Por qué los piratas informáticos atacan a jóvenes estudiantes de escuelas públicas – MundoDaily

“Al principio no pensé mucho en ello”, dice Gravatt.

Los funcionarios de las Escuelas Públicas de Minneapolis lo llamaron un “incidente de sistemas”, luego “dificultades técnicas” y finalmente “un evento de cifrado”.

Gravatt tiene dos hijos que ya se graduaron de las escuelas de Minneapolis y uno que actualmente está en la escuela secundaria. Ella dice que sólo cuando miró las redes sociales se dio cuenta del verdadero alcance del ataque y de lo que podría significar para sus hijos.

Las Escuelas Públicas de Minneapolis se vieron afectadas por lo que los expertos describen como uno de los ciberataques más devastadores de todos los tiempos. Los piratas informáticos robaron datos del distrito, incluidos archivos en los que se podía identificar a los niños, y luego exigieron que el distrito pagara un rescate por ellos. Cuando las autoridades del distrito se negaron, los piratas informáticos publicaron los datos en línea. Incluía números de Seguro Social, detalles de seguridad escolar e información sobre agresiones sexuales y arrestos psiquiátricos.

Las Escuelas Públicas de Minneapolis no pusieron a ningún empleado disponible para entrevistas. En una declaración escrita, el distrito dijo que envió una notificación por escrito del ataque a más de 105.000 personas que pudieron haber sido afectadas por él.

«Esta brecha fue realmente enorme», dice Gravatt. «Y no se trataba sólo de registros escolares. Fueron registros médicos, todo tipo de cosas que se suponía que eran información privilegiada y que ahora están disponibles, flotando para que cualquiera pueda comprarlas».

Es un ejemplo de una tendencia creciente en todo el país en la que los piratas informáticos se dirigen a un grupo sorprendente de personas: los jóvenes estudiantes de escuelas públicas.

A medida que los distritos escolares dependen más de la tecnología, los ciberataques contra estos sistemas y los datos confidenciales que almacenan van en aumento. Si bien es difícil saber exactamente cuántos sistemas escolares K-12 han sido atacados por piratas informáticos, un análisis realizado por la firma de ciberseguridad Emsisoft encontró que 45 distritos informaron haber sido atacados en 2022. En 2023 ese número se duplicó con creces, a 108.

Las consecuencias de estas violaciones de datos pueden acompañar a los estudiantes hasta la edad adulta.

Los datos del sistema escolar, que pueden incluir información disciplinaria, registros de educación especial, registros médicos y más, pueden ser tomados como rehenes, y los piratas informáticos amenazan con revelar información confidencial si los distritos no pagan un rescate, como lo hicieron en Minneapolis. Los datos también se pueden utilizar para robar la identidad de un niño.

“Resulta que la información de identidad de los niños es en realidad más valiosa para ellos que la de los adultos”, dice Doug Levin, director de K12 Security Information eXchange, una organización sin fines de lucro que ayuda a proteger los distritos escolares de los riesgos de ciberseguridad.

Dice que robar la identidad de un niño puede parecer contradictorio porque no tiene recursos propios, pero puede causar «mucho daño». Los padres no necesariamente controlan el crédito de sus hijos, y los malos actores pueden fácilmente abrir cuentas bancarias, endeudarse y solicitar préstamos a nombre de un niño.

«Y como resultado, los ciberdelincuentes pueden abusar de los registros crediticios de los menores durante muchos, muchos años antes de que las víctimas se den cuenta», dice Levin.

Las escuelas almacenan muchos datos

Existe la idea errónea de que los únicos datos confidenciales que tienen las escuelas son “las puntuaciones de álgebra de Johnny y Susie”, dice Levin.

De hecho, es mucho más. Los distritos tienen datos sobre todo, desde alergias y suspensiones de niños hasta ingresos familiares y órdenes judiciales.

“Los educadores en los sistemas escolares pueden ser un poco como ratas de carga”, explica Levin. «Y hay mucha información que se recopila con el tiempo y que a menudo no se elimina cuando ya no es necesaria».

