El software que utilizan muchos distritos escolares para seguir el progreso de los estudiantes puede registrar información extremadamente confidencial sobre los niños: 'Discapacidad intelectual'. 'Disturbio emocional.' 'Sin hogar.' 'Disruptivo.' 'Desafío.' 'Autor.' 'Hablar en exceso'. 'Debería asistir a la tutoría'.

Ahora estos sistemas están bajo un mayor escrutinio después de un reciente ataque cibernético a Illuminate Education, un proveedor líder de software de seguimiento de estudiantes, que afectó la información personal de más de un millón de estudiantes actuales y anteriores en docenas de distritos, incluso en la ciudad de Nueva York y Los Ángeles, el sistema de escuelas públicas más grande del país.

Las autoridades dijeron que en algunos distritos los datos incluían los nombres, las fechas de nacimiento, las razas o etnias y los puntajes de las pruebas de los estudiantes. Al menos un distrito dijo que los datos incluían información más íntima, como las tasas de tardanzas de los estudiantes, el estado migratorio, los incidentes de comportamiento y las descripciones de las discapacidades.

La exposición de dicha información privada podría tener consecuencias a largo plazo.

'Si eres un mal estudiante y tuviste problemas disciplinarios y esa información ahora está disponible, ¿cómo te recuperas de eso?' dijo Joe Green, un profesional de seguridad cibernética y padre de un estudiante de secundaria en Erie, Colorado, cuya escuela secundaria de hijo se vio afectada por el ataque. 'Es su futuro. Es ingresar a la universidad, conseguir un trabajo. Lo es todo'.

Durante la última década, las empresas de tecnología y los reformadores de la educación han presionado a las escuelas para que adopten sistemas de software que puedan catalogar y categorizar los arrebatos, el ausentismo y los desafíos de aprendizaje de los estudiantes. La intención de tales herramientas tiene buenas intenciones: ayudar a los educadores a identificar e intervenir con estudiantes de riesgo. Sin embargo, a medida que estos sistemas de seguimiento de estudiantes se han extendido, también lo han hecho los ataques cibernéticos a los proveedores de software escolar, incluido un ataque reciente que afectó a las Escuelas Públicas de Chicago, el tercer distrito más grande del país.

Ahora, algunos expertos en seguridad cibernética y privacidad dicen que el ataque cibernético a Illuminate Education equivale a una advertencia para los reguladores gubernamentales y de la industria. incumplimiento, que, en algunos casos, involucró detalles personales delicados sobre estudiantes o datos de estudiantes que se remontan a más de una década. totalmente inadecuado.

'Realmente ha habido un fracaso épico', dijo Héctor Balderas, fiscal general de Nuevo México, cuya oficina ha demandado a empresas tecnológicas por violar la privacidad de niños y estudiantes.

En una entrevista reciente, el Sr. Balderas dijo que el Congreso no había promulgado protecciones de datos modernas y significativas para los estudiantes, mientras que los reguladores no habían responsabilizado a las empresas de tecnología educativa por violar la privacidad y la seguridad de los datos de los estudiantes.

'Absolutamente hay una brecha en la aplicación y la rendición de cuentas', dijo el Sr. Balderas.

En un comunicado, Illuminate dijo que 'no tenía evidencia de que alguna información estuviera sujeta a un uso indebido real o intento' y que había 'implementado mejoras de seguridad para prevenir' más ataques cibernéticos.

Hace casi una década, los expertos en privacidad y seguridad comenzaron a advertir que la difusión de herramientas sofisticadas de extracción de datos en las escuelas estaba superando rápidamente las protecciones para la información personal de los estudiantes. Los legisladores se apresuraron a responder.

Desde 2014, California, Colorado y docenas de otros estados han aprobado leyes de privacidad y seguridad de los datos de los estudiantes. En 2014, docenas de proveedores de tecnología de educación K-12 firmaron un Compromiso de Privacidad Estudiantil nacional, prometiendo mantener un 'programa de seguridad integral'.

