Ransomware

Ransomware PowerSchool: 62.4M Estudiantes Afectados Dic 2024

Avatar Por Mid No hay comentarios
Ransomware PowerSchool diciembre 2024 comprometió datos de 62.4 millones de estudiantes en 6505 escuelas

El ransomware PowerSchool diciembre 2024 representa uno de los ataques más graves contra el sector educativo global. El 28 de diciembre de 2024, PowerSchool, proveedor líder de software de gestión educativa, descubrió un acceso no autorizado que comprometió información sensible de 62.4 millones de estudiantes y 9.5 millones de profesores en 6,505 distritos escolares de Estados Unidos, Canadá y otros países. Los ciberdelincuentes accedieron al sistema entre el 19 y 28 de diciembre, robando datos personales, números de seguridad social, notas médicas y credenciales. PowerSchool pagó un rescate creyendo que los datos serían destruidos, pero los atacantes ahora están extorsionando directamente a escuelas individuales.

¿Qué es el Ransomware PowerSchool Diciembre 2024?

El ransomware PowerSchool diciembre 2024 fue un ataque dirigido contra el Student Information System (SIS) de PowerSchool, plataforma utilizada por más de 18,000 organizaciones educativas en 90 países. Los atacantes comprometieron el portal de soporte comunitario PowerSource utilizando credenciales robadas, manteniendo acceso desde el 19 de diciembre de 2024 a las 19:43:14 UTC hasta el 28 de diciembre de 2024 a las 06:31:18 UTC.

Una vez dentro del sistema, los ciberdelincuentes utilizaron la herramienta de exportación de datos del soporte técnico para extraer información masiva de las bases de datos de estudiantes y profesores. El ataque no solo afectó a Estados Unidos y Canadá, sino que su alcance global impactó instituciones educativas en múltiples continentes.

Según Bleeping Computer, PowerSchool confirmó haber pagado un rescate en los días posteriores al descubrimiento del incidente, con la esperanza de que los datos robados fueran destruidos. Sin embargo, esta decisión resultó inefectiva.

Datos Comprometidos en el Ransomware PowerSchool

El ransomware PowerSchool diciembre 2024 expuso una cantidad masiva de información sensible perteneciente a la comunidad educativa:

  • Nombres completos de estudiantes y personal docente
  • Información de contacto (direcciones, teléfonos, correos electrónicos)
  • Números de seguridad social (cantidad limitada pero crítica)
  • Notas médicas y registros de salud estudiantil
  • Contraseñas (número limitado de credenciales)
  • Datos demográficos y académicos

Los 62.4 millones de estudiantes y 9.5 millones de profesores afectados representan una de las mayores brechas de datos en el sector educativo. La exposición de números de seguridad social y notas médicas aumenta significativamente el riesgo de robo de identidad y fraudes financieros contra menores de edad.

Como detalla TechTarget, el vector de ataque inicial fue el portal PowerSource, que los ciberdelincuentes comprometieron utilizando credenciales previamente robadas.

Cronología del Ataque Ransomware PowerSchool Diciembre

La cronología del ransomware PowerSchool diciembre 2024 revela una campaña sofisticada con precedentes meses antes:

  • Agosto-Septiembre 2024: CrowdStrike descubrió posteriormente que los atacantes habían comprometido PowerSource meses antes usando las mismas credenciales robadas.
  • 19 de diciembre 2024, 19:43:14 UTC: Inicio del acceso no autorizado documentado en el incidente principal.
  • 19-28 de diciembre 2024: Los atacantes mantienen acceso persistente y exfiltran datos masivamente.
  • 28 de diciembre 2024, 06:31:18 UTC: Último acceso documentado de los ciberdelincuentes.
  • 28 de diciembre 2024: PowerSchool detecta el acceso no autorizado y lanza investigación.
  • Finales de diciembre 2024: PowerSchool paga rescate a los atacantes.
  • Mayo 2025: Escuelas reportan intentos de extorsión directa usando datos del ataque.

Esta cronología demuestra que el ransomware PowerSchool diciembre 2024 fue resultado de una campaña prolongada con reconocimiento previo del objetivo. Los atacantes estudiaron el sistema durante meses antes del ataque masivo.

