Según ha publicado The Canadian Press, un ciberataque en PowerSchool, el sistema de información estudiantil más ampliamente utilizado en Canadá y Estados Unidos, ha dejado al descubierto fallos fundamentales en la preparación y la seguridad de numerosos consejos escolares.
El ataque, dirigido contra la empresa tecnológica responsable de gestionar datos académicos y administrativos, ha revelado lagunas críticas que ahora están siendo investigadas.
Este episodio ha puesto de relieve lo vulnerable que puede resultar la infraestructura digital sobre la que se apoyan las escuelas modernas. La magnitud del evento no solo afecta a estudiantes y personal actual, sino también a individuos cuyos datos habían sido almacenados durante años.
La falta de claridad inicial, unida al enorme volumen de información comprometida, ha incrementado la sensación de desprotección entre familias, docentes y organismos de supervisión.
Qué ocurrió durante el ciberataque a PowerSchool
Las conclusiones divulgadas por los organismos de privacidad de Ontario y Alberta indican que la plataforma sufrió un ciberataque con amenaza de rescate a finales de 2024. El ataque comprometió información perteneciente a estudiantes, padres y miembros del personal de distintas regiones del país.
Los informes señalan que el incidente afectó particularmente a instituciones como el Consejo Escolar Católico del Distrito Simcoe Muskoka, que notificó a las familias mediante una carta en la que su director de educación, Francis Bagley, reconocía la gravedad del suceso y la inquietud generada entre la comunidad.
La empresa asumió la responsabilidad total de la brecha, una postura que fue comunicada a los consejos escolares afectados. La compañía actuó rápidamente para contener el incidente, señalaron los informes, y comenzó a ofrecer asistencia técnica y operativa a los distritos implicados.
No obstante, pese a estos esfuerzos, el organismo regulador de Ontario estima que aproximadamente 5,2 millones de ciudadanos canadienses se vieron alcanzados por el ciberataque, un volumen que lo sitúa entre los mayores incidentes de seguridad registrados en el sector educativo norteamericano.
Representantes del Consejo Escolar del Distrito del Condado de Simcoe mencionaron que, por el momento, no existen evidencias de que los datos de sus estudiantes hayan sido comprometidos.
Aun así, la incertidumbre persiste, ya que los atacantes no solo exigieron un rescate a la empresa afectada, sino que también contactaron directamente con otros consejos escolares, incluyendo los de Toronto y la región de Peel, para solicitar pagos adicionales.
Fallos revelados por la investigación
Los informes elaborados por los comisionados de privacidad de Ontario y Alberta coinciden en varios puntos críticos. La investigación sobre PowerSchool determinó que una parte significativa de los consejos escolares no disponía de planes formales ni protocolos actualizados para responder ante brechas de seguridad.
A esta carencia se suman deficiencias contractuales, ya que muchos acuerdos con la compañía carecían de cláusulas obligatorias sobre privacidad, seguridad de la información o monitorización continua.
Los investigadores también detectaron que numerosos distritos escolares no contaban con procedimientos establecidos para supervisar las salvaguardas implementadas por la plataforma tecnológica.
Esta falta de vigilancia contribuyó a que el ataque se desarrollara sin que existieran mecanismos capaces de identificar con antelación los movimientos del actor malicioso.
Entre las recomendaciones emitidas por los comisionados se incluyen la revisión completa de los contratos, la implementación de sistemas avanzados de seguimiento y detección y el establecimiento de políticas claras para gestionar incidentes de seguridad. Estas medidas buscan reforzar la resiliencia del ecosistema educativo, que depende de manera creciente de plataformas digitales centralizadas.
Un caso que expone vulnerabilidades estructurales
El ciberataque se produce en un contexto en el que el sector educativo ha sido objetivo recurrente de grupos delincuenciales especializados en obtener grandes bases de datos.
La magnitud del incidente también adquirió relevancia internacional tras conocerse que un joven de 19 años, residente en Massachusetts, fue condenado recientemente a cuatro años de prisión después de declararse culpable de extorsión cibernética contra dos empresas, una de ellas relacionada con la plataforma afectada.
Los documentos judiciales revelan que los atacantes exigieron un rescate de 2,85 millones de dólares en criptomonedas, amenazando con publicar información personal, médica y académica de millones de estudiantes y profesores.
Aunque la compañía pagó un rescate para mitigar los daños, el riesgo de exposición continúa siendo motivo de preocupación para los organismos federales y provinciales.
La respuesta de los reguladores y las próximas acciones
El organismo federal de privacidad de Canadá anunció en febrero el inicio de una investigación independiente para evaluar la gravedad de la brecha. La oficina del comisionado, dirigida por Philippe Dufresne, decidió suspender temporalmente la investigación en julio tras considerar satisfactorias las medidas adoptadas por la compañía, que incluyeron el fortalecimiento de sus sistemas de monitorización y detección.
A pesar de esta suspensión, la plataforma deberá presentar en marzo de 2026 una evaluación de seguridad independiente y un informe detallado de sus salvaguardas, como parte de su compromiso con la mejora continua de sus procesos internos de protección.
