PowerSchool, un proveedor de software basado en la nube para escuelas K-12, ha publicado una investigación detallada realizada por CrowdStrike sobre la masiva brecha de datos que ocurrió en diciembre de 2024.
El informe reveló que la compañía fue hackeada varios meses antes, específicamente en agosto y septiembre de 2024.
PowerSchool proporciona soluciones para la inscripción, comunicación, asistencia, gestión del personal, aprendizaje, análisis y finanzas a más de 60 millones de estudiantes y 18,000 clientes a nivel mundial.
Detalles de la Brecha de Datos en Diciembre de 2024
En diciembre de 2024, PowerSchool reveló que los atacantes lograron acceder de manera no autorizada a su portal de soporte al cliente, llamado PowerSource.
Este portal contenía una herramienta de mantenimiento remoto que permitió a los atacantes conectarse a las bases de datos de los clientes y robar información sensible, como nombres completos, direcciones físicas, datos de contacto, números de seguro social (SSN), información médica y calificaciones.
Aunque PowerSchool no ha revelado oficialmente la cantidad exacta de personas afectadas, BleepingComputer informó previamente que los atacantes reclamaron haber robado los datos de 72 millones de personas, incluyendo estudiantes y maestros.
Breach Anterior Detectado y Confirmado
En una actualización publicada la semana pasada, PowerSchool compartió el informe de incidentes de CrowdStrike fechado el 28 de febrero de 2025.
Este informe confirma que los atacantes usaron credenciales comprometidas para acceder a PowerSource y mantuvieron su acceso entre el 19 de diciembre de 2024 y el 28 de diciembre de 2024.
El informe de CrowdStrike también confirma que los atacantes exfiltraron datos de estudiantes y maestros, pero no se encontraron evidencias de que otros datos de bases de datos fueron robados.
Además, no hay evidencia de que se haya instalado malware en los sistemas de PowerSchool o que los atacantes hayan escalado sus privilegios o se hayan movido lateralmente hacia otros sistemas.
Brechas de Agosto y Septiembre 2024 ️♂️
CrowdStrike también descubrió que los atacantes ya habían comprometido PowerSource en agosto y septiembre de 2024, utilizando las mismas credenciales comprometidas.
Aunque el informe aclara que no hay suficientes datos para confirmar si fue el mismo actor el responsable de todos los incidentes.
“El 16 de agosto de 2024 a las 01:27:29 UTC, los registros de PowerSource muestran que un actor desconocido accedió correctamente al portal de PowerSchool PowerSource usando las credenciales comprometidas”, explicó CrowdStrike.
El informe también señala que CrowdStrike no encontró suficiente evidencia para atribuir esta actividad al mismo actor responsable de los eventos de diciembre de 2024.
Además, no se tiene acceso a los registros completos del Sistema de Información Estudiantil (SIS) para determinar si la actividad de agosto y septiembre incluyó el acceso no autorizado a los datos de los estudiantes de PowerSchool.
Preocupaciones sobre la Transparencia y el Alcance del Ataque
Hasta el momento, PowerSchool no ha compartido oficialmente el número total de escuelas, estudiantes o maestros afectados, lo que genera preocupaciones sobre la transparencia del incidente.
Sin embargo, según fuentes cercanas, BleepingComputer reveló que la brecha de datos afectó a 6,505 distritos escolares en EE. UU., Canadá y otros países, con 62,488,628 estudiantes y 9,506,624 maestros cuyas informaciones fueron robadas.
PowerSchool aún no ha respondido a las solicitudes de más detalles sobre los hallazgos más recientes, y se espera que se proporcionen más actualizaciones a medida que avance la investigación.