Manual Operativo de Seguridad Digital y Protección de Datos

 

Centro Educativo: IES  

Fecha de vigencia: 2026

1. Ámbito del Uso Pedagógico (Aulas, Informática y Biblioteca)

El objetivo es garantizar que la tecnología sea un vehículo de aprendizaje y no una distracción o un riesgo.

A. Control de Dispositivos y Navegación

• Filtrado de Contenido: Está terminantemente prohibido el uso de redes VPN o "proxies" para saltar los muros de seguridad del centro. Si detecta que un alumno accede a contenido inapropiado, debe reportar la URL específica al responsable TIC.

• Gestión de Aplicaciones: Solo se permite la instalación de software que figure en el "Catálogo de Recursos Autorizados" del centro. Queda prohibida la descarga de programas ejecutables (.exe, .dmg) o extensiones de navegador no supervisadas.

• Supervisión de Pantallas: Durante las sesiones, el docente debe realizar una circulación activa por el aula o utilizar el software de gestión de aula (si está disponible) para monitorizar los escritorios de los alumnos.

B. Mantenimiento y Salud del Equipo

• Actualizaciones Obligatorias: Los viernes, en la última hora lectiva, se debe permitir que los equipos descarguen actualizaciones de seguridad. No se deben forzar apagados mientras el sistema indica "Actualizando".

• Uso de Antivirus: Se realizará un escaneo rápido semanal en los equipos de las aulas de informática. Cualquier mensaje de "Amenaza detectada" o "Acción necesaria" debe ser comunicado de inmediato.

2. Ámbito Administrativo y Directivo

Dada la naturaleza crítica de la información (datos de salud, becas, expedientes), estas normas son de cumplimiento obligatorio y estricto.

A. Gestión de Identidad y Acceso

• Contraseñas Robustas: Deben cambiarse cada trimestre. No pueden contener el nombre del centro ni el del usuario. Se recomienda el método de "Frase de paso" (ej: MiGatoSabeMatematicas2026!).

• Cierre de Puesto de Trabajo: Aplique el comando Win + L (Windows) o Ctrl + Cmd + Q (Mac) cada vez que se levante de su silla, incluso por un minuto.

• Doble Factor de Autenticación (2FA): Es obligatorio para el acceso al correo institucional y plataformas de gestión económica.

B. Integridad de la Información y Backups

• Almacenamiento Seguro: No se deben guardar datos sensibles en el "Escritorio" o la carpeta "Documentos" local del PC. Use exclusivamente las unidades de red cifradas o el almacenamiento en la nube corporativa autorizada.

• Copias de Seguridad: 1. Diaria: Sincronización automática con la nube.

  2. Semanal: El personal administrativo realizará una copia en el servidor central o unidad física externa que quedará custodiada bajo llave.

• Cifrado de archivos: Si necesita enviar un expediente por correo electrónico, el archivo debe estar protegido por contraseña y esta se enviará por un canal distinto (ej: mensajería instantánea o teléfono).

• 
  

3. Gestión de Infraestructura y Redes (Nivel Técnico)

Directrices para asegurar la columna vertebral digital del centro.

• Segmentación de Red (VLANs): Se mantendrán tres redes físicamente aisladas:

  1. Red Educativa: Para alumnos y docentes (acceso filtrado).

  2. Red de Gestión: Para administración y dirección (acceso restringido y cifrado).

  3. Red de Invitados: Para familias o ponentes externos (acceso limitado a internet, sin contacto con la red interna).

• Firewalls y Monitorización:

  • Revisión diaria de los logs de acceso al servidor.

  • Configuración de alertas automáticas ante ataques de fuerza bruta o escaneos de puertos externos.

  • 
    

4. Educación en Ciberseguridad (Eje Transversal)

La seguridad no es solo técnica, es humana. Se establecen los siguientes compromisos para el claustro:

• Formación Continua: El personal docente integrará en su programación al menos una sesión trimestral sobre:

  • Prevención de Ciberbullying y Grooming.

  • Detección de Phishing (correos falsos).

  • Gestión de la huella digital y privacidad en redes sociales.

