Meses después de que el proveedor de software educativo PowerSchool pagara un rescate a los hackers que vulneraron sus sistemas en diciembre de 2024, varios distritos escolares de toda Norteamérica están reportando ahora intentos de extorsión utilizando los mismos datos robados, a pesar de las garantías de que la información había sido eliminada
Tácticas de Doble Extorsión Explicadas
El incidente de PowerSchool representa un ejemplo clásico de «doble extorsión», donde los ciberdelincuentes primero atacan a un proveedor de servicios y luego aprovechan los datos robados para extorsionar a sus clientes. Tras vulnerar con éxito los sistemas de PowerSchool utilizando una credencial comprometida en diciembre de 2024, los actores de amenazas ahora han pasado a exigir rescates a distritos escolares individuales en Estados Unidos y Canadá. Esta táctica maximiza sus ganancias al monetizar los mismos datos varias veces.
Este enfoque es especialmente preocupante porque demuestra que pagar el rescate inicial no garantiza que los datos robados sean eliminados de forma permanente. A pesar del pago realizado por PowerSchool a los atacantes, que incluyó la recepción de un video que supuestamente mostraba la eliminación de los archivos robados, los mismos datos están siendo utilizados ahora en estos intentos de extorsión posteriores. Las agencias de seguridad en Estados Unidos y Canadá están investigando estos incidentes, mientras que distritos escolares afectados como el Toronto District School Board y numerosos distritos de Carolina del Norte han sido aconsejados de no interactuar con los actores de amenazas
Respuesta de la Junta Escolar del Distrito de Toronto
La Junta Escolar del Distrito de Toronto (TDSB), la junta escolar más grande de Canadá, ha estado respondiendo activamente a la filtración de datos de PowerSchool desde que fue notificada por primera vez el 7 de enero de 2025. Cuando se descubrió inicialmente la filtración, la TDSB activó de inmediato su plan de respuesta de ciberseguridad y comenzó a trabajar con PowerSchool para investigar el incidente. En mayo de 2025, la junta informó a los padres y tutores que, a pesar del pago del rescate por parte de PowerSchool, los datos robados no habían sido destruidos y la TDSB había recibido una demanda de rescate por parte del actor de la amenaza.
La información comprometida potencialmente incluye datos de estudiantes que se remontan a 1985, como nombres, fechas de nacimiento, género, números de tarjeta de salud, domicilios, números de teléfono y correos electrónicos escolares. En respuesta, la TDSB ha establecido canales de comunicación dedicados, incluido un correo electrónico especializado (cyberincident@tdsb.on.ca) para padres y tutores preocupados. La junta está colaborando con PowerSchool, agencias policiales y el Comisionado de Información y Privacidad de Ontario para abordar la situación. Además, PowerSchool está ofreciendo a las personas afectadas dos años de monitoreo de crédito y servicios de protección de identidad gratuitos.
La decisión de PowerSchool sobre el pago del rescate
El equipo de liderazgo de PowerSchool enfrentó una decisión difícil cuando se vio confrontado con la filtración de datos de diciembre de 2024 que expuso información sensible de más de 60 millones de estudiantes y 9.5 millones de maestros. La empresa finalmente decidió pagar el rescate, creyendo que era «en el mejor interés de nuestros clientes y de los estudiantes y comunidades a las que servimos.» Esta decisión no se tomó a la ligera, ya que PowerSchool esperaba que esto evitara que los datos robados se hicieran públicos, a pesar de comprender el riesgo inherente de que los ciberdelincuentes no cumplieran su promesa de eliminar la información.
Los hackers obtuvieron acceso inicial al sistema de PowerSchool a través de uno de sus portales de soporte al cliente, específicamente el portal PowerSource. El 28 de diciembre de 2024, PowerSchool detectó la filtración no autorizada de información personal desde los entornos de su Sistema de Información Estudiantil (SIS) mediante este portal dedicado a la comunidad de clientes
Tras enterarse del incidente, PowerSchool activó sus protocolos de respuesta cibernética y notificó a las autoridades, además de reforzar sus medidas de seguridad, como la actualización de políticas de contraseñas y controles adicionales
Las consecuencias han demostrado que esta preocupación era válida, ya que los mismos actores de amenazas ahora están atacando a distritos escolares individuales con intentos de extorsión utilizando los datos previamente robados. Esta situación resalta el debate continuo sobre los pagos de rescate, con expertos en seguridad señalando que «pagar un rescate no garantiza el fin de un ciberataque; a menudo solo abre el siguiente capítulo.» Se informa que Carolina del Norte ha decidido no renovar su contrato con PowerSchool tras la filtración, lo que refleja la creciente preocupación sobre cómo se manejó el incidente. Mientras tanto, PowerSchool continúa ofreciendo a las personas afectadas dos años de monitoreo de crédito gratuito y servicios de protección de identidad, mientras trabaja con las fuerzas del orden tanto en EE. UU. como en Canadá.