Los partidarios del compromiso dijeron que la Comisión Federal de Comercio, que controla las prácticas engañosas de privacidad, podría obligar a las empresas a cumplir sus compromisos. El presidente Obama respaldó el compromiso y elogió a las empresas participantes en un importante discurso sobre privacidad en la FTC en 2015.

La FTC tiene un largo historial de multas a empresas por violar la privacidad de los niños en servicios de consumo como YouTube y TikTok. Sin embargo, a pesar de numerosos informes de empresas de tecnología educativa con prácticas problemáticas de privacidad y seguridad, la agencia aún tiene que hacer cumplir el compromiso de privacidad de los estudiantes de la industria.

En mayo, la FTCananunció que los reguladores tenían la intención de tomar medidas enérgicas contra las empresas de tecnología educativa que violan una ley federal, la Ley de protección de la privacidad en línea de los niños, que requiere servicios en línea dirigidos a niños menores de 13 años para proteger sus datos personales. La agencia está buscando una serie de investigaciones no públicas sobre empresas de tecnología educativa, dijo Juliana Gruenwald Henderson, vocera de la FTC.

Con sede en Irvine, California, Illuminate Education es uno de los principales proveedores de software de seguimiento de estudiantes del país.

El sitio de la compañía dice que sus servicios llegan a más de 17 millones de estudiantes en 5,200 distritos escolares. Los productos populares incluyen un sistema de control de asistencia y un libro de calificaciones en línea, así como una plataforma escolar, llamada eduCLIMBER, que permite a los educadores registrar las actividades sociales de los estudiantes. comportamiento emocional' y codificar a los niños por colores como verde ('en camino') o rojo ('no en camino').

1 de agosto de 2022, 6:35 p. m. ET

Illuminate ha promovido su seguridad cibernética. En 2016, la compañía anunció que se había sumado al compromiso de la industria para mostrar su 'apoyo para salvaguardar' los datos de los estudiantes.

Las preocupaciones sobre un ataque cibernético surgieron en enero después de que algunos maestros en las escuelas de la ciudad de Nueva York descubrieron que sus sistemas de libros de calificaciones y asistencia en línea habían dejado de funcionar. .

El 25 de marzo, Illuminate notificó al distrito que ciertas bases de datos de la compañía habían estado sujetas a acceso no autorizado, dijo Nathaniel Styer, secretario de prensa de las Escuelas Públicas de la Ciudad de Nueva York. escuelas.

Para los estudiantes de la ciudad de Nueva York afectados, los datos incluían nombre y apellido, nombre de la escuela y número de identificación del estudiante, así como al menos dos de los siguientes: fecha de nacimiento, género, raza o etnia, idioma del hogar e información de la clase, como el nombre del maestro. En algunos casos, el estado de discapacidad de los estudiantes, es decir, si recibieron o no servicios de educación especial, también se vio afectado.

Los funcionarios de la ciudad de Nueva York dijeron que estaban indignados. En 2020, Illuminate firmó un estricto acuerdo de datos con el distrito que exige que la empresa proteja los datos de los estudiantes y notifique de inmediato a los funcionarios del distrito en caso de una violación de datos.

Los funcionarios de la ciudad han pedido a la oficina del fiscal general de Nueva York y al FBI que investiguen. En mayo, el departamento de educación de la ciudad de Nueva York, que está realizando su propia investigación, ordenó a las escuelas locales que dejaran de usar los productos Illuminate.

'Nuestros estudiantes se merecían un socio que se enfocara en tener la seguridad adecuada, pero en lugar de eso su información quedó en riesgo', dijo el alcalde Eric Adams en un comunicado a The New York Times. El Sr. Adams agregó que su administración estaba trabajando con los reguladores 'mientras presione para responsabilizar a la empresa por no brindarles a nuestros estudiantes la seguridad prometida'.

