Mié. Ago 17th, 2022

El software que utilizan muchos distritos escolares para seguir el progreso de los estudiantes puede registrar información extremadamente confidencial sobre los niños: “Discapacidad intelectual”. "Disturbio emocional." "Sin hogar." "Disruptivo." "Desafío." "Autor." “Hablar en exceso”. "Debería asistir a la tutoría".

Ahora estos sistemas están bajo un mayor escrutinio después de un reciente ataque cibernético a Illuminate Education, un proveedor líder de software de seguimiento de estudiantes, que afectó la información personal de más de un millón de estudiantes actuales y anteriores en docenas de distritos, incluso en la ciudad de Nueva York y Los Ángeles, el sistema de escuelas públicas más grande del país.

Las autoridades dijeron que en algunos distritos los datos incluían los nombres, las fechas de nacimiento, las razas o etnias y los puntajes de las pruebas de los estudiantes. Al menos un distrito dijo que los datos incluían información más íntima, como las tasas de tardanza de los estudiantes, el estado migratorio, los incidentes de comportamiento y las descripciones de las discapacidades.

La exposición de dicha información privada podría tener consecuencias a largo plazo.

“Si eres un mal estudiante y tuviste problemas disciplinarios y esa información ahora está disponible, ¿cómo te recuperas de eso?” dijo Joe Green, un profesional de seguridad cibernética y padre de un estudiante de secundaria en Erie, Colorado, cuya escuela secundaria de hijo se vio afectada por el ataque. “Es tu futuro. Es entrar a la universidad, conseguir un trabajo. Es todo."

Durante la última década, las empresas de tecnología y los reformadores de la educación han presionado a las escuelas para que adopten sistemas de software que puedan catalogar y categorizar los arrebatos, el ausentismo y los desafíos de aprendizaje de los estudiantes en el aula. La intención de tales herramientas es bien intencionada: ayudar a los educadores a identificar e intervenir con estudiantes en riesgo. Sin embargo, a medida que estos sistemas de seguimiento de estudiantes se han extendido, también lo han hecho los ciberataques a los proveedores de software escolar, incluido un hackeo reciente que afectó a las Escuelas Públicas de Chicago , el tercer distrito más grande del país.

Ahora, algunos expertos en ciberseguridad y privacidad dicen que el ciberataque a Illuminate Education equivale a una advertencia para la industria y los reguladores gubernamentales. Aunque no fue el ataque más grande a una empresa de tecnología educativa, estos expertos dicen que están preocupados por la naturaleza y el alcance de la filtración de datos, que, en algunos casos, involucró detalles personales delicados sobre estudiantes o datos de estudiantes que se remontan a más de una década . . En un momento en que algunas empresas de tecnología educativa han acumulado información confidencial sobre millones de niños en edad escolar, dicen, las salvaguardas para los datos de los estudiantes parecen totalmente inadecuadas.

“Realmente ha habido un fracaso épico”, dijo Héctor Balderas, fiscal general de Nuevo México, cuya oficina ha demandado a empresas tecnológicas por violar la privacidad de niños y estudiantes .

En una entrevista reciente, el Sr. Balderas dijo que el Congreso no había promulgado protecciones de datos modernas y significativas para los estudiantes, mientras que los reguladores no habían responsabilizado a las empresas de tecnología educativa por violar la privacidad y la seguridad de los datos de los estudiantes.

“Absolutamente hay una brecha en la aplicación y la rendición de cuentas”, dijo el Sr. Balderas.

Héctor Balderas, el fiscal general de Nuevo México, ha perseguido a empresas tecnológicas por violar la privacidad de niños y estudiantes.
Brent Lewis/The Denver Post a través de Getty Images

En un comunicado, Illuminate dijo que “no tenía evidencia de que alguna información estuviera sujeta a un uso indebido real o intento” y que había “implementado mejoras de seguridad para prevenir” más ataques cibernéticos.

Hace casi una década, los expertos en privacidad y seguridad comenzaron a advertir que la difusión de herramientas sofisticadas de extracción de datos en las escuelas estaba superando rápidamente las protecciones de la información personal de los estudiantes . Los legisladores se apresuraron a responder.

