Los documentos confidenciales robados de las escuelas y volcados en línea por bandas de ransomware son crudos, íntimos y drásticos. Describen agresiones sexuales por parte de estudiantes, hospitalizaciones psiquiátricas, padres abusivos, absentismo escolar e incluso intentos de suicidio.
“Por favor, haga algo”, suplicó un estudiante en uno de los archivos filtrados, recordando el trauma de toparse constantemente con un ex abusador en una escuela de Minneapolis. Otras víctimas hablaron de mojar la cama o llorar hasta quedarse dormidas.
Un folio completo de casos de agresión sexual que contenía estos detalles se encontraba entre más de 300,000 archivos publicados en línea en marzo después de que 36,000 estudiantes de las Escuelas Públicas de Minneapolis se negaron a pagar un rescate de $1 millón. Otros datos revelados incluyeron registros médicos, quejas por discriminación, números de Seguro Social e información de contacto de los empleados del distrito.
Las escuelas ricas en datos de todo el país son los principales objetivos de los piratas informáticos, que ubican y recopilan meticulosamente archivos confidenciales que alguna vez se escribieron en papel en gabinetes cerrados. “En este caso, todos tienen una llave”, dijo el experto en seguridad cibernética Ian Coldwater, cuyo hijo asiste a la escuela secundaria de Minneapolis.
Los vecindarios, a menudo con problemas de liquidez, están muy mal equipados no solo para defenderse, sino también para responder a los ataques de manera confiable y transparente, especialmente cuando luchan por ayudar a los niños a ponerse al día con la pandemia y lidiar con presupuestos cada vez más reducidos.
Varios meses después del ataque en Minneapolis, los administradores no cumplieron su promesa de informar a las víctimas individuales. A diferencia de los hospitales, ninguna ley federal exige que las escuelas lo hagan.
The Associated Press contactó a las familias de seis estudiantes cuyos expedientes de agresión sexual fueron revelados. El mensaje del reportero era la primera vez que alguien los alertaba.
“La verdad es que no nos notificaron nada”, dijo la madre, cuyo expediente del caso de su hijo contiene 80 documentos.
Incluso si las escuelas detectan un ataque de ransomware en curso, los datos generalmente ya no están. El Distrito Escolar Unificado de Los Ángeles hizo exactamente eso el último fin de semana del Día del Trabajo, solo para ver más de 1,900 registros privados de exalumnos, incluidas evaluaciones psicológicas y registros médicos, filtrados en línea. No fue sino hasta febrero que los funcionarios del distrito revelaron el alcance total de la violación, y señalaron la complejidad de notificar a las víctimas sobre archivos filtrados que datan de hasta tres décadas.
Resulta que el legado perdurable de los ataques de ransomware en las escuelas no tiene que ver con el cierre de escuelas, los costos de recuperación de datos o incluso el aumento vertiginoso de las primas de seguros cibernéticos. Es un trauma para el personal, los estudiantes y los padres causado por la divulgación en línea de registros privados que la AP encontró en Internet abierta y la web oscura.
“Se está publicando una gran cantidad de información en Internet y nadie quiere ver lo mal que se ve todo. O, si alguien está mirando, no hace públicos los resultados”, dijo el analista Brett Callow de la firma de seguridad cibernética Emsisoft.
Otros vecindarios importantes recientemente afectados por el robo de datos incluyen: San Diego, des Moines y Tucson, Arizona. Si bien la escala de estas infracciones sigue sin estar clara, todas han sido criticadas por su lentitud en admitir un ataque de ransomware, su lentitud en notificar a las víctimas o ambas cosas.
LAS ESCUELAS SE RETRASAN EN LA CIBERSEGURIDAD
Mientras que otros objetivos de ransomware han fortalecido y fragmentado las redes mediante el cifrado de datos y la aplicación de la autenticación de múltiples factores, los sistemas escolares son más lentos para responder.
Es probable que el ransomware ya haya afectado a más de 5 millones de estudiantes de EE. UU., y la cantidad de ataques a distritos podría aumentar este año, dijo el analista Allan Liska de la firma de seguridad cibernética Recorded Future. Casi uno de cada tres distritos de EE. UU. se vio comprometida a fines de 2021, según una encuesta realizada por el Centro para la Seguridad de Internet, una organización sin fines de lucro financiada con fondos federales.
“Todos quieren que las escuelas sean más seguras, pero muy pocos quieren que sus impuestos suban por eso”, dijo Liska.
En cambio, los padres presionaron para usar fondos limitados para cosas como maestros bilingües y nuevos cascos de fútbol americano, dijo Scott Elder, superintendente de escuelas en Albuquerque, cuyo distrito sufrió un ataque de ransomware en enero de 2022.
Hace solo tres años, los delincuentes no interceptaban datos de forma rutinaria en los ataques de ransomware, dijo TJ Sayers, gerente de inteligencia de amenazas cibernéticas en el Centro para la Seguridad de Internet. Dijo que ahora es un lugar común, y que la mayor parte se vende en la web oscura.
Los criminales de robo en Minneapolis fueron particularmente agresivos. Compartieron enlaces a los datos robados en Facebook, Twitter, Telegram y la web oscura a los que los navegadores estándar no pueden acceder. Una nota escrita a mano que enumeraba los nombres de tres estudiantes implicados en una de las denuncias de abuso sexual apareció durante algún tiempo en el competidor de YouTube, Vimeo, que eliminó el video de inmediato.
El sindicato del crimen cibernético detrás del ataque de Los Ángeles United fue menos descarado. Pero los 500 gigabytes que descargó en su “página de fugas” en la web oscura permanecieron libres para descargar en junio. Estos incluyen registros financieros y archivos personales con tarjetas de seguridad social y pasaportes escaneados.
