El incidente expuso una vulnerabilidad crítica en el corazón de la infraestructura digital de la educación moderna: la fuerte dependencia de las escuelas en proveedores externos para gestionar enormes cantidades de datos altamente sensibles.
Las investigaciones forenses revelaron que un atacante obtuvo acceso por primera vez el 16 de agosto de 2024, usando una sola credencial comprometida. Sin embargo, la actividad principal ocurrió del 19 al 28 de diciembre de 2024, antes de que PowerSchool detectara actividad inusual el día 28 y comenzara su investigación.
El ataque se originó a través de PowerSource, el portal de soporte al cliente de PowerSchool.
Desde allí, el atacante accedió al Student Information System (SIS), la base de datos central de estudiantes y personal, usando una herramienta de mantenimiento que les permitió realizar operaciones remotas y exportar datos.
Los atacantes aprovecharon correos de phishing dirigidos al personal de TI de PowerSchool, combinados con vulnerabilidades sin parche en software de terceros. La información robada provino de múltiples bases de datos, incluyendo contactos de padres, registros estudiantiles y datos privados del personal.
PowerSchool no divulgó públicamente la brecha hasta el 7 de enero de 2025, más de una semana después de detectarla. Esto generó críticas de distritos escolares y padres, quienes sintieron que el informe final dejó preguntas sin responder.
Las bases de datos educativas son un tesoro para los delincuentes, especialmente peligroso porque involucra a niños, cuyas identidades robadas pueden usarse por años sin ser detectadas.
La información comprometida varió por distrito, pero incluyó:
Aunque PowerSchool aisló los sistemas afectados y contrató expertos forenses, finalmente pagó un rescate de $2.85 millones en Bitcoin.
A pesar de que los atacantes mostraron un video eliminando los datos, más tarde continuaron extorsionando a otros con muestras de información en mayo de 2025.
Para mitigar el impacto, PowerSchool está ofreciendo dos años de monitoreo de identidad y crédito sin costo y ha prometido fortalecer sus sistemas de seguridad.
Las escuelas almacenan enormes cantidades de información personal que los ciberdelincuentes pueden usar para robo de identidad. Sin embargo, muchas no cuentan con los recursos para equipos de ciberseguridad sólidos.
Existe un mito peligroso: que los distritos pequeños son menos atractivos. La realidad es lo contrario: menos seguridad significa mayor atractivo para los atacantes.
La brecha comenzó con correos de phishing dirigidos al personal de TI. Como ocurre en la mayoría de incidentes, el mayor riesgo sigue siendo humano.
La capacitación continua es tan importante como las herramientas de seguridad.
La brecha de PowerSchool es un recordatorio de la enorme responsabilidad que implica gestionar datos estudiantiles. Millones de estudiantes ahora enfrentan un riesgo a largo plazo de robo de identidad.
Proteger el entorno digital educativo requiere una cultura de seguridad compartida entre proveedores, distritos y familias.
Get A FREE Subscription To Weekly Cybersecurity Tips So Your Company Doesn’t Become The Next Victim.