• Modelado de Conducta: Los docentes no deben utilizar sus cuentas personales para fines profesionales, ni compartir dispositivos personales con el alumnado

• 
  

5. Cuadro de Respuesta ante Incidentes

Incidente	Acción Inmediata	Reportar a
Pérdida/Robo de dispositivo	Cambio inmediato de contraseñas de red.	Dirección / Policía
Sospecha de Virus	Desconectar cable de red / Wi-Fi.	Responsable TIC
Acceso no autorizado a datos	Identificar qué expedientes han sido vistos.	Delegado de Protección de Datos
Intento de Phishing	Marcar como SPAM y no abrir enlaces.	Soporte IT

---

Recordatorio Legal: El incumplimiento de estas normas relativas a la gestión de datos personales puede acarrear responsabilidades legales según el Reglamento General de Protección de Datos (RGPD).

Propuesta de Actividad: "Nutri-IA: Desafiando al Algoritmo"

 

1. Datos de la actividad

• Título: Nutri-IA: Análisis crítico de dietas generadas por Inteligencia Artificial.
• Alumnado destinatario: Estudiantes de 3º de Educación Secundaria Obligatoria (ESO).
• Área: Biología y Geología.
• Curso: 3º ESO.

2. Objetivos de la actividad

Objetivo General

• Comprender los principios de una nutrición equilibrada y saludable mediante el análisis crítico de información generada por IA, fomentando la alfabetización digital y científica.

Objetivos Específicos

• Identificar los macronutrientes y micronutrientes esenciales para el organismo humano.
• Diferenciar entre mitos nutricionales y evidencias científicas.
• Utilizar herramientas de IA generativa para crear planes nutricionales basados en perfiles específicos.
• Evaluar la veracidad y seguridad de las respuestas proporcionadas por la IA comparándolas con fuentes bibliográficas oficiales.

 3. Metodología

Se utilizará un enfoque de Aprendizaje Cooperativo combinado con Pensamiento Crítico (Critical Thinking).

• Los alumnos trabajarán en grupos pequeños (4 personas).
• Se fomentará el debate y la investigación guiada.
• La actividad sigue una estructura de "Investigación-Acción-Reflexión".

 

4. Descripción de la actividad o proceso

La actividad se desarrollará en 3 sesiones de 50 minutos:

Sesión 1: El Desafío del Perfil

1. Introducción (10 min): Breve repaso sobre la pirámide alimenticia y el plato de Harvard.
2. Formación de grupos (5 min): Se asigna a cada grupo un "Perfil de Usuario" (ejemplo: un adolescente deportista, una persona de 70 años sedentaria, una persona celíaca, etc.).
3. Interacción con la IA (35 min): Cada grupo utilizará un chatbot de IA (Gemini/ChatGPT) para solicitar: "Diseña un menú semanal para [Perfil Asignado] que sea saludable, especificando calorías y nutrientes".

Sesión 2: El Fact-Checking (Verificación)

1. Investigación (40 min): Los alumnos deben contrastar el menú de la IA con el libro de texto y bases de datos nutricionales oficiales (como la de la OMS o la BEDCA).
2. Detección de errores (10 min): Deben identificar si la IA ha omitido nutrientes esenciales, si las calorías son excesivas o si ha incluido suplementos innecesarios o peligrosos

Sesión 3: Presentación y Ética

1. Exposición (30 min): Cada grupo presenta su menú "corregido" y explica qué errores cometió la IA.
2. Debate Ético (20 min): Reflexión grupal sobre los peligros de seguir consejos médicos o nutricionales de una IA sin supervisión profesional (sesgos de datos, alucinaciones de la IA).

 

5. Recursos

• Herramienta de IA: Gemini (Google) o ChatGPT.
• Tecnológicos: Un dispositivo (Chromebook/Tablet) por grupo, conexión a internet.
• Materiales: Libro de texto de Biología 3º ESO, guías de nutrición de la OMS (PDF).
• Espacios: Aula ordinaria con disposición para trabajo en grupo.