Gravatt califica el ataque de Minneapolis como “una violación extrema de la privacidad” y dice que se sintió violada, tanto por sus hijos como por ella misma. Como exalumna de las Escuelas Públicas de Minneapolis, también tenía datos en el sistema.

Los defensores también señalan que los estudiantes negros y morenos son especialmente vulnerables cuando se piratea un sistema escolar. Por ejemplo, según un informe del Departamento de Derechos Humanos de Minnesota, los estudiantes negros en el estado tienen ocho veces más probabilidades que un estudiante blanco de ser suspendidos o expulsados.

«Esto también significa que se introduce más información en el sistema», afirma Marika Pfefferkorn. Cofundó la Twin Cities Innovation Alliance para educar y capacitar a los padres sobre cómo se pueden utilizar indebidamente los datos recopilados sobre sus hijos.

Pfefferkorn dice que cuanta más información se recopila sobre un estudiante (ya sea sobre alojamiento, custodia o almuerzo gratis), más vulnerable es después de una violación de datos.

Las consecuencias a largo plazo pueden ser devastadoras para los estudiantes.

Los registros estudiantiles robados también pueden volver a perseguir a los niños hasta bien entrada la edad adulta.

Digamos que un estudiante tiene un historial de uso de drogas que fue superado exitosamente; o tener antecedentes disciplinarios que deberían haber sido eliminados pero que ahora están disponibles públicamente. Esta información puede resurgir en solicitudes universitarias, entrevistas de trabajo o audiencias judiciales.

“Incluso tener información sobre suspensiones podría significar que un joven podría recibir una sentencia más dura”, afirma Pfefferkorn.

Después de la violación en Minneapolis, Pfefferkorn dice que algunos estudiantes cuyos antecedentes de agresión sexual se hicieron públicos fueron engañados e intimidados por sus compañeros.

Levin, el experto en ciberseguridad, dice que cierta información podría ser devastadora si se hiciera pública.

“Dado lo polarizado que está el público hoy en día en temas como la identidad de género, tal vez incluso el embarazo o el estatus migratorio, si alguna de esa información se hiciera pública para individuos específicos en momentos específicos, podría ser absolutamente fatal”.

Recuperarse de un ataque puede ser abrumador para las familias

Las Escuelas Públicas de Minneapolis dicen que han brindado a las personas afectadas servicios gratuitos de monitoreo de crédito durante un año, así como orientación sobre cómo protegerse contra el robo de identidad y el fraude.

Esa guía incluía una larga lista de pasos que las familias deberían tomar, como colocar “una alerta de fraude y un congelamiento de seguridad en el archivo de crédito”, comunicarse con agencias nacionales de informes del consumidor y, si sospechan de un intento de robo de identidad, comunicarse con la Comisión Federal de Comercio, su fiscal general del estado y autoridades locales.

“Fue realmente abrumador”, dice Rachael Flanery, una madre de Minneapolis. Ella piensa que no es realista creer que los padres tienen el tiempo o la capacidad para hacer todo lo que sugiere el distrito escolar.

Al final, Flanery, que tiene dos hijos pequeños en el sistema escolar, dice que no hizo nada.

“Traté de ser un avestruz al respecto, ¿verdad? Puse mi cabeza nuevamente en la arena y pensé, bueno, si alguien llama a mi puerta y (alguien) me dice que mi hijo de 7 años acaba de comprar un bote, ¡le mostraré dónde está! Y espero que no sea difícil revertir los cargos.

Desde entonces, su familia se mudó a otro distrito escolar, pero Flanery dice que toda la experiencia fue aterradora. Como madre, siempre se ha preocupado por la seguridad física de sus hijos. Ahora, la seguridad cibernética es otra cosa que le preocupa.

La madre Celeste Gravatt también está preocupada. Bloqueó el crédito de sus hijos para que nadie pudiera abrir cuentas a su nombre. Le preocupa especialmente que la información de salud de su hijo se haga pública. Todavía se siente ansiosa cuando piensa en ello.

“No soy lo que yo llamaría una persona experta en tecnología. Entonces me pregunto, si alguien obtuviera información que no debería tener, ¿lo sabría hasta que fuera demasiado tarde? »