Las universidades tienen una nueva preocupación: los “estudiantes fantasma”

La epidemia de “estudiantes fantasma” que ha estado atacando al sistema de colegios comunitarios de California se está extendiendo en la nación, con universidades de Arizona, Indiana, Oregón, Nueva Jersey y Michigan implementando estrategias para defenderse de redes de fraude impulsadas por inteligencia artificial que intentan mezclarse con estudiantes legítimos que regresan a la escuela.

Los estudiantes sintéticos o “fantasma” se refieren a identidades falsificadas o robadas que los estafadores usan para inundar los portales de solicitud e inscripción universitaria con miles de envíos en minutos, habitualmente durante días festivos, fines de semana u otros momentos en que el personal de admisiones está limitado.

Si logran el acceso, estas redes fraudulentas intentan inscribir a los estudiantes falsos en clases y solicitar ayuda financiera, dejando fuera a estudiantes reales que no consiguen asientos en las clases que necesitan. Los operadores de cuentas fantasma incluso han enviado tareas usando inteligencia artificial, con tal de evitar ser expulsados de una clase.

En ocasiones, lo único que obtienen es una dirección de correo electrónico universitaria, aunque incluso eso tiene valor, según expertos en seguridad, dando a los estafadores una apariencia de legitimidad como estudiantes. Una simple dirección de correo electrónico que termina en .edu permite descuentos en computadoras portátiles, software, servicios de música y, en especial, otorga la posibilidad de solicitar empleos fraudulentos en empresas.

El Departamento de Educación lanzó un programa nacional en junio para erradicar el robo de identidad en las universidades y ha exigido nuevos pasos de verificación de identidad para el inicio del año escolar en otoño de 2025. El Departamento descubrió que se habían desembolsado USD 90 millones a estudiantes no elegibles, incluyendo USD 30 millones destinados a identidades robadas de personas fallecidas.

Kiran Kodithala, fundadora de la empresa tecnológica N2N Services y de la plataforma LightLeap.AI, implementada en universidades de todo el país para combatir a los estudiantes fantasma, explicó que el porcentaje de estudiantes fraudulentos en el sistema de colegios comunitarios de California es de aproximadamente el 26% en 75 universidades y 1,2 millones de solicitudes. Fuera de California, LightLeap ha detectado que aproximadamente una de cada cinco solicitudes corresponde a un estudiante fantasma. Esta tasa de fraude afecta a 24 universidades fuera del estado, con cerca de 340.000 solicitudes procesadas este verano.

En la zona rural de Oregón, funcionarios del Lane Community College se preparan para la llegada de más estudiantes fantasmas en otoño de 2025, explicó a Fortune, Dawn Whiting, decana asociada de gestión de matrículas. La universidad sufrió el primer ataque en otoño de 2022, después de lanzar un nuevo proceso de solicitud diseñado para simplificar la inscripción. Ese fin de semana, Lane registró unas 1.000 solicitudes, un hecho inusual para una universidad con cerca de 5.000 estudiantes.

Whiting y su equipo identificaron patrones típicos de fraude, como códigos de área, direcciones de correo electrónico y números de teléfono repetidos en cientos de solicitudes. Whiting deshabilitó cerca de 1.000 direcciones de correo electrónico y exigió medidas adicionales de verificación de identidad, pero los estafadores adaptaron sus métodos. Para el verano de 2023, los fantasma optaron por infiltrarse ocupando plazas en cursos sin prerrequisitos. La universidad decidió implementar un depósito de USD 25 en la solicitud, pese a su filosofía de ser un recurso comunitario sin barreras.

Sin embargo, los estafadores cambiaron de táctica de nuevo. En el verano de 2024, llegaron unas 300 solicitudes simultáneas, según Whiting, y la universidad las eliminó de sus listas. Ahora, Lane analiza contratar una firma de inteligencia artificial para reforzar la defensa. Su personal permanece alerta ante el fraude, aunque no son expertos en ciberseguridad, señaló Whiting. El departamento de admisiones y el profesorado están más enfocados en formar a los estudiantes y facilitarles el acceso a cursos que permitan avanzar en su trayectoria profesional.

