Es solo enero, pero el reciente hackeo del gigante de la tecnología educativa de EE. UU. PowerSchool tiene el potencial de ser una de las mayores brechas del año. PowerSchool, que proporciona software K-12 a más de 18,000 escuelas para apoyar a unos 60 millones de estudiantes en los Estados Unidos, confirmó la brecha a principios de enero. La empresa con sede en California, adquirida por Bain Capital por $5.6 mil millones en 2024, dijo en ese momento que los hackers utilizaron credenciales comprometidas para infiltrarse en su portal de soporte al cliente, lo que permitió un mayor acceso al sistema de información escolar de la empresa, PowerSchool SIS, que las escuelas utilizan para gestionar registros de estudiantes, calificaciones, asistencia e inscripciones.
“El 28 de diciembre de 2024, tuvimos conocimiento de un posible incidente de ciberseguridad que implicaba acceso no autorizado a cierta información de PowerSchool SIS a través de uno de nuestros portales centrados en la comunidad, PowerSource”, dijo la portavoz de PowerSchool, Beth Keebler, a TechCrunch.
PowerSchool ha sido abierta sobre ciertos aspectos de la brecha. Keebler le dijo a TechCrunch que el portal PowerSource, por ejemplo, no admitía autenticación de dos factores en el momento del incidente, mientras que PowerSchool sí lo hacía. Pero quedan muchas preguntas importantes sin respuesta.
Esta semana, TechCrunch envió a PowerSchool una lista de preguntas pendientes sobre el incidente, que tiene el potencial de impactar a millones de estudiantes en EE. UU. Keebler se negó a responder nuestras preguntas, diciendo que todas las actualizaciones relacionadas con la brecha se publicarían en la página de incidentes de SIS de la empresa, que no se ha actualizado desde el 17 de enero.
PowerSchool dijo a los clientes que compartiría un informe del incidente de la firma de ciberseguridad CrowdStrike, que la empresa contrató para investigar la brecha, el 17 de enero. Pero varias fuentes que trabajan en escuelas afectadas por la brecha dijeron a TechCrunch que aún no lo han recibido.
Los clientes de la empresa también tienen muchas preguntas sin respuesta, lo que obliga a aquellos afectados por la brecha a trabajar juntos para investigar el hackeo.
Aquí hay algunas de las preguntas que siguen sin respuesta. No se sabe cuántas escuelas o estudiantes están afectados
TechCrunch ha recibido información de escuelas afectadas por la brecha de PowerSchool que el impacto podría ser 'masivo'. Sin embargo, la página de incidentes de PowerSchool no menciona la escala de la brecha, y la empresa ha declinado repetidamente decir cuántas escuelas e individuos están afectados.
En un comunicado enviado a TechCrunch la semana pasada, Keebler dijo que PowerSchool había “identificado las escuelas y distritos cuyos datos estuvieron involucrados en este incidente”, pero no compartiría los nombres de los involucrados.
Sin embargo, las comunicaciones de los distritos escolares afectados dan una idea general del tamaño de la brecha. La Junta Escolar del Distrito de Toronto (TDSB), la junta escolar más grande de Canadá que presta servicio a aproximadamente 240,000 estudiantes cada año, dijo esta semana que los hackers podrían haber accedido a unos 40 años de datos de estudiantes. De manera similar, el Distrito Escolar de la Ciudad de Menlo Park de California confirmó que los hackers accedieron a información sobre todos los estudiantes y el personal actual, que rondan alrededor de 2,700 estudiantes y 400 empleados respectivamente, así como a estudiantes y personal desde el inicio del año escolar 2009-10.
Tampoco se conoce la escala del robo de datos. PowerSchool tampoco ha dicho cuántos datos se accedieron durante el ciberataque, pero en una comunicación compartida con sus clientes a principios de este mes, vista por TechCrunch, la empresa confirmó que los hackers robaron “información personal sensible” sobre estudiantes y profesores, incluidos números de Seguro Social de algunos estudiantes, calificaciones, datos demográficos e información médica. TechCrunch también ha sabido de varias escuelas afectadas por el incidente que se accedió a 'todos' sus datos históricos de estudiantes y profesores.
Una persona que trabaja en un distrito escolar afectado dijo a TechCrunch que los datos robados incluyen información altamente sensible sobre estudiantes, incluida información sobre los derechos de acceso de los padres a sus hijos, incluidas órdenes de restricción, e información sobre cuándo ciertos estudiantes deben tomar sus medicamentos.
PowerSchool no ha revelado cuánto pagó a los hackers responsables de la brecha
PowerSchool dijo a TechCrunch que la organización había tomado “medidas apropiadas” para evitar que los datos robados se publicaran. En la comunicación compartida con los clientes, la empresa confirmó que trabajó con una empresa de respuesta a incidentes de ciberextorsión para negociar con los actores de amenazas responsables de la brecha.
Esto casi confirma que PowerSchool pagó un rescate a los atacantes que penetraron en sus sistemas. Sin embargo, cuando se le preguntó por TechCrunch, la empresa se negó a decir cuánto pagó o cuánto exigían los hackers.
No sabemos qué evidencia recibió PowerSchool de que los datos robados fueron eliminados
En un comunicado compartido con TechCrunch a principios de este mes, Keebler de PowerSchool dijo que la organización “no anticipa que los datos se compartan o se hagan públicos” y que “cree que los datos se eliminaron sin replicación o diseminación adicional”.
Sin embargo, la empresa ha declinado repetidamente decir qué evidencia ha recibido para sugerir que los datos robados fueron eliminados. Informes iniciales dijeron que la empresa recibió evidencia en video, pero PowerSchool no confirmó ni negó cuando se le preguntó por TechCrunch.
Incluso entonces, la prueba de eliminación no garantiza de ninguna manera que los hackers aún no estén en posesión de los datos; la reciente desarticulación de la banda de ransomware LockBit en el Reino Unido descubrió evidencia de que la banda aún tenía datos pertenecientes a víctimas que habían pagado un rescate.
No sabemos quién estuvo detrás del ataque
Uno de los mayores desconocidos sobre el ciberataque de PowerSchool es quién fue el responsable. La compañía ha estado en comunicación con los hackers pero se ha negado a revelar sus identidades. CyberSteward, la organización de respuesta a incidentes canadiense con la que trabajó PowerSchool para negociar, no respondió a las preguntas de TechCrunch.
¿Tiene más información sobre la brecha de datos de PowerSchool? Nos encantaría saber de usted. Desde un dispositivo no laboral, puede contactar a Carly Page de forma segura en Signal al +44 1536 853968 o por correo electrónico a carly.page@techcrunch.com.
