Declaran culpable a un joven de 19 años por la mayor filtración de datos académicos de EEUU

Un estudiante universitario de Massachusetts, identificado como Matthew Lane, de 19 años, aceptó declararse culpable de su participación en un ciberataque que resultó en la mayor filtración de datos académicos en la historia de Estados Unidos, según informaron EFE y Reuters.

Lane admitió haber hackeado el sistema de la empresa de software educativo PowerSchool, accediendo a información personal de más de 60 millones de estudiantes.

También accedió a la información de 10 millones de profesores, datos que posteriormente fueron utilizados para extorsionar tanto a la compañía como a distritos escolares.

De acuerdo con los documentos judiciales, Lane utilizó credenciales robadas de un empleado de PowerSchool para acceder a la red de la empresa en septiembre. Posteriormente, en diciembre, transfirió los datos obtenidos a un servidor en la nube ubicado en Ucrania.

Poco después, PowerSchool recibió una demanda de rescate por 2.85 millones de dólares en bitcoin, bajo la amenaza de que los datos confidenciales serían publicados si no se cumplía con el pago. Entre la información comprometida se encontraban nombres, direcciones, números de la Seguridad Social y expedientes médicos de los estudiantes.

Según los fiscales, PowerSchool, cuya sede se encuentra en Folsom, California, detectó la intrusión el 28 de diciembre de 2024 y decidió pagar el rescate con la esperanza de evitar la divulgación de los datos.

A cambio, los hackers proporcionaron un video que supuestamente mostraba la eliminación de la única copia de la información robada. Sin embargo, los ciberdelincuentes continuaron enviando correos electrónicos de extorsión a escuelas en Canadá y Carolina del Norte, lo que generó preocupación entre los padres y las instituciones afectadas.

Lane, quien estudia en la Universidad de Assumption en Worcester, Massachusetts, también admitió haber conspirado previamente con otros hackers para extorsionar a una compañía de telecomunicaciones no identificada.

En ese caso, exigieron un rescate de 200.000 dólares para evitar la publicación de datos robados de la red de la empresa. Este patrón de actividades delictivas llevó a las autoridades a presentar cargos por extorsión cibernética, robo de identidad agravado y acceso no autorizado a computadoras protegidas.

La fiscal federal Leah Foley destacó el impacto de las acciones de Lane, señalando que estas generaron temor entre los padres al poner en riesgo la privacidad de sus hijos. Según Foley, el joven utilizó métodos relativamente simples para perpetrar el ataque, como probar combinaciones de nombres de usuario y contraseñas robadas, lo que le permitió acceder a los sistemas de PowerSchool, una empresa que presta servicios a más de 18.000 escuelas en todo el país.

El acuerdo de culpabilidad alcanzado por Lane incluye una sentencia mínima de nueve años y cuatro meses de prisión, que no podrá ser impugnada por el acusado.

Además, se enfrenta a un mínimo de dos años adicionales por los cargos de robo de identidad agravado. Aunque los documentos judiciales no identificaron oficialmente a PowerSchool como la empresa afectada, una fuente familiarizada con el caso confirmó su implicación.

PowerSchool reveló públicamente la filtración en enero, semanas después de haber detectado el acceso no autorizado.

Además, la compañía informó que varios distritos escolares también recibieron demandas de rescate relacionadas con los mismos datos. Este incidente puso en escrutinio las vulnerabilidades en los sistemas de seguridad de las empresas tecnológicas que manejan información sensible, así como los riesgos asociados con el almacenamiento de datos en la nube.

El abogado de Lane no respondió a las solicitudes de comentarios, mientras que las investigaciones continúan para determinar si otros individuos estuvieron involucrados en los ataques. Este caso reveló la creciente amenaza de los delitos cibernéticos y la necesidad de reforzar las medidas de seguridad en las plataformas que gestionan datos personales y educativos.