Los delincuentes de ransomware están descargando los archivos privados de los niños en línea después de los hackeos escolares

Los documentos confidenciales robados de las escuelas y volcados en línea por bandas de ransomware son crudos, íntimos y gráficos. Describen agresiones sexuales de estudiantes, hospitalizaciones psiquiátricas, padres abusivos, absentismo escolar e incluso intentos de suicidio.

«Por favor, haga algo», rogó un estudiante en un archivo filtrado, recordando el trauma de toparse continuamente con un ex abusador en una escuela en Minneapolis. Otras víctimas hablaron de mojar la cama o llorar hasta quedarse dormidas.

Los folios completos de casos de agresión sexual que contenían estos detalles se encontraban entre más de 300,000 archivos arrojados en línea en marzo después de que las Escuelas Públicas de Minneapolis de 36,000 estudiantes se negaron a pagar un rescate de $ 1 millón. Otros datos expuestos incluyeron registros médicos, quejas por discriminación, números de Seguro Social e información de contacto de los empleados del distrito.

Ricas en datos digitalizados, las escuelas de la nación son los principales objetivos de piratas informáticos criminales remotos, que están localizando y recogiendo asiduamente archivos confidenciales que no hace mucho tiempo se enviaron al papel en gabinetes cerrados. «En este caso, todos tienen una llave», dijo el experto en seguridad cibernética Ian Coldwater, cuyo hijo asiste a una escuela secundaria de Minneapolis.

Los distritos, a menudo escasos de dinero, están muy mal equipados no solo para defenderse, sino también para responder con diligencia y transparencia cuando son atacados, especialmente cuando luchan por ayudar a los niños a ponerse al día con la pandemia y lidiar con presupuestos cada vez más reducidos.

Meses después del ataque de Minneapolis, los administradores no han cumplido su promesa de informar a las víctimas individuales. A diferencia de los hospitales, no existe una ley federal que requiera esta notificación de las escuelas.

The Associated Press se comunicó con las familias de seis estudiantes cuyos expedientes de agresión sexual fueron expuestos. El mensaje de un reportero fue la primera vez que alguien los alertó.

“La verdad es que no nos avisaron nada”, dijo una madre cuyo expediente del caso de su hijo tiene 80 documentos.

Incluso cuando las escuelas detectan un ataque de ransomware en curso, los datos generalmente ya no están. Eso fue lo que hizo el Distrito Escolar Unificado de Los Ángeles el pasado fin de semana del Día del Trabajo, solo para ver la documentación privada de más de 1,900 exalumnos, incluidas evaluaciones psicológicas y registros médicos, filtrados en línea. No fue sino hasta febrero que los funcionarios del distrito revelaron las dimensiones completas de la violación, y señalaron la complejidad de notificar a las víctimas con archivos expuestos de hasta tres décadas de antigüedad.

Resulta que el legado duradero de los ataques de ransomware escolar no está en el cierre de escuelas, los costos de recuperación o incluso las primas de seguros cibernéticos altísimas. Es el trauma para el personal, los estudiantes y los padres por la exposición en línea de registros privados, que AP encontró en Internet abierto y en la web oscura.

«Se está publicando una gran cantidad de información en línea, y nadie está mirando para ver qué tan malo es todo. O, si alguien está mirando, no está haciendo públicos los resultados», dijo el analista Brett Callow de la firma de seguridad cibernética Emsisoft. .

Otros grandes distritos recientemente afectados por el robo de datos incluyen San Diego, des Moines y Tucson, Arizona. Si bien la gravedad de esos ataques sigue sin estar clara, todos han sido criticados por ser lentos en admitir que fueron atacados por ransomware, demorarse en notificar a las víctimas, o ambas cosas.

EN SEGURIDAD CIBERNÉTICA, LAS ESCUELAS SE HAN RETRASADO

Mientras que otros objetivos de ransomware han fortificado y segmentado las redes, encriptado de datos y exigido la autenticación de múltiples factores, los sistemas escolares han sido más lentos en reaccionar.