Desde 2014, California, Colorado y docenas de otros estados han aprobado leyes de seguridad y privacidad de los datos de los estudiantes. En 2014, docenas de proveedores de tecnología de educación K-12 firmaron un Compromiso de Privacidad Estudiantil nacional, prometiendo mantener un "programa de seguridad integral".

Los partidarios del compromiso dijeron que la Comisión Federal de Comercio, que controla las prácticas engañosas de privacidad, podría obligar a las empresas a cumplir sus compromisos. El presidente Obama respaldó el compromiso y elogió a las empresas participantes en un importante discurso sobre privacidad en la FTC en 2015.

La FTC tiene un largo historial de multas a empresas por violar la privacidad de los niños en servicios de consumo como YouTube y TikTok . Sin embargo, a pesar de numerosos informes de empresas de tecnología educativa con prácticas problemáticas de privacidad y seguridad , la agencia aún tiene que hacer cumplir el compromiso de privacidad de los estudiantes de la industria.

En mayo, la FTC anunció que los reguladores tenían la intención de tomar medidas enérgicas contra las empresas de tecnología educativa que violan una ley federal, la Ley de protección de la privacidad en línea de los niños, que exige que los servicios en línea destinados a niños menores de 13 años protejan sus datos personales. La agencia está llevando a cabo una serie de investigaciones no públicas sobre empresas de tecnología educativa, dijo Juliana Gruenwald Henderson, vocera de la FTC.

Con sede en Irvine, California, Illuminate Education es uno de los principales proveedores de software de seguimiento de estudiantes del país.

El sitio de la compañía dice que sus servicios llegan a más de 17 millones de estudiantes en 5200 distritos escolares. Los productos populares incluyen un sistema de control de asistencia y un libro de calificaciones en línea, así como una plataforma escolar, llamada eduCLIMBER, que permite a los educadores registrar el "comportamiento socioemocional" de los estudiantes y codificar a los niños por colores como verde ("en camino") o rojo ("no en camino").

Illuminate ha potenciado su ciberseguridad. En 2016, la empresa anunció que se había adherido al compromiso de la industria para mostrar su "apoyo para salvaguardar " los datos de los estudiantes.

Las preocupaciones sobre un ataque cibernético surgieron en enero después de que algunos maestros en las escuelas de la ciudad de Nueva York descubrieron que sus sistemas de libros de calificaciones y asistencia en línea habían dejado de funcionar . Illuminate dijo que desconectó temporalmente esos sistemas después de darse cuenta de una "actividad sospechosa" en parte de su red.

El 25 de marzo, Illuminate notificó al distrito que ciertas bases de datos de la compañía habían sido objeto de acceso no autorizado, dijo Nathaniel Styer, secretario de prensa de las Escuelas Públicas de la Ciudad de Nueva York. El incidente, dijo, afectó a unos 800.000 estudiantes actuales y anteriores en aproximadamente 700 escuelas locales.

Para los estudiantes afectados de la ciudad de Nueva York, los datos incluían nombre y apellido, nombre de la escuela y número de identificación del estudiante, así como al menos dos de los siguientes: fecha de nacimiento, sexo, raza o etnia, idioma del hogar e información de la clase, como el nombre del maestro. En algunos casos, el estado de discapacidad de los estudiantes, es decir, si recibieron o no servicios de educación especial, también se vio afectado.

Funcionarios de la ciudad de Nueva York dijeron que estaban indignados . En 2020, Illuminate firmó un estricto acuerdo de datos con el distrito que requiere que la empresa proteja los datos de los estudiantes y notifique de inmediato a los funcionarios del distrito en caso de una violación de datos.

Brittainy Newman para The New York Times

Los funcionarios de la ciudad han pedido a la oficina del fiscal general de Nueva York y al FBI que investiguen. En mayo, el departamento de educación de la ciudad de Nueva York, que está realizando su propia investigación, ordenó a las escuelas locales que dejaran de usar los productos Illuminate.

