Una investigación determinó que varias juntas escolares del área metropolitana de Toronto no contaban con medidas razonables para prevenir el acceso no autorizado a la información personal almacenada en PowerSchool, un sistema en la nube utilizado para la gestión de datos estudiantiles y administrativos. El análisis también concluyó que existían deficiencias en la supervisión de las obligaciones contractuales con este proveedor de servicios.
El Consejo Escolar del Distrito de Toronto (TDSB) registró una filtración de datos entre el 22 y el 28 de diciembre de 2024, tras un incidente de ciberseguridad que permitió a un atacante acceder a bases de datos con información de estudiantes y personal. Otros consejos escolares de la región —Durham, Peel y York— también resultaron afectados. Registros que datan desde 1985 podrían haber sido comprometidos. Se estima que aproximadamente 3,86 millones de habitantes de Ontario y cerca de 5,2 millones de personas en todo Canadá se vieron impactados.
Veinte juntas escolares de Ontario y el Ministerio de Educación informaron incidentes vinculados a esta filtración. Escuelas en Alberta también registraron afectaciones, lo que motivó la coordinación entre las autoridades provinciales de privacidad.
Deficiencias estructurales y recomendaciones tras el ataque
La investigación identificó fallas como la ausencia de planes de respuesta a incidentes, la falta de cláusulas específicas de seguridad en los acuerdos con PowerSchool y la recopilación excesiva de información personal sensible sin calendarios de retención adecuados. Estas prácticas incrementaron la cantidad de datos expuestos y el riesgo para las personas afectadas.
El ataque se produjo mediante credenciales comprometidas pertenecientes a un antiguo subcontratista, utilizadas en varias oportunidades entre agosto y septiembre de 2024 y nuevamente en diciembre. Con ese acceso, el atacante descargó tablas del Sistema de Información Estudiantil (SIS) que contenían datos personales de estudiantes y docentes.
El informe recomienda limitar el acceso a información confidencial, revisar políticas internas de seguridad, renegociar los acuerdos con PowerSchool para asegurar cláusulas de privacidad adecuadas, actualizar los calendarios de retención de datos y fortalecer los protocolos de respuesta a incidentes. Las juntas escolares deberán demostrar la implementación de estas medidas en un plazo de seis meses.
Las autoridades destacaron la necesidad de un enfoque coordinado en todo el sector educativo para prevenir incidentes similares y mejorar la resiliencia cibernética. PowerSchool deberá presentar una evaluación de seguridad independiente antes de marzo de 2026.
Redacción de: Karen Rodríguez A.
