Las escuelas todavía están abiertas.
Un nuevo ataque a Canvas lo demuestra. Instructure, la empresa que impulsa el sistema de gestión del aprendizaje utilizado por treinta millones de estudiantes, sufrió una vulneración a finales de la semana pasada. No las cuentas pagas. Los piratas informáticos se dirigieron al nivel “gratuito para profesores”. Esa elección específica importa. Muestra que los atacantes saben exactamente dónde son más débiles las defensas.
ShinyHunters afirma que robaron 275 millones de registros. De 9.000 instituciones a nivel mundial.
¿La respuesta? Típico. Instructure anunció un acuerdo. Dicen que volvieron a comprar los datos. Recibí “confirmación digital” y fue eliminado. Recibí promesas de que ninguna escuela sería extorsionada.
Silencio sobre lo que pagaron.
Sólo un seminario web programado para el miércoles.
Es la segunda infracción este año. Correos electrónicos, nombres de usuario, nombres de cursos. Las cosas que arruinan las identidades. Todo sucedió mientras los niños estaban tomando los exámenes finales. El caos es una buena cobertura para el robo. Canvas volvió a estar en línea el sábado. Pero al menos una docena de distritos escolares en seis estados todavía están limpiando el desastre. ShinyHunters incluso había fijado una fecha límite para que esos distritos negociaran por separado.
¿Por qué educación? Porque es fácil.
Los expertos llaman al sector “objetivo rico, pobre en recursos”. Tenemos terabytes de datos confidenciales. Tenemos presupuestos para refrigerios en la cafetería pero no para ingenieros de seguridad. Y como la pandemia obligó a todos los profesores a utilizar una computadora, dejamos las puertas abiertas. Ahora estamos enojados. Pero la ira no detiene el ransomware.
Se pone peor. La IA hace que los piratas informáticos sean más inteligentes. Realmente no nos hemos adaptado.
“El 82 por ciento de K-12 reportó un incidente en 2024. Más de 9,300 casos confirmados”.
Los números son aburridos hasta que piensas en el contenido de tu propia bandeja de entrada. O los registros de su hijo.
Hemos estado aquí antes. Sólo que con diferentes nombres.
- 2018: La UE aprobó el RGPD. Estados Unidos se encogió de hombros. Carecíamos de consenso nacional sobre quién es el propietario de los datos de los estudiantes.
- 2022: Illuminate Education recibió un golpe. Luego el Distrito Unificado de Los Ángeles. Los piratas informáticos arrojaron 500 gigabytes de archivos de estudiantes a la web oscura porque el LAUSD se negó a pagar. Llamaron a las escuelas “tarros de miel”. Tenían razón.
- 2025: El apoyo federal desapareció. Los recortes afectan a los equipos de defensa coordinados. Los distritos comenzaron a operar en la oscuridad. Sin orientación. Ninguna ayuda.
La periodista Ellen Ullman lo investigó. Sus hallazgos para EdSurge fueron sombríos. Las escuelas son débiles en lo básico. Las escuelas pequeñas son particularmente tentadoras. ¿Por qué luchar contra una fortaleza fortificada cuando puedes robar en un garaje abierto? La primera línea de defensa no es el software. Son humanos. Y los humanos se cansan. Hacen clic en los enlaces equivocados.
Por eso confiamos en las auditorías.
Certificaciones. Listas de verificación. Douglas Levin, que dirige K12 Security Exchange, lo llamó “teatro de cumplimiento”. No se equivocó. Los escudos de papel no detienen las balas. Simplemente te brindan una defensa legal cuando todo sale mal.
A las escuelas se les dice que “eduquen al personal”. “Buscar ayuda exterior”. Fácil de decir. Es difícil de hacer cuando el encargado de TI es también la persona que repara la impresora en el gimnasio.
La presión está aumentando. Los ataques son cada vez más inteligentes. Seguimos esperando que el vendedor nos salve.
No lo harán.