 

6. Propuesta de evaluación

La evaluación será continua y formativa mediante los siguientes instrumentos:

Instrumento	Criterio de Evaluación	Peso
Rúbrica de Exposición	Capacidad de comunicar los hallazgos y correcciones científicas.	40%
Diario de Aprendizaje	Reflexión individual sobre lo aprendido y el uso ético de la IA.	20%
Informe de Verificación	Calidad de la investigación y contraste de datos (IA vs. Ciencia).	30%
Observación Directa	Participación activa y respeto en el trabajo cooperativo.	10%

 

7. Reflexión

La integración de la IA en Biología de 3º de ESO no debe ser solo para "ahorrar trabajo", sino para desarrollar el espíritu crítico. En el tema de la salud y nutrición, los adolescentes están expuestos a mucha desinformación en redes sociales (a menudo amplificada por algoritmos).

Al usar la IA para generar una dieta y luego obligar al alumno a "corregir a la máquina", el estudiante deja de ser un receptor pasivo y se convierte en un validador de información. Desde el punto de vista ético, esta actividad subraya que la IA es una herramienta de apoyo, pero que la responsabilidad final sobre la salud debe recaer en el conocimiento científico y el criterio profesional humano.

Ingeniería Social y Blindaje de la Identidad Digital.

 

1. Contexto Detallado del Grupo (3º ESO - Nivel Avanzado)

·        Grupo: 3º de ESO B (Línea Tecnológica).

·        Integrantes: 28 alumnos.

·        Perfil Psicosocial: Alta dependencia de la validación externa (likes/views). Un 40% del grupo utiliza plataformas de juego con micropagos (Roblox, Fortnite) y todos poseen smartphones con acceso ilimitado a internet. Se han detectado casos previos de "catfishing" (perfiles falsos) y conflictos por suplantación de identidad en grupos de WhatsApp.

·        Nivel Técnico: Saben saltarse restricciones de red (usan VPNs básicas), pero ignoran cómo funciona el cifrado o la persistencia de datos en servidores externos.

2. El Problema: Ingeniería Social y la "Puerta Trasera" Emocional

El problema identificado no es solo el robo de datos, sino la Ingeniería Social: la manipulación psicológica para que el usuario entregue voluntariamente sus credenciales o acceso a su sistema.

Definición para el aula: "No es que te hackeen el móvil, es que te hackean a ti para que les abras la puerta".

3 Dinámica Participativa: "El Caballo de Troya 2.0"

Metodología: La Analogía del "Acceso al Backstage"

Para complicar la analogía, compararemos la seguridad digital con un Gran Evento/Concierto de Élite que cuenta con tres niveles de seguridad:

1.     La Valla Exterior: El perímetro (Contraseñas).

2.     El Guardia de Seguridad: Verificación de identidad (MFA).

3.     El Pase de Backstage: Los permisos de las Apps (Privacidad).

Desarrollo de la Actividad (90 minutos - 2 sesiones)

Fase A: El Laboratorio de "Ciber-Engaño" (Roleplay)

Se divide a la clase en dos equipos:

·        Equipo Red (Atacantes): Deben diseñar un "anzuelo" (phishing) para conseguir que alguien del otro equipo les dé el nombre de su primera mascota o el modelo de su primer móvil.

·        Equipo Blue (Defensores): Deben identificar los errores en el mensaje del atacante (faltas de ortografía, urgencia ficticia, enlaces sospechosos).

Fase B: Mapa de Superficie de Ataque (Analítica)

Cada alumno debe dibujar su "Mapa de Conexiones". No solo su móvil, sino qué apps están vinculadas entre sí (ej. Inicié sesión en este juego usando mi cuenta de Google).

·        Objetivo: Visualizar el Efecto Dominó: "Si hackean mi cuenta de juego, entran en mi Gmail, y de ahí a mi cuenta bancaria o fotos privadas". 

4. Medida de Protección: El "Protocolo de Blindaje Escalonado"

Proponemos una medida técnica y organizacional que los alumnos deben ejecutar como un proyecto de clase:

A. Implementación de la "Bóveda de Identidad"

En lugar de una sola medida, se establece un estándar de tres capas para el grupo:

1.     Nivel Físico (La Llave de Paso): Desactivar el Bluetooth y el Wi-Fi automático en zonas públicas. Analogía: No vayas por la calle con los bolsillos abiertos y un cartel que diga 'tengo dinero'.

2.     Nivel Lógico (El Cifrado): Uso obligatorio de gestores de contraseñas y frases de paso (passphrases) complejas.

o   Reto: Crear una contraseña que tarde 1.000 años en ser hackeada (usando herramientas como How Secure Is My Password).

