Ciberextorsionadores hackean archivos escolares para amenazar con publicarlos en línea

Son documentos confidenciales que bandas de hackers robaron de escuelas en Estados Unidos y que han publicado en internet: son crudos, íntimos y explícitos. Describen agresiones sexuales, hospitalizaciones psiquiátricas, padres maltratadores, ausentismo escolar e incluso intentos de suicidio.

“Hagan algo por favor”, rogaba una víctima según uno de los documentos filtrados, al recordar el trauma de toparse continuamente con un exabusador en una escuela en Minneapolis. Otras víctimas hablaban de mojar la cama o llorar hasta quedarse dormidas.

Los archivos completos de casos de agresión sexual que contenían estos detalles se encontraban entre más de 300.000 que fueron publicados en línea en marzo después de que el Sistema de Escuelas Públicas de Minneapolis, de 36.000 estudiantes, se negó a pagar una extorsión de un millón de dólares. Otros datos expuestos incluyeron registros médicos y denuncias de discriminación.

Las escuelas de Estados Unidos, ricas en datos digitalizados, son uno de los principales objetivos de ciberpiratas que localizan y recopilan archivos confidenciales con asiduidad.

Los distritos escolares, a menudo escasos de dinero, están muy mal equipados no sólo para defenderse, sino también para responder con diligencia y transparencia cuando son atacados, especialmente cuando luchan por ayudar a sus estudiantes a ponerse al día académicamente luego del golpe de la pandemia y lidian con presupuestos cada vez más reducidos.

Meses después del ataque de Minneapolis, los administradores escolares no han cumplido su promesa de informar a las víctimas una por una. A diferencia de los hospitales, no existe una ley federal que obligue a las escuelas a notificarlas.

The Associated Press se comunicó con las familias de seis estudiantes cuyos expedientes de agresión sexual fueron expuestos. Los mensajes de un reportero fueron la primera vez que alguien los alertó de su publicación.

“La verdad es que no nos avisaron nada”, lamentó la madre de un estudiante cuyo expediente tiene 80 documentos.

Los ciberdelincuentes están atacando escuelas mediante lo que se conoce como “ransomware”, programas informáticos maliciosos que bloquean una computadora, codificando los datos que contiene, para exigir el pago de un rescate a cambio de devolver los datos. Una vez pagado, los hackers proporcionan claves de descifrado del software.

Incluso cuando las escuelas detectan un ataque de “ransomware” en curso, los datos generalmente ya no están. Eso fue lo que le pasó al Distrito Escolar Unificado de Los Ángeles el pasado fin de semana del Día del Trabajo, que en Estados Unidos se celebra el primer lunes de septiembre.

El distrito escolar vio posteriormente cómo se filtraron en línea los documentos privados de más de 1.900 exalumnos, incluidas evaluaciones psicológicas y registros médicos. No fue sino hasta febrero que los funcionarios del distrito revelaron las dimensiones completas de la incursión informática.

Estos ataques de “ransomware” escolar pueden tener efectos graves —más allá del cierre de escuelas, los costos de recuperación o incluso las primas altísimas de seguros cibernéticos— como el trauma causado a los estudiantes y sus padres por la exposición en línea de registros privados, que la AP encontró tanto abiertamente en internet como en la web oscura o “dark web”.

“Se está publicando una gran cantidad de información en línea, y nadie está mirando para ver qué tan grave es. O, si alguien los está mirando, no está haciendo públicos los resultados”, advierte Brett Callow analista de la firma de ciberseguridad Emsisoft.

Otros grandes distritos escolares afectados recientemente por el robo de datos incluyen los de San Diego, Des Moines y Tucson, Arizona. Si bien la gravedad de esos ataques sigue sin estar clara, todos han sido criticados por ser lentos en admitir que fueron atacados con “ransomware”, demorarse en notificar a las víctimas, o ambas cosas.

LAS ESCUELAS SE HAN QUEDADO REZAGADAS EN CUANTO A CIBERSEGURIDAD

Mientras que otros objetivos del “ransomware” han respondido a la amenaza, fortificando y segmentando sus redes informáticas, cifrando sus datos y exigiendo a sus usuarios que empleen autenticación multifactor, los sistemas escolares han tardado más en reaccionar.

