Los líderes del sistema de escuelas públicas del condado de Wake están investigando una violación que involucra el sistema que contiene datos de maestros y estudiantes en todo Carolina del Norte.
Según el distrito escolar, fueron notificados de un incidente de ciberseguridad que involucraba a Canvas, un sistema estatal de gestión del aprendizaje administrado por Instructure. Los profesores utilizan Canvas para publicar su trabajo en el aula y las lecciones para los estudiantes.
El jueves, el sistema de escuelas públicas del condado de Wake anunció que dejaría de usar Canvas temporalmente y deshabilitó el ícono dentro del portal WakeID.
El distrito pidió que las familias:
- No intentar acceder a Canvas a través de enlaces o marcadores alternativos hasta nuevo aviso.
- No hacer clic en ningún enlace, descargar archivos ni responder a ningún mensaje relacionado con la ventana emergente.
Instructure dijo en su sitio web que el Departamento de Instrucción Pública de Carolina del Norte acordó utilizar Canvas en 2015 en todas las escuelas públicas estatales K-12. Instructure también informó al NCDPI sobre la violación de datos.
Los líderes del distrito dijeron que creen que se pudo haber accedido a datos de estudiantes y personal, pero no encontraron nada que indique que contraseñas, fechas de nacimiento, identificadores gubernamentales o información financiera estuvieran involucrados.
El distrito escolar dijo que fue alertado sobre la infracción el martes y que estaba vinculada a un incidente de ciberseguridad el 25 de abril.
Esta no es la primera vez que los datos de los estudiantes se ven afectados por una violación de datos. PowerSchool, una empresa que brinda servicios de datos en todo el mundo con almacenamiento de datos a más de 60 millones de estudiantes entre más de 18.000 clientes y más de 90 países, estuvo involucrada en una violación de datos el 28 de diciembre de 2024.
PowerSchool dijo más tarde que pagó un rescate al pirata informático responsable de la violación y vio un video del pirata informático borrando los datos que robaron, según las personas que estuvieron en la llamada. Sin embargo, los analistas de ciberseguridad dijeron que más escuelas públicas podrían enfrentar intentos de extorsión a raíz del ataque.
En agosto, la Junta Estatal de Educación transfirió todos los datos de estudiantes y personal que tenía en PowerSchool a Infinite Campus para su sistema estatal.
El distrito escolar dijo que si bien la infracción fue resultado del sistema de Instructure, está en comunicación continua con ellos mientras trabajan para investigar cómo se ve afectado el distrito.
En un comunicado, Canvas dijo que recomienda a todos sus clientes seguir las mejores prácticas de seguridad, como aplicar la autenticación multifactor en cuentas privilegiadas, revisar el acceso del administrador y rotar tokens o claves API cuando sea posible.
El miércoles, WRAL News habló con la directora ejecutiva de Growth Office Partners, Kimberly Simon, sobre la infracción. Simon es un estratega de ciberseguridad reconocido mundialmente.
«Es posible que se hayan vulnerado nombres, direcciones de correo electrónico, identificaciones de estudiantes y otras comunicaciones de los usuarios, y esa información aún puede usarse para ataques de phishing muy convincentes», dijo Simon.
Cuando se le preguntó cómo se compara la última infracción con la de 2024, Simon dijo que un solo proveedor «que se vea comprometido puede afectar a sistemas escolares enteros».
En respuesta al informe de WRAL, NCDPI dijo que todavía están trabajando para saber cuántos distritos se vieron afectados por la infracción. NCDPI agregó que Instructure se está comunicando directamente con los distritos para confirmar que han sido afectados.
NCDPI dijo que compartiría más información a medida que esté disponible.
