(https://i.imgur.com/NusL7wi.jpeg)
El Departamento de Justicia de Estados Unidos (DOJ) confirmó la condena de Matthew D. Lane, un estudiante universitario de 19 años de Worcester, Massachusetts, sentenciado a cuatro años de prisión federal por su papel como autor principal de un ciberataque masivo contra PowerSchool, uno de los mayores proveedores de software educativo en la nube del mundo.
El ataque, perpetrado en diciembre de 2024, provocó una de las violaciones de datos más graves en el sector educativo, afectando la información personal de más de 60 millones de estudiantes y 9.5 millones de docentes en todo el mundo.
Un ataque devastador al ecosistema educativo digitalPowerSchool, proveedor líder de soluciones basadas en la nube para escuelas y distritos K-12, cuenta con más de 18,000 instituciones educativas entre sus clientes globales. Su plataforma centraliza datos académicos, administrativos y personales de estudiantes, docentes y padres, lo que la convierte en un objetivo altamente atractivo para los cibercriminales.
Según los documentos judiciales, el ataque de diciembre de 2024 se centró en el portal de atención al cliente PowerSource, donde Lane y sus cómplices lograron acceder utilizando credenciales robadas de un subcontratista externo.
A través de una herramienta de mantenimiento interna, descargaron bases de datos completas que incluían nombres, direcciones, números telefónicos, contraseñas cifradas, datos de padres, información médica, números de Seguro Social y detalles de contacto de los usuarios.
El robo afectó a 6,505 distritos escolares en múltiples países, comprometiendo información extremadamente sensible de estudiantes menores de edad y del personal docente.
Extorsión en nombre de ShinyHuntersTras el robo, los atacantes enviaron demandas de rescate por un total de 2.85 millones de dólares en Bitcoin el 28 de diciembre de 2024.
En los mensajes, los criminales afirmaban ser miembros del grupo ShinyHunters, una organización de cibercriminales conocida por ataques de alto perfil como la violación de datos de AT&T en 2022, el robo de información a Snowflake, y múltiples brechas en plataformas como Salesforce y Microsoft.
Aunque la investigación demostró que Lane y sus cómplices usaron el nombre de ShinyHunters como fachada, no hay evidencia de vínculos directos entre ambos.
Los documentos judiciales revelan que, tras obtener el pago inicial de PowerSchool, los delincuentes intentaron extorsionar individualmente a distritos escolares adicionales, exigiendo pagos a cambio de no publicar los datos robados de estudiantes.
Condena ejemplar: prisión y millonaria restituciónEl martes pasado, la jueza federal Margaret R. Guzmán del Distrito de Massachusetts sentenció a Lane a cuatro años de prisión, además de 14 millones de dólares en restitución y una multa adicional de 25,000 dólares.
El joven se había declarado culpable en mayo de 2025 de cuatro cargos federales:
- Acceso no autorizado a sistemas protegidos.
- Conspiración de extorsión cibernética.
- Extorsión cibernética.
- Robo de identidad agravado.
Durante el proceso judicial, Lane admitió haber actuado con varios cómplices aún no identificados públicamente, con quienes compartía los beneficios económicos obtenidos de los rescates.
El DOJ subrayó que la sentencia busca enviar un mensaje contundente sobre las consecuencias legales de los ciberataques a infraestructuras críticas y servicios educativos.
PowerSchool pagó un rescate, pero el daño estaba hechoAunque PowerSchool negó en su momento haber sufrido una filtración activa, fuentes judiciales confirmaron que la empresa realizó un pago parcial de rescate con el objetivo de impedir la publicación de los datos.
Sin embargo, el monto exacto pagado no ha sido revelado públicamente.
De manera preocupante, en marzo de 2025, PowerSchool reconoció que su portal PowerSource ya había sido vulnerado en agosto y septiembre de 2024 mediante las mismas credenciales robadas, pero entonces no se había atribuido la intrusión al mismo atacante.
Una investigación independiente de CrowdStrike confirmó que se trataban de incidentes separados, aunque todos compartían la misma debilidad: el acceso no controlado de contratistas externos.
Demandas y repercusiones legales en cursoEl caso PowerSchool continúa generando efectos colaterales en el sector educativo.
En septiembre, el fiscal general de Texas, Ken Paxton, presentó una demanda civil contra PowerSchool, acusando a la compañía de negligencia en la protección de datos personales y de engañar a clientes escolares sobre sus prácticas de seguridad.
La demanda argumenta que PowerSchool no implementó medidas de cifrado adecuadas y carecía de auditorías periódicas de seguridad, a pesar de manejar información de millones de estudiantes en Estados Unidos.
El caso podría derivar en sanciones financieras adicionales y en la obligación de la empresa de reformar sus políticas de ciberseguridad.
Un llamado de atención sobre la seguridad en la educación digitalEl incidente PowerSchool deja una lección clara: la seguridad de los datos educativos debe ser tratada como una prioridad crítica.
En un entorno donde los servicios escolares se digitalizan cada vez más, el uso de contraseñas fuertes, la autenticación multifactor, el control de acceso de contratistas y la supervisión continua de sistemas en la nube son esenciales para prevenir incidentes de este tipo.
La sentencia de Matthew D. Lane marca un precedente en los casos de extorsión cibernética en el sector educativo, subrayando que los ataques a plataformas que almacenan datos de menores no quedarán impunes.
Fuente: https://www.bleepingcomputer.com/