos perder sus puestos de trabajo en situaciones en las que los empresarios patrocinaron a los candidatos. Y si la persona estuvo vendiendo las preguntas y respuestas del examen, él o ella pueden ser perseguidos por la policía, añade. Kainrath se maravilla de la cantidad de tiempo que algunas personas gastan tratando de hacer trampa en los exámenes de certificación. Una certificación como A+ solo sirve para validar las habilidades del usuario, señala, y si un tramposo es contratado o promovido en base a falsos pretextos, se dañan las perspectivas de carrera del tramposo tanto como la reputación de CompTIA. En última instancia, señala el ejecutivo: “No hace ningún bien fingir”.

-Robert L. Mitchell, Computerworld (EE.UU.)

Lo Más Reciente

10 predicciones en ciberseguridad para 2025

DigiCert ha publicado su pronóstico anual de predicciones de...

Lanzan primera red de intercambio de información sobre delitos financieros basada en el comportamiento

BioCatch lanzó la primera red interbancaria del mundo de...

Digitalización, clave para el crecimiento de cuentas de inversión en casa de bolsa

En los últimos años, México ha sido testigo de...

Alianzas y una base tecnológica sólida, las claves para la Transformación digital

Estamos en una era de constante evolución tecnológica y...

Newsletter

Recibe lo último en noticias e información exclusiva.

Mireya Cortés
Mireya Cortés
Editora CIO Ediworld Online. La puedes contactar en mcortes@ediworld.com.mx

10 predicciones en ciberseguridad para 2025

DigiCert ha publicado su pronóstico anual de predicciones de ciberseguridad para la identidad, la tecnología y la confianza digital que se espera en 2025...

Lanzan primera red de intercambio de información sobre delitos financieros basada en el comportamiento

BioCatch lanzó la primera red interbancaria del mundo de intercambio de información sobre delitos financieros basada en el comportamiento, denominada BioCatch Trust Network, la...

Digitalización, clave para el crecimiento de cuentas de inversión en casa de bolsa

En los últimos años, México ha sido testigo de un notable aumento en el interés de la sociedad por participar en el mercado bursátil,...