Según reportes de SecurityWeek, la investigación reveló que las mismas credenciales comprometidas fueron utilizadas en accesos previos no detectados durante agosto y septiembre de 2024.

Extorsión Continua tras el Ransomware PowerSchool

A pesar de que PowerSchool pagó el rescate, el ransomware PowerSchool diciembre 2024 continúa causando daños. En mayo de 2025, múltiples distritos escolares reportaron intentos de extorsión directa por parte de actores de amenazas utilizando los datos robados en diciembre.

PowerSchool había asegurado a sus clientes que los datos comprometidos no habían sido compartidos y habían sido destruidos tras el pago del rescate. Sin embargo, el Departamento de Instrucción Pública de Carolina del Norte declaró públicamente: «Desafortunadamente, eso ha resultado ser incorrecto.»

Los intentos de extorsión directa a escuelas individuales demuestran que:

  • Los datos robados no fueron destruidos como prometieron los atacantes
  • La información está siendo comercializada o utilizada para múltiples extorsiones
  • El pago del rescate inicial no mitigó el impacto del ataque
  • Nuevos actores de amenazas pueden haber accedido a los datos filtrados

Este patrón de doble extorsión y revictimización es común en ataques de ransomware modernos, donde los ciberdelincuentes no cumplen sus promesas incluso tras recibir pagos.

Otros Ataques de Ransomware en Diciembre 2024

El ransomware PowerSchool diciembre 2024 no fue un caso aislado. Diciembre de 2024 vio múltiples ataques significativos contra organizaciones globales:

RansomHub vs MetLife (31 de diciembre 2024)

El grupo RansomHub publicó a la aseguradora global MetLife en su blog de filtraciones en Nochevieja, alegando el robo de 1TB de datos de la división latinoamericana de la compañía. Los datos presuntamente incluían:

  • Registros de reuniones de diciembre sobre problemas de internet
  • Documentos de la Junta Ejecutiva de julio 2024
  • Información de sistemas de Brasil, Colombia y Chile
  • Documentos en español como prueba de la brecha

MetLife negó el incidente, afirmando que sus sistemas centrales no fueron comprometidos. La compañía reconoció un incidente separado en Fondo Genesis, subsidiaria que opera exclusivamente en Ecuador.

Clop vs Allianz UK (CVE-2025-61882)

Allianz UK confirmó ser víctima del grupo de ransomware Clop, que explotó la vulnerabilidad crítica CVE-2025-61882 (CVSS 9.8) en Oracle E-Business Suite. El ataque afectó:

  • 80 clientes actuales de Allianz UK
  • 670 clientes anteriores
  • Sistemas de seguros personales (hogar, auto, mascotas, viajes)

Según The Register, los ataques explotando CVE-2025-61882 comenzaron tan temprano como julio de 2025, tres meses antes de que se hicieran públicas las detecciones. Oracle lanzó un parche de emergencia para esta vulnerabilidad zero-day que permite ejecución remota de código sin autenticación.

Este patrón es consistente con el historial de Clop de explotar vulnerabilidades zero-day en aplicaciones empresariales, incluyendo MOVEit Transfer, GoAnywhere MFT y SolarWinds Serv-U.

Recomendaciones de Seguridad ante Ransomware PowerSchool

Las organizaciones educativas deben implementar medidas de seguridad robustas para prevenir incidentes similares al ransomware PowerSchool diciembre 2024:

Medidas Preventivas Inmediatas

  • Autenticación multifactor (MFA): Implementar MFA en todos los sistemas administrativos y portales de soporte
  • Monitoreo de credenciales: Utilizar servicios de detección de credenciales comprometidas
  • Segmentación de redes: Aislar sistemas críticos de gestión estudiantil
  • Gestión de privilegios: Limitar accesos a herramientas de exportación masiva de datos
  • Auditorías de acceso: Revisar logs de acceso inusual a portales de soporte

Respuesta ante Incidentes

  • NO pagar rescates: El caso PowerSchool demuestra que los pagos no garantizan destrucción de datos
  • Notificación inmediata: Informar a autoridades (FBI, CISA) y familias afectadas
  • Preservación de evidencias: Documentar cronología de eventos para investigaciones
  • Monitoreo de identidad: Ofrecer servicios de protección contra robo de identidad a afectados