3.     Nivel de Autenticación (El Doble Check): Configurar obligatoriamente una App de autenticación (como Google Authenticator) en lugar de SMS, explicando que los SMS pueden ser interceptados (SIM Swapping).

 

5. Tabla Comparativa de Complejidad (Para el Alumno)

Situación del Mundo Físico	Riesgo Digital Equivalente	Medida de "Ingeniería de Defensa"
Disfrazarse de revisor del gas para entrar en una casa.	Phishing/Spoofing: Un email que parece de Instagram pidiendo tu clave.	Verificación de Origen: Analizar las cabeceras del correo y la URL real.
Usar una llave maestra que abre todo el edificio.	Contraseña Única: Usar la misma clave para TikTok, Correo y Banco.	Segmentación: Una contraseña distinta y compleja para cada servicio.
Alguien que te sigue para ver dónde guardas la llave.	Spyware/Keyloggers: Software que graba lo que escribes.	Uso de MFA: Aunque tengan la clave, no tienen el código dinámico de tu móvil.

6. Evaluación de la Actividad

Para dar por superada la actividad, cada alumno debe presentar un "Certificado de Auditoría Personal" donde demuestre (sin mostrar las claves) que:

·        Ha eliminado aplicaciones con permisos excesivos (ej. una linterna que pide acceso a contactos).

·        Ha activado el MFA en su cuenta principal.

·        Ha comprobado si su correo ha sido filtrado en bases de datos de hackers (usando Have I Been Pwned).

 

 

 DOCUMENTO DE COMPROMISO

Nivel: 3º de ESO | Curso: 2025-2026 | Materia: Digitalización / Tutoría

Este documento representa un acuerdo de confianza y seguridad entre el/la alumno/a, su centro educativo y sus tutores legales, con el fin de mitigar los riesgos de la Ingeniería Social y la Sobreexposición de Datos.

  

I. COMPROMISOS DEL ESTUDIANTE (Ciber-Higiene)

Como "Administrador/a" de mi propia identidad digital, me comprometo a:

1. Cierre de Perímetros: Mantener mis perfiles en redes sociales (Instagram, TikTok, etc.) en modo Privado, auditando mensualmente mi lista de seguidores para eliminar cuentas sospechosas o desconocidas.
2. Protocolo de Doble Cerradura: Activar la Verificación en Dos Pasos (MFA) mediante aplicaciones de autenticación o códigos de seguridad en todas mis cuentas principales.
3. Gestión de Frases de Paso: No reutilizar contraseñas. Utilizaré frases complejas (combinando mayúsculas, números y símbolos) y nunca las compartiré con terceras personas, ni siquiera amigos cercanos.
4. Detección de "Anzuelos": Aplicar el pensamiento crítico ante mensajes que soliciten códigos, dinero o generen una falsa urgencia, identificándolos como posibles ataques de Phishing o suplantación.

II. COMPROMISOS DE LA FAMILIA (Acompañamiento Estratégico)

Como red de apoyo, los tutores legales se comprometen a:

1. Cultura de Confianza: No penalizar la comunicación de un incidente. Si el alumno comete un error o es víctima de un engaño, se priorizará la solución técnica y el apoyo emocional sobre la sanción.
2. Actualización Conjunta: Interesarse por las herramientas de seguridad que el alumno utiliza y supervisar, sin invadir la privacidad innecesariamente, que los sistemas de protección estén activos.
3. Predicar con el Ejemplo: Mantener criterios de seguridad similares en sus propios dispositivos para evitar ser la "puerta trasera" de entrada al hogar.

III. PROTOCOLO EN CASO DE INCIDENTE

Si se detecta una intrusión, acoso o suplantación, los firmantes acuerdan:

• No borrar las pruebas: Realizar capturas de pantalla de los mensajes o perfiles implicados.
• Reporte técnico: Informar a la plataforma y, si es grave, contactar con el INCIBE (017) o las autoridades pertinentes.
• Reinicio de credenciales: Cambiar inmediatamente todas las contraseñas vinculadas.

 

Firmas de conformidad:

El Alumno / La Alumna	Padre / Madre / Tutor	El Centro Educativo (Tutor/a)
Firma:	Firma:	Firma: