Estamos a solo unos meses de 2025, pero el reciente truco del gigante estadounidense de Edtech Powerschool está en camino de ser una de las mayores violaciones de datos educativos en los últimos años.
PowerSchool, que proporciona software K-12 a más de 18,000 escuelas para apoyar a unos 60 millones de estudiantes en América del Norte, divulgó por primera vez la violación de datos a principios de enero de 2025.
La compañía con sede en California, que Bain Capital adquirió por $ 5.6 mil millones, dijo que un pirata informático desconocido utilizó una sola credencial comprometida para violar su portal de atención al cliente en diciembre de 2024, permitiendo un mayor acceso al sistema de información escolar de la compañía, Powerschool SIS, que las escuelas utilizan para administrar registros de estudiantes, calificaciones, asistencia y inscripción.
Si bien PowerSchool ha sido abierto sobre algunos aspectos de la violación, por ejemplo, PowerSchool le dijo a Tecno que el portal de PowerSource violado no Apoya la autenticación de múltiples factores en el momento del incidente: varias preguntas importantes siguen sin respuesta meses.
Tecno envió a PowerSchool una lista de preguntas sobresalientes sobre el incidente, lo que potencialmente afecta a millones de estudiantes.
La portavoz de PowerSchool, Beth Keebler, se negó a responder nuestras preguntas, diciendo que todas las actualizaciones relacionadas con la violación se publicarían en la página de incidentes de la compañía. El 29 de enero, la compañía dijo que comenzó a notificar a las personas afectadas por la violación y los reguladores estatales.
Muchos de los clientes de la compañía también tienen preguntas sobresalientes sobre la violación, lo que obliga a los afectados a trabajar juntos para investigar el hack.
A principios de marzo, PowerSchool publicó su violación de datos Post-Mortem, según lo preparado por CrowdStrike, dos meses después de que se les dijo a los clientes de PowerSchool que se lanzaría. Si bien muchos de los detalles en el informe eran conocidos, CrowdStrike confirmó que un hacker tenía acceso a los sistemas de Powerschool ya en agosto de 2024.
Estas son algunas de las preguntas que permanecen sin respuesta.
PowerSchool no ha dicho cuántos estudiantes o personal están afectados
Tecno ha escuchado de los clientes de PowerSchool que la escala de la violación de datos podría ser «masiva». Pero PowerSchool se ha negado repetidamente a decir cuántas escuelas e individuos están afectados, a pesar de decirle a Tecno que había «identificado las escuelas y distritos cuyos datos estaban involucrados en este incidente».
Bleeping Computer, citando múltiples fuentes, informó en enero que el hacker responsable de la violación de Powerschool accedió a los datos personales de más de 62 millones de estudiantes y 9.5 millones de maestros.
Cuando Tecno le preguntó, PowerSchool declinó confirmar si este número era preciso.
Sin embargo, las presentaciones de PowerSchool con los Fiscales Generales del Estado y las comunicaciones de las escuelas violadas sugieren que millones de personas probablemente le robaron información personal en la violación de datos.
En una presentación ante el Fiscal General de Texas, PowerSchool confirmó que casi 800,000 residentes estatales tenían datos robados. Una presentación de enero ante el Fiscal General de Maine dijo que al menos 33,000 residentes se vieron afectados, pero desde entonces se ha actualizado para decir que el número de individuos impactados se «debe determinar».
La Junta Escolar del Distrito de Toronto, la junta escolar más grande de Canadá, que atiende a aproximadamente 240,000 estudiantes cada año, dijo que el hacker puede haber accedido a datos de estudiantes por valor de unos 40 años, con los datos de casi 1,5 millones de estudiantes tomados en la violación.
El Distrito Escolar Menlo Park City de California también confirmó que el hacker accedió a la información sobre todos los estudiantes y personal actuales, que respectivamente suman alrededor de 2,700 estudiantes y 400 empleados, así como a los estudiantes y al personal que se remonta al comienzo del año escolar 2009-10.
PowerSchool no ha dicho qué tipos de datos fueron robados
No solo no sabemos cuántas personas se vieron afectadas, sino que tampoco sabemos cuánto o a qué tipos de datos se accedieron durante la violación.
En una comunicación compartida con los clientes en enero, visto por Tecno, Powerschool dijo que el hacker robó «información personal confidencial» a los estudiantes y maestros, incluidas las calificaciones, la asistencia y la demografía de los estudiantes. La página de incidentes de la Compañía también establece que los datos robados pueden haber incluido números de Seguro Social y datos médicos, pero dice que «debido a las diferencias en los requisitos del cliente, la información exfiltrada para un individuo dado varió en nuestra base de clientes».