Recomendaciones para Familias Afectadas

Las familias cuyos hijos estudian en instituciones afectadas por el ransomware PowerSchool diciembre 2024 deben:

  • Monitorear reportes de crédito de menores regularmente
  • Establecer alertas de fraude en bureaus de crédito
  • Educar a estudiantes sobre intentos de phishing que utilicen información personal robada
  • Considerar congelar crédito de menores si números de seguridad social fueron expuestos
  • Reportar actividad sospechosa inmediatamente a las autoridades escolares

Preguntas Frecuentes sobre Ransomware PowerSchool Diciembre 2024

¿Cuántas personas fueron afectadas por el ransomware PowerSchool diciembre 2024?

El ataque comprometió información de 62.4 millones de estudiantes y 9.5 millones de profesores en 6,505 distritos escolares de Estados Unidos, Canadá y otros países.

¿Qué tipo de datos fueron robados en el ransomware PowerSchool?

Los atacantes robaron nombres, información de contacto, números de seguridad social (cantidad limitada), notas médicas, contraseñas (limitadas) y datos académicos de estudiantes y personal educativo.

¿PowerSchool pagó el rescate a los atacantes?

Sí, PowerSchool confirmó haber pagado un rescate en los días posteriores al descubrimiento del ataque el 28 de diciembre de 2024, creyendo que los datos serían destruidos. Sin embargo, los atacantes continúan extorsionando a escuelas individuales con los datos robados.

¿Cómo accedieron los atacantes al sistema PowerSchool?

Los ciberdelincuentes comprometieron el portal de soporte comunitario PowerSource utilizando credenciales robadas, manteniendo acceso desde el 19 hasta el 28 de diciembre de 2024. Posteriormente se descubrió que habían accedido previamente en agosto y septiembre de 2024.

¿Qué deben hacer las familias afectadas por el ransomware PowerSchool?

Las familias deben monitorear reportes de crédito, establecer alertas de fraude, educar a estudiantes sobre phishing, considerar congelar crédito de menores si SSN fueron expuestos, y reportar actividad sospechosa a autoridades escolares.

Conclusión sobre el Ransomware PowerSchool Diciembre 2024

El ransomware PowerSchool diciembre 2024 representa una de las brechas de datos más significativas en el sector educativo global, comprometiendo información sensible de 62.4 millones de estudiantes y 9.5 millones de profesores. El ataque demuestra la vulnerabilidad crítica de sistemas de gestión educativa y la ineficacia de pagar rescates, ya que los atacantes continúan extorsionando a instituciones individuales meses después.

La combinación con otros incidentes de ransomware en diciembre 2024, incluyendo los ataques de RansomHub contra MetLife y Clop contra Allianz UK explotando CVE-2025-61882, subraya la urgencia de implementar controles de seguridad robustos. Las organizaciones educativas deben priorizar autenticación multifactor, segmentación de redes, monitoreo continuo y planes de respuesta ante incidentes efectivos.

Las familias afectadas deben permanecer vigilantes ante intentos de robo de identidad y fraude, especialmente cuando se han comprometido números de seguridad social de menores. El monitoreo proactivo de crédito y la educación sobre phishing son esenciales para mitigar riesgos a largo plazo derivados del ransomware PowerSchool diciembre 2024.

Avatar

Por Mid

Entradas relacionadas

Ransomware

Ransomware OnSolve CodeRED: 100 Municipios sin Alertas Nov 2025

Mid
Ransomware

Ransomware Clop Logitech: 1.8 TB Robados Nov 2025

Mid
0 0 votes
Article Rating
Subscribe
Notify of
guest
0 Comments
Oldest
Newest Most Voted
Inline Feedbacks
View all comments

Te has perdido

Terraform

Terraform Helm Provider: Despliega Apps en Kubernetes 2026

Kubernetes

Nacos Kubernetes: 7 Pasos para Service Discovery 2026

Vulnerabilidades

VMware ESXi Zero-Day: 3 Vulnerabilidades Explotadas 2026

Docker Compose

Plane Docker Compose: Alternativa a Jira Open-Source 2026

0
Would love your thoughts, please comment.x
()
x