Los datos personales de aproximadamente 820,000 estudiantes y exalumnos de escuelas públicas de la Ciudad de Nueva York se vieron comprometidos a principios de este año en el pirateo de un sistema de calificación y asistencia en línea ampliamente utilizado, dijeron el viernes funcionarios del Departamento de Educación de la ciudad.
Sería la mayor violación de datosde estudiantes K -12 en la nación.
Manténte al tanto de las noticias locales y del estado del tiempo. Suscríbete a nuestros newsletters gratuitos aquí.
El Departamento de Educación de la ciudad acusa a Illuminate Education, la compañía con sede en California detrás de las populares plataformas Skedula y PupilPath, de tergiversar sus medidas de seguridad cibernética al certificar que cifra todos los datos de los estudiantes cuando, de hecho, la empresa dejó algunos sin cifrar, reportó el Daily News.
Los piratas informáticos obtuvieron acceso a una base de datos con los nombres, cumpleaños, etnias, idiomas del hogar y números de identificación de estudiantes y exalumnos de escuelas públicas que se remontan al año escolar 2016-17, informó Illuminate al Departamento de Educación.
Illuminate no especificó qué categorías de información se vieron comprometidas para cada uno de los 820.000 estudiantes afectados.
Los piratas informáticos también extrajeron información sobre si los estudiantes reciben servicios de educación especial, horarios de clases y maestros, y si los niños reciben almuerzo gratis, según el Departamento de Educación.
Hay aproximadamente 930.000 estudiantes en el sistema de escuelas públicas de la ciudad.
Noticias
Los datos comprometidos se dividen en cuatro categorías: "información biográfica", que incluye nombres completos, cumpleaños, números de identificación de estudiantes, etnia e información sobre el idioma; “información de educación especial”, que revela si un estudiante recibe servicios por una discapacidad; “información confidencial”, que se relaciona con el estado económico de un estudiante; e “información académica”, que incluye las calificaciones de evaluación de los estudiantes y los nombres de sus maestros.
Illuminate no desglosó cuántos estudiantes se vieron afectados por cada categoría de violación de datos, aparte de revelar que los piratas informáticos accedieron a la información del estado económico de 15,000 estudiantes.
El portavoz del DOE, Nathaniel Styer, criticó a Illuminate por supuestamente manipular sus protocolos de seguridad cibernética, y prometió un seguimiento para las familias y las escuelas.
“Estamos indignados de que Illuminate nos haya representado a nosotros y a las escuelas que exigían legalmente salvaguardas críticas estándar de la industria cuando no las tenían”, dijo el vocero.
Styer dijo que el Departamento de Educación le pidió a la Policía de Nueva York, al FBI y al fiscal general de Nueva York que investiguen el ataque informático inicial, y solicitó que el Departamento de Educación del estado investigue el cumplimiento de Illuminate con las leyes de privacidad de datos de los estudiantes.
“Entendemos lo importante que es que las familias puedan confiar en que los datos de sus hijos están protegidos, y estamos explorando opciones para responsabilizar a Illuminate por violar esa confianza”, agregó Styer.
En las próximas semanas, el DOE dijo que trabajará con Illuminate para enviar a las familias de cada uno de los aproximadamente 820,000 estudiantes afectados por la violación una carta individualizada que explique qué datos específicos se vieron comprometidos. Es probable que Illuminate patrocine un servicio de control de crédito para los estudiantes afectados, que ahora pueden ser vulnerables al robo de identidad, dijeron funcionarios de educación.
Los funcionarios del DOE dijeron que Illuminate no ha revelado ninguna información sobre qué hicieron los piratas informáticos con los datos personales, si es que hicieron algo.
Illuminate dijo en un comunicado que su investigación sobre el "acceso no autorizado a nuestros sistemas" encontró que "alguna información personal estaba involucrada".
“Estamos en el proceso de notificación a los clientes que puedan haberse visto afectados. No hay evidencia de ninguna actividad fraudulenta o ilegal relacionada con este incidente”, dijo la empresa.
Un portavoz del DOE dijo que Illuminate certificó previamente como parte de un acuerdo de seguridad y privacidad de datos que estaba encriptando todos los datos personales de sus estudiantes, pero admitió en conversaciones con el DOE después del ataque que los datos comprometidos no estaban encriptados, dijeron funcionarios de educación.
La ley estatal requiere que "el cifrado... debe estar en su lugar cuando se almacenan o transfieren datos [del estudiante personalmente identificable]".
Illuminate no tiene ningún contrato en todo el distrito con el Departamento de Educación de la ciudad, pero cientos de escuelas públicas individuales tienen sus propios acuerdos con Illuminate y le han pagado a la compañía más de $16 millones desde 2019.
Las escuelas que usan Skedula y PupilPath dependen en gran medida de los sistemas para realizar un seguimiento de las calificaciones y la asistencia, mantenerse en contacto con los padres e incluso rastrear casos positivos de COVID-19.
Los funcionarios del DOE dijeron que Illuminate aceptó una revisión por parte del DOE y un monitor independiente para verificar sus medidas de seguridad cibernética, y un portavoz dijo que "no creemos que sea lo mejor para las comunidades escolares eliminar este servicio e interrumpir las operaciones escolares durante este año escolar.”