“Somos de acceso abierto”, explicó Colman Joyce, vicepresidente de servicios estudiantiles en Lane. “Que los estudiantes tengan que seguir más pasos para matricularse crea más barreras, y además somos un colegio comunitario. Muchos de nuestros estudiantes no son expertos en tecnología cuando llegan aquí”.

En California, los colegios comunitarios deben aceptar a todos los estudiantes elegibles y no existe cuota de solicitud. Kodithala indicó que se ha debatido si en otros estados las universidades experimentarían el mismo aumento de solicitudes que California, especialmente si se exigieran requisitos adicionales como un depósito o cuota. Actualmente, la situación es dispar, con o sin cuota, según explicó Kodithala. En el resto del país, la tasa de solicitudes fraudulentas oscila entre 8 % y 15 %.

Craig Munson, director de seguridad de la información de Minnesota State, encargado de supervisar 26 colegios comunitarios y técnicos y siete universidades, detalló que el estado utiliza inteligencia artificial y ha comenzado a colaborar con otras escuelas y consorcios de seguridad para identificar nuevas tácticas empleadas por los estudiantes fantasma al intentar acceder a los sistemas académicos.

“Así como usamos la IA para protegernos, los atacantes también la siguen usando de maneras nuevas e interesantes”, señaló Munson. “Es como una carrera armamentística. Cada seis meses, los atacantes tienden a abandonar una forma de actuar y a adoptar una táctica diferente”.

Munson y otros directivos prefirieron no especificar qué indicadores de fraude observan en 2025, aunque señalaron que las tácticas de hace unos años —nombres inventados, direcciones de correo electrónico y números telefónicos repetidos— ya no son efectivas. Los atacantes han modificado su enfoque.

El problema es complejo para las universidades. Los colegios comunitarios, diseñados para ofrecer acceso abierto y tarifas asequibles a quienes desean un título de asociado o avanzar profesionalmente, encaran debates sobre crear una tarifa nominal que ponga trabas al fraude.

El sistema de Minnesota incluye tres universidades con cuota mínima, cuatro sin cuota, siete colegios con cuota y 19 de acceso gratuito. Sin embargo, Kodithala advirtió que imponer cuotas alimenta el fraude con tarjetas de crédito y de regalo. Munson confirmó lo mismo en Minnesota. Además, argumentó que puede generar una falsa sensación de seguridad si las universidades creen que un estafador no pagará USD 15 o USD 25 por la posibilidad de obtener sumas mayores de forma sencilla.

“Les resulta más fácil robar porque saben que lo único que tienen que hacer es pagar”, manifestó Kodithala.

Travis Blume, vicepresidente de asuntos estudiantiles y matriculación del Bay de Noc Community College de Michigan, indicó que su institución no ha detectado grandes cantidades de estudiantes fantasma como en otros centros, aunque permanece en alerta. Con apenas 2.000 estudiantes en dos sedes, el personal ha instaurado una revisión manual de solicitudes. Aquellas sospechosas se controlan de nuevo y se exige confirmación de identidad ante notario o en persona.

Como líder educativo, Blume se enfrenta a los mismos desafíos de fricción en un sistema pensado para ser accesible. “El objetivo de los colegios comunitarios es que la gente entre y se eduque”, expresó.

A pesar de la vulnerabilidad de las instituciones comunitarias a esquemas de fraude facilitados por IA, los expertos trabajan para preservar la ayuda financiera disponible para los estudiantes.

“El fraude en la educación superior es algo que debe analizarse con la máxima seriedad y formar parte de un cálculo general de riesgos”, afirmó Munson, de Minnesota. “Es importante mantener vínculos sólidos con las fuerzas del orden locales y federales, así como con los grupos que comparten información, para poder obtener información adecuada sobre amenazas y ser flexibles en las respuestas. A medida que los atacantes cambian, debemos adaptarnos a ellos”.

(c) 2025, Fortune