Joven de 19 años admite extorsión por violación de datos en PowerSchool

Un estudiante universitario de 19 años enfrenta cargos tras declararse culpable de extorsión cibernética dirigida a PowerSchool, exponiendo los datos de más de 60 millones de estudiantes y 10 millones de profesores. Conozca las repercusiones de esta filtración, considerada la más grande en la historia de las escuelas estadounidenses.

Un estudiante universitario de 19 años, Matthew D. Lane de Sterling, Massachusetts, aceptó declararse culpable en un caso de extorsión cibernética que involucra a dos empresas estadounidenses, incluida PowerSchool , un importante proveedor de software educativo.

El Departamento de Justicia de Estados Unidos ( DOJ ) anunció el 20 de mayo que Lane, un estudiante de la Universidad de Assumption, está acusado de piratear redes informáticas y exigir pagos de rescate.

Según la acusación (PDF), enfrenta varios cargos, entre ellos conspiración para extorsión cibernética, acceso no autorizado a computadoras y robo de identidad agravado.

Si bien la declaración oficial del Departamento de Justicia no nombra al proveedor de software educativo, se entiende que es PowerSchool, una plataforma ampliamente utilizada en escuelas de Estados Unidos y Canadá, adquirida por Bain Capital en octubre de 2024.

PowerSchool reportó por primera vez un acceso no autorizado a su portal de atención al cliente PowerSource el 28 de diciembre de 2024. Esta filtración expuso datos de más de 60 millones de estudiantes y 10 millones de docentes de 6505 distritos escolares de todo el mundo. Afectó a las juntas escolares de varias provincias canadienses, como Ontario, Saskatchewan, Alberta, Terranova y Labrador, etc.

La información robada era extensa, e incluía nombres completos, direcciones, números de teléfono, contraseñas, datos de los padres, números de la Seguridad Social, datos médicos e incluso calificaciones. Inicialmente, PowerSchool no confirmó el pago de un rescate.

Sin embargo, como informó recientemente Hackread.com, la compañía admitió el pago en mayo después de que los atacantes comenzaran a contactar directamente a los distritos escolares exigiendo más dinero. PowerSchool declaró: «Lamentamos sinceramente estos acontecimientos; nos duele que nuestros clientes estén siendo amenazados y revictimizados por actores maliciosos».

Vale la pena señalar que antes de atacar a PowerSchool, Lane y sus presuntos cómplices intentaron extorsionar a una empresa de telecomunicaciones estadounidense en 2022. Robaron datos de clientes y exigieron 200.000 dólares para evitar su divulgación pública, pero este intento no tuvo éxito.

Tras esto, el grupo centró su atención en PowerSchool. El 28 de diciembre de 2024, PowerSchool recibió una demanda de rescate en Bitcoin por aproximadamente 2,85 millones de dólares, con amenazas de publicar los datos robados si no se realizaba el pago.

A pesar de que PowerSchool pagó un rescate (la cantidad exacta aún no se ha confirmado), los distritos escolares afectados recibieron nuevas exigencias, lo que llevó a PowerSchool a revelar públicamente su pago. Estas amenazas continuas hicieron que los hackers atacaran directamente a las escuelas y al profesorado para obtener más pagos, según informó Hackread en aquel momento.

Lane se declaró culpable de un cargo de conspiración para cometer ciberextorsión, otro de ciberextorsión, acceso no autorizado a computadoras protegidas y robo de identidad agravado. De ser declarado culpable, se enfrenta a importantes sanciones, incluyendo posibles penas de prisión de dos a cinco años, multas de hasta 250.000 dólares y libertad supervisada.

Kimberly Milka, agente especial interina a cargo de la División de Boston del FBI , enfatizó el compromiso del FBI de responsabilizar a los cibercriminales, y declaró: "Aparentemente, Matthew Lane pensó que había encontrado una forma de enriquecerse rápidamente, pero este joven de 19 años ahora está acusado de esconderse detrás de su teclado para obtener acceso no autorizado".

Aún no se ha programado una audiencia para declararse culpable en nombre de Lane, y se le considera inocente hasta que se demuestre su culpabilidad.