Es probable que el ransomware haya afectado a más de 5 millones de estudiantes de EE. UU. hasta ahora, y los ataques a los distritos van camino de aumentar este año, dijo el analista Allan Liska de la firma de seguridad cibernética Recorded Future. Casi uno de cada tres distritos de EE. UU. había sido violada a fines de 2021, según una encuesta realizada por el Centro para la Seguridad de Internet, una organización sin fines de lucro financiada con fondos federales.

“Todo el mundo quiere que las escuelas sean más seguras, pero muy pocos quieren que se aumenten sus impuestos para lograrlo”, dijo Liska.

En cambio, los padres han presionado para usar fondos limitados en cosas como maestros bilingües y nuevos cascos de fútbol americano, dijo el superintendente de escuelas de Albuquerque, Scott Elder, cuyo distrito sufrió un ataque de ransomware en enero de 2022.

Hace solo tres años, los delincuentes no obtenían datos de forma rutinaria en los ataques de ransomware, dijo TJ Sayers, gerente de inteligencia de ciberamenazas del Centro para la Seguridad de Internet. Ahora, es común, dijo, y gran parte se vende en la dark web.

Los criminales del robo de Minneapolis fueron especialmente agresivos. Compartieron enlaces a los datos robados en Facebook, Twitter, Telegram y la web oscura, a los que los navegadores estándar no pueden acceder. Una nota escrita a mano que nombraba a tres estudiantes involucrados en una de las denuncias de abuso sexual apareció durante un tiempo en el competidor de YouTube, Vimeo, que rápidamente eliminó el video.

El sindicato del crimen cibernético detrás del ataque de Los Ángeles United fue menos descarado. Pero los 500 gigabytes que descargó en su «sitio de filtración» de la web oscura permanecieron disponibles gratuitamente para su descarga en junio. Incluyen registros financieros y archivos personales con tarjetas de Seguro Social y pasaportes escaneados.

La divulgación pública de registros psicológicos o archivos de casos de agresión sexual, con los nombres completos de los estudiantes, puede desgastar la psique y frustrar carreras, dicen los psicólogos. Un archivo robado de Los Ángeles United describía cómo un estudiante de secundaria había intentado suicidarse y entrado y salido del hospital psiquiátrico una docena de veces en un año.

La madre de una niña de 16 años con autismo recibió recientemente una carta del Distrito Escolar Unificado de San Diego que decía que los registros médicos de su hija podrían haberse filtrado en línea en una filtración del 25 de octubre.

«¿Qué pasa si no quiere que el mundo sepa que tiene autismo?», preguntó Barbara Voit.

EN UN GOTO, EMERGE LA EXTENSIÓN DE UNA VIOLACIÓN

Los padres de Minneapolis informados por la AP de las denuncias de agresión sexual filtradas se sienten doblemente victimizados. Sus hijos han luchado contra el PTSD y algunos incluso abandonaron sus escuelas. Ahora esto.

«La familia está más que horrorizada al enterarse de que esta información altamente confidencial ahora está disponible a perpetuidad en Internet para que la descubran los futuros amigos, intereses románticos, empleadores y otros del niño», dijo Jeff Storms, abogado de una de las familias. Es política de AP no identificar a las víctimas de abuso sexual.

Mientras tanto, los maestros quieren saber por qué tienen que llamar al distrito e informar los problemas para recibir el monitoreo de crédito gratuito prometido y la protección contra el robo de identidad después de que se filtraron sus números de Seguro Social.

«Todo lo que han aprendido sobre esto es de las noticias», dijo Greta Callahan, de la Federación de Maestros de Minneapolis.

La portavoz de las escuelas de Minneapolis, Crystina Lugo-Beach, no dijo cuántas personas han sido contactadas hasta el momento ni respondió otras preguntas de AP sobre el ataque.