Es probable que el “ransomware” haya afectado a más de 5 millones de estudiantes de Estados Unidos hasta ahora, y los ataques a los distritos van camino de aumentar este año, recalca Allan Liska, analista de la firma de ciberseguridad Recorded Future. Casi uno de cada tres distritos de Estados Unidos había sido atacado a fines de 2021, según una encuesta realizada por Center for Internet Security (Centro para la Seguridad de Internet, una organización sin fines de lucro financiada con fondos federales).

Hace apenas tres años, los ciberpiratas no obtenían datos de forma rutinaria en sus ataques de “ransomware”, señala TJ Sayers, gerente de inteligencia de ciberamenazas del Center for Internet Security. En cambio, ahora es común, dijo, y gran parte se vende en la web oscura.

Los hackers del robo de Minneapolis fueron especialmente agresivos. Compartieron enlaces a los datos robados en Facebook, Twitter, Telegram y la propia web oscura, una zona de internet a los que los navegadores estándar no pueden acceder.

Los padres de los estudiantes en el caso de Minneapolis contactados por la AP sobre las denuncias de agresión sexual filtradas en línea dicen sentirse victimizados doblemente. Sus hijos han luchado contra el trastorno por estrés postraumático (TEPT, por sus siglas en español) y algunos incluso abandonaron la escuela. Y ahora, esto.

“La familia está más que horrorizada al saber que esta información altamente confidencial está disponible ahora a perpetuidad en internet para que la descubran potencialmente los futuros amigos, personas con interés romántico, empleadores y otros”, lamenta Jeff Storms, abogado de una de las familias afectadas. La AP tiene una política de no identificar a las víctimas de abuso sexual.

La portavoz del Sistema de Escuelas Públicas de Minneapolis, Crystina Lugo-Beach, no informó cuántas personas han sido contactadas hasta ahora ni respondió otras preguntas de la AP sobre el ciberataque.

A pesar de la frustración de padres y maestros, los equipos de respuesta a incidentes —preocupados por los problemas de responsabilidad legal y las negociaciones del pago de un rescate—, aconsejan de manera rutinaria a las escuelas que no sean más transparentes, comenta Callow, de Emsisoft.

Los funcionarios escolares de Minneapolis aparentemente siguieron esa receta, inicialmente describiendo el ataque del 17 de febrero de manera críptica como un “incidente de sistema”, luego como “dificultades técnicas” y después como un “evento de cifrado”.

Sin embargo, el alcance de la brecha quedó claro cuando un grupo de “ransomware” publicó un video de los datos robados, al darle al distrito 10 días para pagar el rescate antes de filtrar los demás archivos.

El distrito se negó a pagar, siguiendo el consejo permanente del FBI, que dice que los rescates alientan a los delincuentes a buscar más víctimas.

LOS PRESUPUESTOS DE LAS ESCUELAS SON PARA APRENDIZAJE, NO PARA SEGURIDAD

Durante la pandemia de COVID-19, los distritos escolares priorizaron sus presupuestos en conectividad a internet y aprendizaje remoto. Los departamentos de tecnología invirtieron en software para rastrear la participación y el rendimiento de los estudiantes, a menudo a expensas de la privacidad y la seguridad, según descubrieron investigadores de la Universidad de Chicago y la Universidad de Nueva York.

El dinero de las escuelas públicas para ciberseguridad es limitado. Tal como están las cosas, los distritos sólo pueden esperar una parte de los mil millones de dólares en subvenciones de seguridad cibernética que el gobierno federal está distribuyendo durante cuatro años.

El director de seguridad de la información de Minnesota, John Israel, dijo que su estado recibió 18 millones de dólares este año para repartirlos entre 3.600 entidades diferentes. Los legisladores estatales proporcionaron 22,5 millones de dólares adicionales en subvenciones para seguridad cibernética y física en las escuelas.

Ya es demasiado tarde para la madre de una de las estudiantes de Minneapolis cuya denuncia confidencial por agresión sexual se hizo pública en línea. Ella dijo que casi se sintió “violada de nuevo”.

“Todo lo que mantuvimos en privado”, agregó, “está ahí. Y ha estado ahí desde hace mucho tiempo”.