Los psicólogos dicen que la divulgación pública de registros psicológicos o archivos de casos de agresión sexual, junto con los nombres de los estudiantes, puede debilitar la psique y frustrar una carrera. Un archivo, robado de Los Ángeles United, describía cómo un estudiante de secundaria intentó suicidarse y entró y salió de un hospital psiquiátrico más de una docena de veces al año.
La madre de una niña de 16 años con autismo recibió recientemente una carta del Distrito Escolar Unificado de San Diego que decía que los registros médicos de su hija podrían haber estado expuestos en línea en una brecha de seguridad el 25 de octubre.
“¿Qué pasa si no quiere que el mundo sepa que tiene autismo?”, preguntó Barbara Voit.
SE ESCLAMA EL ALCANCE DE LA VIOLACIÓN
Los padres en Minneapolis, informados por la AP sobre las denuncias de agresión sexual reveladas, se sienten doblemente acosados. Sus hijos lucharon contra el TEPT y algunos incluso abandonaron la escuela. Ahora eso.
“La familia está horrorizada al saber que esta información altamente confidencial ahora está disponible en línea indefinidamente para que la descubran los futuros amigos, intereses románticos, empleadores y otros del niño”, dijo Jeff Storms, abogado de una de las familias. Es política de AP no identificar a las víctimas de abuso sexual.
Mientras tanto, los maestros quieren saber por qué tienen que llamar al distrito e informar los problemas para recibir el monitoreo de crédito gratuito prometido y la protección contra el robo de identidad después de que se revelen sus números de Seguro Social.
“Todo lo que aprendieron al respecto provino de las noticias”, dijo Greta Callahan, de la Federación de Maestros de Minneapolis.
La portavoz de las escuelas de Minneapolis, Crystina Lugo-Beach, no dijo cuántas personas habían sido contactadas hasta el momento, ni respondió a otras preguntas de AP sobre el ataque.
La enfermera escolar Angie McCracken ya recibió 10 notificaciones a través de su tarjeta de crédito a principios de abril de que su número de Seguro Social y fecha de nacimiento estaban circulando en la dark web. Se preguntó cómo se graduaría de la universidad su hijo de 18 años. “Si sus identidades son robadas, ¿cuánto hará que la vida de mi hijo sea más difícil?”
A pesar de la frustración de los padres y maestros de escuela, están recomendado rutinariamente por los equipos de respuesta a incidentes preocupado por los problemas de responsabilidad y las negociaciones de rescate antes de una mayor transparencia, dijo Callow de Emsisoft. Los funcionarios escolares de Minneapolis aparentemente siguieron este manual, inicialmente describiendo el ataque del 17 de febrero de manera críptica como un “incidente de sistemas”, luego como “problemas técnicos” y luego como un “incidente de cifrado”.
Sin embargo, la escala de la violación quedó clara cuando, más de dos semanas después, el grupo de ransomware publicó un video de los datos robados, dando al condado 10 días para pagar el rescate antes de que se filtraran los archivos.
El distrito se negó a pagar, siguiendo el consejo constante del FBI de que los rescates alientan a los delincuentes a elegir más víctimas.
LAS ESCUELAS GASTAN PRESUPUESTOS DE TECNOLOGÍA EN HERRAMIENTAS CIENTÍFICAS, NO EN SEGURIDAD
Durante la pandemia de COVID-19, los distritos priorizaron el gasto en conectividad a Internet y aprendizaje remoto. La seguridad se ha vuelto menos importante a medida que los departamentos de TI han invertido en software para rastrear la participación y el rendimiento de los estudiantes. a menudo a expensas de la privacidad y la seguridadinvestigadores de la Universidad de Chicago y la Universidad de Nueva York encontraron.
Una encuesta de 2023 realizada por Consortium for School Networking, una organización tecnológica sin fines de lucro, encontró que solo el 16 % de los distritos tenían personal educativo a tiempo completo.
Con un déficit de talento en seguridad cibernética en el sector privado, los distritos tienen dificultades para mantenerse al día. Los vecindarios que emplean a alguien a menudo son elegidos por empresas que pueden duplicar sus salarios, dijo Keith Krueger, director ejecutivo del consorcio.
El dinero de la ciberseguridad para las escuelas públicas es limitado. De momento, los distritos solo pueden esperar migajas $ 1 mil millones en subvenciones de seguridad cibernética que el gobierno federal distribuye a lo largo de cuatro años.
El director de seguridad de la información de Minnesota, John Israel, dijo que su estado recibió $ 18 millones este año. dividido entre 3.600 entidades diferentes, incluidas ciudades y gobiernos tribales. Los legisladores estatales han proporcionado $22.5 millones adicionales en subvenciones para seguridad cibernética y física en las escuelas.
Las escuelas también quieren aprovechar un programa federal llamado E-Rate, que apunta a mejorar las conexiones de banda ancha en escuelas y bibliotecas. Más de 1,100 escribieron a la Comisión Federal de Comunicaciones después de violar el Distrito Unificado de Los Ángeles al solicitar una modificación de E-Rate para liberar fondos para ciberseguridad. La FCC aún está considerando la solicitud.
Es demasiado tarde para la madre de un estudiante de Minneapolis cuya denuncia confidencial de agresión sexual se publicó en línea. Casi se siente “violada de nuevo”.
“Todas las cosas que mantuvimos en secreto”, dijo, “están ahí. Y lo ha sido durante mucho tiempo”.
© 2023 Prensa Asociada. Reservados todos los derechos. Este material no puede ser publicado, transmitido, reescrito o redistribuido sin permiso.