El hackeo de Illuminate afectó a 174.000 estudiantes adicionales en 22 distritos escolares de todo el estado, según el Departamento de Educación del Estado de Nueva York, que está realizando su propia investigación.

En los últimos cuatro meses, Illuminate también notificó a más de una docena de otros distritos, en Connecticut, California, Colorado, Oklahoma y el estado de Washington, sobre el ciberataque.

Illuminate se negó a decir cuántos distritos escolares y estudiantes se vieron afectados. En un comunicado, la compañía dijo que había trabajado con expertos externos para investigar el incidente de seguridad y había concluido que la información de los estudiantes estaba 'potencialmente sujeta a acceso no autorizado' entre el 28 de diciembre y el 2021 y 8 de enero de 2022. En ese momento, según el comunicado, Illuminate tenía cinco empleados de tiempo completo dedicados a las operaciones de seguridad.

Illuminate guardó los datos de los estudiantes en el sistema de almacenamiento en línea de Amazon Web Services. Los expertos en seguridad cibernética dijeron que muchas empresas, sin darse cuenta, habían hecho que sus cubos de almacenamiento de AWS fueran fáciles de encontrar para los piratas informáticos, nombrando las bases de datos como plataformas o productos de la empresa.

A raíz del ataque, Illuminate dijo que había contratado a seis empleados adicionales de seguridad y cumplimiento a tiempo completo, incluido un director de seguridad de la información.

Después del ataque cibernético, la compañía también realizó numerosas actualizaciones de seguridad, según una carta que Illuminate envió a un distrito escolar en Colorado. Entre otros cambios, decía la carta, Illuminate instituyó un monitoreo continuo de terceros en todas sus cuentas AWS y ahora está aplicando una seguridad de inicio de sesión mejorada para sus archivos de AWS.

Pero durante una entrevista con un reportero, Greg Pollock, vicepresidente de investigación cibernética de UpGuard, una empresa de gestión de riesgos de ciberseguridad, encontró uno de los AWSbuckets de Illuminate con un nombre fácil de adivinar. Luego, el reportero encontró un segundo AWSbucket con el nombre de una plataforma popular de Illuminate. para escuelas

Illuminate dijo que no podía proporcionar detalles sobre su práctica de seguridad 'por razones de seguridad'.

Después de una serie de ataques cibernéticos tanto a las empresas de tecnología educativa como a las escuelas públicas, los funcionarios de educación dijeron que era hora de que Washington interviniera para proteger a los estudiantes.

'Los cambios a nivel federal están atrasados ​​y podrían tener un impacto inmediato a nivel nacional', dijo el Sr. Styer, el portavoz de las escuelas de la ciudad de Nueva York. El Congreso, por ejemplo, podría enmendar las reglas federales de privacidad educativa para imponer requisitos de seguridad de datos a los proveedores escolares dijo. Eso permitiría a las agencias federales imponer multas a las empresas que no cumplieron.

Una agencia ya tomó medidas enérgicas, pero no en nombre de los estudiantes.

El año pasado, la Comisión de Bolsa y Valores acusó a Pearson, un importante proveedor de software de evaluación para escuelas, de engañar a los inversores sobre un ataque cibernético en el que se robaron las fechas de nacimiento y las direcciones de correo electrónico de millones de estudiantes. Pearson acordó pagar $ 1 millón para resolver el problema. cargos

El Sr. Balderas, el fiscal general, dijo que estaba furioso porque los reguladores financieros habían actuado para proteger a los inversionistas en el caso de Pearson, incluso cuando los reguladores de privacidad no dieron un paso adelante para los niños en edad escolar que fueron víctimas del delito cibernético.

'Mi preocupación es que habrá malos actores que explotarán el entorno de una escuela pública, especialmente cuando piensen que los protocolos tecnológicos no son muy sólidos', dijo Balderas. 'Y no sé por qué el Congreso aún no está aterrorizado. .'