PowerSchool, una empresa que fabrica software educativo, habría expuesto datos personales de estudiantes y profesores de todo EE.UU. tras ser víctima de un ciberataque por parte de piratas informáticos.
El pasado 28 de diciembre el fabricante se percató de un acceso no autorizado a uno de sus portales de clientes, conocido como PowerSource.
La compañía proporciona herramientas en la nube a miles de distritos escolares que usan sus programas para asistencia, finanzas, gestión de personal, etc.
Además, es la empresa matriz de Naviance, una plataforma que ofrece a los estudiantes asesoramiento universitario y profesional personalizado y gestiona grandes cantidades de información sobre la media de calificaciones y puntuaciones de los exámenes.
En total PowerSchool almacena datos de más de 60 millones de alumnos y profesores de primaria y secundaria.
Pagaron el rescate para evitar males mayores
"Nos tomamos muy en serio nuestra responsabilidad de proteger la privacidad de los datos de los estudiantes y actuamos de manera responsable como procesadores de datos", señala la compañía en un comunicado.
En este sentido, aseguran haber tomado "todas las medidas adecuadas para evitar que los datos involucrados sufran más accesos no autorizados o un uso indebido".
Asimismo, afirman que "el incidente está contenido y no anticipamos que los datos se compartan o se hagan públicos".
Un portavoz ha revelado a la web de información sobre ciberseguridad Bleeping Computer que los datos comprometidos en su mayor parte incluyen nombres, direcciones y otra información de contacto. Además, en otros casos incorporan números de Seguro Social, información de identificación personal, información médica y calificaciones de los alumnos.
La compañía también ha perjurado ante el medio que la violación no fue un ataque de ransomware. Sin embargo, hay cierta contradicción porque PowerSchool sí que ha reconocido haber pagado un rescate con el fin de que los datos no se filtraran.
Hay que recordar que en estos casos no hay garantía de que no se produzca una filtración pese a pagar. Todo depende de la 'buena voluntad' o no que tengan los piratas informáticos en cuestión. Algunos, de hecho, suelen atacar con más insidia a las víctimas que se aflojan el bolsillo y son reincidentes sobre ellas, por su propensión a dar dinero en dichos casos.
En esta ocasión la empresa de software tiene cierta certezas sobre que los datos sí que fueron destruídos, ya que recibieron un vídeo de los cibermalos donde, supuestamente, estos eran borrados.
Esta prueba puede no serlo tanto y quizás los datos de los estudiantes y los profesores aún estén en manos de los piratas porque estos hayan hecho una copia o los hayan distribuido a un tercero antes de su eliminación.