“Nuestros estudiantes merecían un socio que se enfocara en tener la seguridad adecuada, pero en lugar de eso, su información quedó en riesgo”, dijo el alcalde Eric Adams en un comunicado a The New York Times. El Sr. Adams agregó que su administración estaba trabajando con los reguladores “mientras presionamos para que la empresa rinda cuentas por no brindarles a nuestros estudiantes la seguridad prometida”.

El hackeo de Illuminate afectó a 174.000 estudiantes adicionales en 22 distritos escolares de todo el estado, según el Departamento de Educación del Estado de Nueva York, que está realizando su propia investigación.

En los últimos cuatro meses, Illuminate también notificó a más de una docena de otros distritos, en Connecticut, California, Colorado, Oklahoma y el estado de Washington, sobre el ciberataque.

Illuminate se negó a decir cuántos distritos escolares y estudiantes se vieron afectados. En un comunicado, la compañía dijo que había trabajado con expertos externos para investigar el incidente de seguridad y había llegado a la conclusión de que la información de los estudiantes estaba “potencialmente sujeta a acceso no autorizado” entre el 28 de diciembre de 2021 y el 8 de enero de 2022. En ese momento, el comunicado decía que Illuminate tenía cinco empleados de tiempo completo dedicados a las operaciones de seguridad.

Illuminate mantuvo los datos de los estudiantes en el sistema de almacenamiento en línea de Amazon Web Services. Los expertos en seguridad cibernética dijeron que muchas empresas sin darse cuenta habían hecho que sus cubos de almacenamiento de AWS fueran fáciles de encontrar para los piratas informáticos, al nombrar las bases de datos como plataformas o productos de la empresa.

A raíz del ataque, Illuminate dijo que había contratado a seis empleados adicionales de seguridad y cumplimiento a tiempo completo, incluido un director de seguridad de la información.

Después del ataque cibernético, la compañía también realizó numerosas actualizaciones de seguridad, según una carta que Illuminate envió a un distrito escolar en Colorado. Entre otros cambios, decía la carta, Illuminate instituyó un monitoreo continuo de terceros en todos sus AW.S. cuentas y ahora está aplicando seguridad de inicio de sesión mejorada para sus archivos de AWS.

Pero durante una entrevista con un reportero, Greg Pollock, vicepresidente de investigación cibernética de UpGuard, una empresa de gestión de riesgos de ciberseguridad, encontró uno de los depósitos de AWS de Illuminate con un nombre fácil de adivinar. Luego, el reportero encontró un segundo cubo de AWS que lleva el nombre de una popular plataforma Illuminate para escuelas.

Illuminate dijo que no podía proporcionar detalles sobre su práctica de seguridad “por razones de seguridad”.

Después de una serie de ataques cibernéticos contra empresas de tecnología educativa y escuelas públicas, los funcionarios de educación dijeron que era hora de que Washington interviniera para proteger a los estudiantes.

“Los cambios a nivel federal están atrasados y podrían tener un impacto inmediato a nivel nacional”, dijo el Sr. Styer, vocero de las escuelas de la ciudad de Nueva York. El Congreso, por ejemplo, podría enmendar las reglas de privacidad de la educación federal para imponer requisitos de seguridad de datos a los proveedores escolares, dijo. Eso permitiría a las agencias federales imponer multas a las empresas que no cumplieron.

Una agencia ya tomó medidas enérgicas, pero no en nombre de los estudiantes.

El año pasado, la Comisión de Bolsa y Valores acusó a Pearson, un importante proveedor de software de evaluación para escuelas, de engañar a los inversores sobre un ataque cibernético en el que se robaron las fechas de nacimiento y las direcciones de correo electrónico de millones de estudiantes. Pearson acordó pagar $ 1 millón para resolver los cargos.

El Sr. Balderas, el fiscal general, dijo que estaba furioso porque los reguladores financieros habían actuado para proteger a los inversionistas en el caso de Pearson, incluso cuando los reguladores de privacidad no dieron un paso adelante para los niños en edad escolar que fueron víctimas del delito cibernético.

“Mi preocupación es que habrá malos actores que explotarán el entorno de una escuela pública, especialmente cuando piensen que los protocolos tecnológicos no son muy sólidos”, dijo el Sr. Balderas. “Y no sé por qué el Congreso aún no está aterrorizado”.