PowerSchool, una plataforma ampliamente utilizada por los distritos escolares del oeste de Washington, incluidos Seattle y Everett, confirmó la infracción.
SEATTLE – Una empresa de software basada en la nube utilizada por escuelas de todo el país para administrar los datos de los estudiantes está lidiando con las consecuencias de una importante violación de datos.
PowerSchool, una plataforma ampliamente utilizada por los distritos escolares del oeste de Washington, incluidos Seattle y Everett, confirmó la infracción. Esto ha generado preocupación sobre la seguridad de la información personal de millones de estudiantes.
Las Escuelas Públicas de Seattle, que utilizan los servicios de PowerSchool, anunciaron el jueves que ningún dato de los estudiantes dentro del distrito se vio comprometido. El distrito atribuye el uso de una red privada virtual (VPN) como una capa adicional de seguridad.
Las Escuelas Públicas de Everett, que también utilizan productos PowerSchool, dijeron que ninguna de sus escuelas se vio afectada por la infracción.
Power School reveló que alguien llevó a cabo la “exportación ilegal de información personal” a finales de 2024. La empresa con sede en California gestiona datos de aproximadamente 60 millones de estudiantes en todo el mundo, según su sitio web. Estos datos incluyen información confidencial como nombres, direcciones, números de teléfono e incluso números de seguro social. Aunque la empresa insiste en que la información bancaria de padres o profesores no se vio comprometida, los expertos en ciberseguridad recomiendan precaución.
El Dr. Eric Moore, director del nuevo programa de Maestría en Liderazgo en Ciberseguridad de la Universidad de Seattle, expresó sorpresa por la escala de esta violación y señaló que PowerSchool ha sido considerado durante mucho tiempo un proveedor de productos de calidad.
“Para que les suceda algo como esto, deben haber sido atacados directamente”, dijo Moore.
Moore destacó una tendencia alarmante en la que los ataques cibernéticos están pasando de estar dirigidos a distritos escolares individuales a estar dirigidos a grandes proveedores como PowerSchool.
“Los atacantes amenazantes saben que pueden obtener grandes cantidades de datos atacando a estos proveedores”, explicó.
Moore enfatizó a los padres la importancia de tomar medidas proactivas para proteger los datos de sus hijos.
“Los padres deben asumir que los datos ya no existen y controlar cómo se utilizan”, aconsejó.
Los pasos incluyen verificar periódicamente si hay signos de robo de identidad utilizando el número de Seguro Social de su hijo y revisar las cuentas de servicios de vida asistida. Estos servicios de terceros monitorean las infracciones y alertan a los usuarios sobre riesgos potenciales.
Esta infracción también pone de relieve los crecientes desafíos en el entorno de la ciberseguridad.
“Esto también es una forma de extorsión”, dijo Moore, refiriéndose a las tácticas de ransomware utilizadas comúnmente por los piratas informáticos. Aunque no hay pruebas de que los atacantes hayan publicado los datos robados, el potencial de uso malicioso sigue siendo alto.
PowerSchool anunció que su servicio volvió a estar en línea y aseguró a los usuarios que estaba investigando el incidente. Sin embargo, la infracción ha dado lugar a pedidos de medidas de seguridad más estrictas en todas las plataformas educativas.
A medida que las escuelas dependen cada vez más de herramientas digitales para administrar las operaciones, los expertos dicen que el incidente sirve como una llamada de atención tanto para los distritos escolares como para los proveedores para priorizar protocolos sólidos de ciberseguridad.
Moore aconseja a los distritos escolares que evalúen sus prácticas de seguridad actuales e inviertan en medidas preventivas como VPN y auditorías periódicas para reducir el riesgo en una era de intensas amenazas cibernéticas.
