Recibió el rescate, pero continuó el chantaje: brevemente sobre por qué no debería confiar en los piratas informáticos
Incluso el vídeo de eliminación de datos de PowerSchool resultó ser parte de un espectáculo más grande.
El hacker responsable del sonado ataque a PowerSchool en diciembre de 2024 ha comenzado a chantajear directamente a distritos escolares individuales de EE. UU. y Canadá, exigiendo un rescate para no divulgar los datos previamente robados. Ahora las amenazas no solo afectan a la empresa, sino también a decenas de escuelas que se han convertido en rehenes de la filtración, a pesar de los intentos de detener al atacante el año pasado.
La empresa PowerSchool declaró que está al tanto de los intentos de extorsión dirigidos a sus clientes y confirma que no se trata de un nuevo ataque, sino del uso reiterado de los mismos datos robados durante el incidente registrado el 28 de diciembre. Sin embargo, posteriormente se descubrió que los atacantes habían accedido al sistema ya en agosto y septiembre, utilizando credenciales comprometidas para entrar al portal de clientes PowerSource. A través de este, se conectaron a una herramienta de administración remota y descargaron bases de datos de instituciones educativas.
El contenido de las bases variaba según la escuela, pero a menudo incluía nombres completos de alumnos y empleados, direcciones, números de teléfono, contraseñas, información de contacto de los padres, números de seguro social, datos médicos e incluso calificaciones. Según las declaraciones del hacker, posee datos de 62,4 millones de estudiantes y 9,5 millones de docentes de más de 6 mil instituciones educativas en EE. UU., Canadá y otros países.
Tras el incidente, PowerSchool decidió pagar un rescate para evitar la filtración de datos, y recibió del atacante un video que mostraba la supuesta eliminación de la información robada. Pero, como suele ocurrir, el criminal no cumplió su promesa. Ahora los datos se están utilizando para extorsionar selectivamente a escuelas individuales —este escenario ya fue confirmado por el Toronto District School Board, el mayor distrito escolar de Canadá. Representantes del distrito notificaron a los padres sobre la recepción de una carta del extorsionador con la exigencia de un pago para evitar la divulgación de la información.
La propia PowerSchool admite que la decisión de pagar fue difícil, pero según la dirección, en ese momento era la única forma posible de proteger a los clientes y a los estudiantes. No obstante, como subrayan los especialistas en seguridad, ninguna prueba de eliminación de datos puede considerarse confiable —a diferencia de un descifrador, cuya autenticidad puede comprobarse en la práctica.
La empresa continúa cooperando con las autoridades de EE. UU. y Canadá y exhorta a todos los afectados a utilizar el programa gratuito de monitoreo de historial crediticio y protección contra el robo de identidad por dos años. Sin embargo, esta nueva ola de chantajes vuelve a poner de manifiesto que, incluso después del cierre oficial de un ataque, las empresas y los usuarios siguen siendo blanco de los delincuentes, y que el pago del rescate a menudo no evita futuras amenazas.
Este escenario ya ha ocurrido recientemente: en el ataque a Change Healthcare, una filial de UnitedHealth, los delincuentes también recibieron un rescate por la eliminación de datos, pero luego engañaron a la víctima y exigieron dinero nuevamente, amenazando con una nueva filtración. En ambos casos, el resultado es el mismo: los datos comprometidos se convierten en una herramienta de presión prolongada, y las víctimas pierden no solo dinero, sino también el control de la situación.
Las huellas digitales son tu debilidad, y los hackers lo saben