La enfermera escolar Angie McCracken a principios de abril ya había recibido 10 alertas a través de su tarjeta de crédito de que su número de Seguro Social y fecha de nacimiento estaban circulando en la web oscura. Se preguntó acerca de su graduación de 18 años. «Si les roban su identidad, ¿qué tan difícil será la vida de mi hijo?»

A pesar de la frustración de padres y maestros, las escuelas están asesorado rutinariamente por los equipos de respuesta a incidentes preocupado por los problemas de responsabilidad legal y las negociaciones de rescate en contra de ser más transparente, dijo Callow de Emsisoft. Los funcionarios escolares de Minneapolis aparentemente siguieron ese libro de jugadas, inicialmente describiendo el ataque del 17 de febrero de manera críptica como un «incidente del sistema», luego como «dificultades técnicas» y luego como un «evento de cifrado».

Sin embargo, el alcance de la violación quedó claro cuando un grupo de ransomware publicó un video de datos robados más de dos semanas después, lo que le dio al distrito 10 días para pagar el rescate antes de filtrar los archivos.

El distrito se negó a pagar, siguiendo el consejo permanente del FBI, que dice que los rescates alientan a los delincuentes a buscar más víctimas.

LAS ESCUELAS GASTAN PRESUPUESTOS DE TECNOLOGÍA EN HERRAMIENTAS DE APRENDIZAJE, NO EN SEGURIDAD

Durante la pandemia de COVID-19, los distritos priorizaron el gasto en conectividad a Internet y aprendizaje remoto. La seguridad se redujo a medida que los departamentos de TI invirtieron en software para rastrear la participación y el rendimiento de los estudiantes, a menudo a expensas de la privacidad y la seguridadencontraron investigadores de la Universidad de Chicago y la Universidad de Nueva York.

En una encuesta de 2023, Consortium for School Networking, una organización sin fines de lucro orientada a la tecnología, encontró que solo el 16 % de los distritos tenían personal de seguridad de red a tiempo completo, y casi la mitad dedicaba el 2 % o menos de sus presupuestos de TI a la seguridad.

Con un déficit en el talento de seguridad cibernética del sector privado, los distritos luchan por aferrarse a él. Los distritos que contratan a alguien a menudo ven cómo se lo arrebatan empresas que pueden duplicar sus salarios, dijo Keith Krueger, director ejecutivo del consorcio.

El dinero de la ciberseguridad para las escuelas públicas es limitado. Tal como están las cosas, los distritos solo pueden esperar fragmentos de la $ 1 mil millones en subvenciones de seguridad cibernética que el gobierno federal está distribuyendo durante cuatro años.

El director de seguridad de la información de Minnesota, John Israel, dijo que su estado recibió $ 18 millones este año. para repartir entre 3.600 entidades diferentes, incluidas ciudades y gobiernos tribales. Los legisladores estatales proporcionaron $22.5 millones adicionales en subvenciones para seguridad cibernética y física en las escuelas.

Las escuelas también quieren aprovechar un programa federal llamado E-Rate que está diseñado para mejorar las conexiones de banda ancha a escuelas y bibliotecas. Más de 1,100 escribieron a la Comisión Federal de Comunicaciones después de la violación del Distrito Escolar Unificado de Los Ángeles que solicitó que se modificara E-Rate para liberar fondos para la ciberseguridad. La FCC todavía está considerando la solicitud.

Ya es demasiado tarde para la madre de uno de los estudiantes de Minneapolis cuya denuncia confidencial de agresión sexual se publicó en línea. Casi se siente «violada de nuevo».

«Todas las cosas que mantuvimos en privado», dijo, «están ahí fuera. Y han estado ahí durante mucho tiempo».

© 2023 Prensa Asociada. Reservados todos los derechos. Este material no puede ser publicado, transmitido, reescrito o redistribuido sin permiso.