Tecno ha escuchado de varias escuelas afectadas por el incidente que «todos» de sus datos históricos de estudiantes y maestros se vieron comprometidos.
Una persona que trabaja en un distrito escolar afectado le dijo a Tecno que los datos robados incluyen datos de estudiantes altamente confidenciales, como información sobre los derechos de acceso de los padres para sus hijos, las órdenes de restricción e información sobre cuándo ciertos estudiantes necesitan tomar sus medicamentos.
Una fuente que habla con Tecno en febrero reveló que PowerSchool ha proporcionado a las escuelas afectadas una herramienta de «auto -servicio de SIS» que puede consultar y resumir los datos de los clientes de PowerSchool para mostrar qué datos se almacenan en sus sistemas. PowerSchool dijo a las escuelas afectadas, sin embargo, que la herramienta «no puede reflejar con precisión los datos exfiltrados en el momento del incidente».
No se sabe si PowerSchool tiene sus propios medios técnicos, como registros, para determinar qué tipos de datos fueron robados de distritos escolares específicos.
PowerSchool no dirá cuánto le pagó al hacker responsable de la violación
PowerSchool le dijo a Tecno que la organización había tomado «pasos apropiados» para evitar que los datos robados se publiquen. En la comunicación compartida con los clientes, la compañía confirmó que funcionó con una compañía de respuesta a incidentes de extinción cibernética para negociar con los actores de amenaza responsables de la violación.
Esto casi confirma que PowerSchool pagó un rescate a los atacantes que violaron sus sistemas. Sin embargo, cuando Tecno le preguntó, la compañía se negó a decir cuánto pagó o cuánto exigía el hacker.
No sabemos qué evidencia recibió PowerSchool que se han eliminado los datos robados.
Keebler de PowerSchool le dijo a Tecno que la compañía «no anticipa los datos que se comparten o se hacen públicos» y que «cree que los datos se han eliminado sin ninguna replicación o difusión adicional».
Sin embargo, la compañía se ha negado repetidamente a decir qué evidencia ha recibido para sugerir que los datos robados se habían eliminado. Los primeros informes dijeron que la compañía recibió una prueba de video, pero Powerschool no confirmó ni negaría cuando Tecno le pidió.
Incluso entonces, la prueba de eliminación de ninguna manera es una garantía de que el hacker aún no está en posesión de los datos; El reciente derribo del Reino Unido de la pandilla de ransomware Lockbit descubrió la evidencia de que la pandilla todavía tenía datos que pertenecían a las víctimas que habían pagado una demanda de rescate.
El hacker detrás de la violación de datos aún no se sabe
Una de las mayores incógnitas sobre el ataque cibernético PowerSchool es quién fue el responsable. La compañía ha estado en comunicación con el hacker, pero se ha negado a revelar su identidad, si se conoce. Cybersteward, la organización de respuesta de incidentes canadiense con la que trabajó Powerschool para negociar, no respondió a las preguntas de Tecno.
El informe forense de CrowdStrike deja preguntas sin respuesta
Tras el lanzamiento de PowerSchool de su informe forense de CrowdStrike en marzo, una persona en una escuela afectada por la violación le dijo a Tecno que los hallazgos eran «decepcionantes».
El informe confirmó que la violación fue causada por una credencial comprometida, pero la causa raíz de cómo se adquirió y usó la credencial comprometida.
Marc Racine, director ejecutivo de la firma de consultoría de tecnología educativa con sede en Boston Rooted Solutions, dijo a Tecno que, si bien el informe proporciona «algunos detalles», no hay suficiente información para «comprender lo que salió mal».
No se sabe exactamente qué tan lejos va realmente la violación de PowerSchool
Un nuevo detalle en el informe CrowdStrike es que un hacker tenía acceso a la red de Powerschool entre el 16 de agosto de 2024 y el 17 de septiembre de 2024.
El acceso se obtuvo utilizando las mismas credenciales comprometidas utilizadas en la violación de diciembre, y el hacker accedió a PowerSchool PowerSource, el mismo portal de atención al cliente comprometido en diciembre para obtener acceso al sistema de información escolar de PowerSchool.
CrowdStrike dijo, sin embargo, que no hay suficiente evidencia para concluir que este es el mismo actor de amenaza responsable de la violación de diciembre debido a registros insuficientes.
Pero los hallazgos sugieren que el hacker, o múltiples hackers, puede haber tenido acceso a la red de PowerSchool durante meses antes de que se detectara el acceso.
¿Tiene más información sobre la violación de datos de PowerSchool? Nos encantaría saber de ti. Desde un dispositivo no laboral, puede comunicarse con Carly Page de forma segura en la señal al +44 1536 853968 o por correo electrónico a [email protected].
