Solo estamos en febrero, pero el reciente hackeo del gigante tecnológico educativo de EE. UU., PowerSchool, tiene el potencial de ser una de las mayores brechas del año.
PowerSchool, que proporciona software de K-12 a más de 18,000 escuelas para apoyar a unos 60 millones de estudiantes en toda América del Norte, confirmó la brecha a principios de enero. La empresa con sede en California, adquirida por Bain Capital por $5.6 mil millones en 2024, dijo que los hackers utilizaron credenciales comprometidas para acceder a su portal de soporte al cliente, lo que permitió un mayor acceso al sistema de información escolar de la empresa, PowerSchool SIS, que las escuelas utilizan para administrar registros de estudiantes, calificaciones, asistencia e inscripciones.
“El 28 de diciembre de 2024, nos dimos cuenta de un posible incidente de ciberseguridad que involucraba acceso no autorizado a cierta información de PowerSchool SIS a través de uno de nuestros portales enfocados en la comunidad, PowerSource”, dijo la portavoz de PowerSchool, Beth Keebler, a TechCrunch.
PowerSchool ha sido transparente sobre algunos aspectos de la brecha. Keebler le dijo a TechCrunch que el portal PowerSource, por ejemplo, no admitía autenticación de múltiples factores en el momento del incidente, mientras que PowerSchool sí lo hacía. Pero quedan varias preguntas importantes sin respuesta.
TechCrunch envió a PowerSchool una lista de preguntas pendientes sobre el incidente, que tiene el potencial de afectar a millones de estudiantes en EE. UU. Keebler se negó a responder a nuestras preguntas, diciendo que todas las actualizaciones relacionadas con la brecha se publicarían en la página de incidentes de la empresa. El 29 de enero, la empresa dijo que comenzó a notificar a las personas afectadas por la brecha y a los reguladores estatales.
PowerSchool le dijo a los clientes que compartiría a mediados de enero un informe de incidente de la empresa de ciberseguridad CrowdStrike, que la empresa contrató para investigar la brecha. Pero varias fuentes de escuelas afectadas por la brecha le dijeron a TechCrunch que aún no lo han recibido.
Los clientes de la empresa también tienen muchas preguntas sin respuesta, lo que obliga a los afectados por la brecha a trabajar juntos para investigar el hackeo.
Aquí hay algunas preguntas que aún quedan sin respuesta.
No se sabe cuántas escuelas o estudiantes están afectados.
Bleeping Computer, citando múltiples fuentes, informa que el hacker responsable de la brecha de PowerSchool presuntamente accedió a los datos personales de más de 62 millones de estudiantes y 9.5 millones de profesores. PowerSchool se ha negado repetidamente a confirmar si este número es preciso.
Las comunicaciones de los distritos escolares afectados dan una idea general del tamaño de la brecha. El Consejo Escolar del Distrito de Toronto (TDSB), el mayor consejo escolar de Canadá que sirve a aproximadamente 240,000 estudiantes cada año, dijo que el hacker podría haber accedido a unos 40 años de datos de estudiantes, con los datos de casi 1.5 millones de estudiantes tomados en la brecha.
Todavía no sabemos qué tipos de datos fueron robados.
Un persona que trabaja en un distrito escolar afectado dijo a TechCrunch que los datos robados incluyen información altamente sensible sobre los estudiantes, incluida información sobre los derechos de acceso de los padres a sus hijos, incluyendo órdenes de alejamiento, e información sobre cuándo ciertos estudiantes deben tomar sus medicamentos.
Una fuente que habló con TechCrunch en febrero reveló que PowerSchool ha proporcionado a las escuelas afectadas una herramienta de "Auto Servicio de SIS" que puede consultar y resumir los datos de los clientes de PowerSchool para mostrar qué datos se almacenan en sus sistemas.
No se sabe si PowerSchool tiene sus propios medios técnicos, como registros, para determinar qué tipos de datos fueron robados de distritos escolares específicos.
No se ha dicho cuánto pagó PowerSchool al hacker responsable de la brecha.
No sabemos qué evidencia recibió PowerSchool de que los datos robados han sido eliminados.
Aún no sabemos quién estuvo detrás del ataque.
Los resultados de la investigación de CrowdStrike siguen siendo un misterio.
¿Tiene más información sobre la brecha de datos de PowerSchool? Nos encantaría saber de usted. Desde un dispositivo no laboral, puede comunicarse de forma segura con Carly Page en Signal al +44 1536 853968 o por correo electrónico a carly.page@techcrunch.com.
