Miles de escuelas, millones de víctimas y un estudiante de 19 años: Detectado el ataque informático a PowerSchool

Un estudiante universitario de 19 años de Worcester, Massachusetts, se declaró culpable de un ciberataque masivo contra PowerSchool, uno de los mayores proveedores de servicios educativos, cuyas plataformas son utilizadas por millones de estudiantes y profesores. El delito no solo provocó la filtración de datos confidenciales, sino también una extorsión de millones de dólares en criptomonedas a cambio de no divulgar dicha información.

Según el Departamento de Justicia de EE.UU., Matthew D. Lane se declaró culpable de cuatro cargos federales: conspiración para cometer extorsión en línea, extorsión directa, acceso no autorizado a computadoras protegidas y robo agravado de identidad. La agencia confirmó que el acusado no actuó solo; el caso involucra a otros participantes cuya identidad aún no ha sido revelada.

La investigación determinó que ya en 2022 Lane y sus cómplices hackearon una empresa de telecomunicaciones estadounidense, obteniendo acceso a los datos de sus clientes. Durante el ataque también consiguieron las credenciales de un empleado de un contratista vinculado a PowerSchool, lo que posteriormente resultó ser la clave para acceder a su objetivo principal: la plataforma educativa.

Inicialmente, los atacantes intentaron extorsionar $200,000 a la empresa de telecomunicaciones, amenazando a su directiva. Luego, al no obtener el pago exigido, cambiaron el objetivo a PowerSchool. En diciembre de 2024, utilizando los inicios de sesión y contraseñas previamente obtenidos, accedieron a la plataforma PowerSource y, mediante una herramienta administrativa incorporada, descargaron las bases de datos.

Como resultado del ataque, se comprometieron datos personales de 62,4 millones de estudiantes y 9,5 millones de docentes de 6505 distritos escolares en EE.UU., Canadá y otros países. La filtración incluyó nombres, direcciones, teléfonos, contraseñas, información de los padres, números de seguridad social, datos médicos y calificaciones.

El 28 de diciembre, los atacantes exigieron a PowerSchool el pago de 2,85 millones de dólares en bitcoins. De lo contrario, amenazaron con publicar los datos robados en acceso abierto. Aunque según informes la empresa pagó el rescate, la suma exacta sigue siendo desconocida. Sin embargo, incluso después de eso, los delincuentes iniciaron una extorsión directa a las escuelas, solicitando pagos adicionales por el "silencio" de la información.

Según notificaciones escolares e información de DataBreaches.net, las cartas con amenazas estaban firmadas por ShinyHunters, un grupo conocido por los ataques a SnowFlake y el hackeo de AT&T en 2022, que afectó a 109 millones de usuarios. A pesar del arresto de varios miembros de esta agrupación, existe la posibilidad de que otros integrantes o imitadores hayan ejecutado los ataques para desviar la atención.

Actualmente, Matthew Lane espera la sentencia. Enfrenta una pena mínima obligatoria de dos años de prisión por el robo de identidad y hasta cinco años por cada uno de los otros tres cargos.

Este escandaloso crimen es otro recordatorio de la vulnerabilidad incluso de las infraestructuras digitales más grandes, especialmente en el sector educativo, donde se almacena una enorme cantidad de datos, a menudo con muy poca protección.