El proveedor de software educativo PowerSchool, que gestiona datos de más de 60 millones de estudiantes en todo el mundo, ha reconocido que pagó un rescate tras el robo de información personal. Varios distritos escolares estadounidenses han sido contactados por los atacantes en un intento de extorsión directa.

Una amenaza que afecta al sistema educativo

PowerSchool, uno de los principales proveedores de soluciones digitales para el ámbito educativo en Estados Unidos, ha confirmado esta semana que piratas informáticos están intentando extorsionar a distritos escolares utilizando datos personales obtenidos en un ciberataque anterior. El incidente, que se remonta a diciembre de 2024, comprometió información sensible de estudiantes estadounidenses, incluyendo nombres, direcciones, fechas de nacimiento, datos médicos y números de la seguridad social.

En una declaración publicada este miércoles, la compañía con sede en California informó que al menos cuatro distritos escolares han sido contactados directamente por los atacantes. Estos intentos de extorsión representan una nueva fase del incidente, que ya había sido calificado como uno de los más graves en el ámbito educativo de los últimos años.

Una decisión difícil: pagar el rescate

Por primera vez desde que se produjo la filtración, PowerSchool ha reconocido que tomó la decisión de pagar un rescate a los responsables del ciberataque. Aunque la cantidad no ha sido revelada, la empresa aseguró que la decisión se tomó tras una “evaluación cuidadosa” de las circunstancias, priorizando el bienestar de sus clientes, los estudiantes y las comunidades afectadas.

Según el comunicado, los atacantes proporcionaron “garantías y pruebas” de que eliminarían los datos robados tras el pago, aunque no hay forma de verificar si se cumplió esa promesa. La compañía, que fue adquirida por Bain Capital por 5.600 millones de dólares en junio de 2024, no ha dado detalles adicionales sobre la negociación con los ciberdelincuentes ni ha identificado públicamente a los autores del ataque.

El riesgo de digitalizar la educación

Este caso vuelve a poner sobre la mesa la vulnerabilidad de las infraestructuras educativas frente a los ciberataques. PowerSchool gestiona plataformas de administración escolar, evaluaciones académicas, informes y datos de rendimiento en miles de centros educativos. Su alcance global y su acceso a información crítica convierten a este tipo de empresas en objetivos prioritarios para los hackers.

El incidente pone en entredicho la seguridad de los sistemas tecnológicos que sostienen el funcionamiento diario de muchos distritos escolares. En un momento en el que la digitalización educativa ha avanzado de forma acelerada, la exposición de millones de datos personales supone un riesgo con consecuencias a largo plazo, no solo para las instituciones afectadas, sino especialmente para los menores cuyos datos han sido comprometidos.

Una respuesta que genera dudas

La decisión de PowerSchool de pagar el rescate ha generado controversia. Si bien se argumenta que el objetivo era proteger a los estudiantes y evitar que los datos circulen en redes delictivas, expertos en ciberseguridad advierten de que este tipo de pagos pueden alentar nuevos ataques al demostrar que el chantaje puede dar resultados.

Además, la falta de transparencia sobre el contenido exacto de los datos comprometidos y la ubicación de los distritos escolares afectados impide que las comunidades educativas afectadas puedan tomar medidas preventivas más efectivas.

Por ahora, se desconoce si el Gobierno de Estados Unidos tomará acciones específicas frente a este caso, aunque la ciberseguridad en el sector educativo ha sido motivo de creciente preocupación en los últimos años.