Matthew Lane, el rostro detrás del ataque que forzó a PowerSchool a pagar un rescate millonario: “No podía parar, estaba adicto al hacking”

En 2023, una brecha de datos, considerada la mayor en la historia de la educación en Estados Unidos, puso en alerta a las autoridades más altas: un ataque dirigido contra PowerSchool, proveedor líder de tecnología educativa que opera en cerca de 90 países, expuso información sensible de 60 millones de niños y 10 millones de docentes.

Las reuniones urgentes en la Sala de Situación de la Casa Blanca, comunicadas por el medio ABC News, evidenciaron la magnitud del incidente.

El responsable, Matthew Lane, un joven de 20 años, habló por primera vez antes de ingresar en una prisión federal de Connecticut para cumplir cuatro años de condena y afrontar una restitución de más de USD 14 millones.

Un ataque que paralizó al sector educativo y forzó el pago de un rescate millonario

El Departamento de Justicia de Estados Unidos detalló que la intrusión a PowerSchool permitió el acceso a nombres, números de la seguridad social, información familiar, calificaciones académicas y datos médicos de los afectados. Para evitar la divulgación masiva de esta información, PowerSchool pagó casi USD 3 millones en criptomonedas como rescate, acción que la propia compañía calificó como una “decisión muy difícil”, pero asumió como “deber”.

Un portavoz de PowerSchool informó a ABC News que no la totalidad de los clientes fue afectada, aunque no ofreció una cifra precisa.

Tras el pago, una parte de los datos sustraídos quedó en poder de otro miembro vinculado al grupo, lo que motivó nuevos intentos de extorsión a distritos escolares en Estados Unidos y Canadá, según declaraciones de funcionarios federales recogidas por ABC News.

Descubierta la causa: credenciales obtenidas de un contratista y utilizadas para acceder a los sistemas mediante un servidor alquilado en Ucrania. El FBI, la agencia federal de investigación, destinó recursos prioritarios a esclarecer lo ocurrido.

En abril, agentes irrumpieron en la residencia universitaria de Lane en Massachusetts, incautando dispositivos y bienes adquiridos con fondos ilícitos. Lane relató a ABC News que sintió “un alivio” tras su detención: “Estoy sinceramente agradecido con el FBI. Después de que se fueron, pensé: ‘Se acabó... terminé con esto’”.

En junio, el joven se declaró culpable de acceso ilegal y extorsión informática, imputaciones a las que se sumaron delitos adicionales por otra brecha.

La jueza de distrito federal Margaret Guzman concluyó: “Si ponemos la computadora en su cuarto, el teléfono en su mano, es como un arma. Debemos encontrar la forma de ayudar a nuestros hijos a usar la tecnología de manera constructiva”.

Cómo operan los hackers adolescentes y las respuestas institucionales

El caso de Lane evidencia los riesgos que plantea una generación con acceso temprano y extendido a plataformas digitales. El agente especial Doug Domin, responsable de la investigación para el FBI en Boston, detalló a ABC News: “Hemos tenido casos con individuos de tan solo 14 años entrevistados por el FBI”.

El acceso facilitado a herramientas de hacking y una cultura digital donde la ciberdelincuencia recibe reconocimiento generaron oportunidades para quienes no cuentan con altos conocimientos técnicos.

Según Fergus Hay, director ejecutivo de The Hacking Games, organización europea de prevención del delito informático juvenil, las redes sociales y los videojuegos permiten tanto la capacitación como el reclutamiento de posibles atacantes, que son captados por grupos delictivos que simulan ser pares y prometen recompensas y nuevas técnicas de intrusión.

Roblox, la plataforma de juegos donde Lane inició su incursión en el hacking a los nueve años, explicó en un comunicado a ABC News que la ciberdelincuencia señala un desafío constante en la industria y sostuvo que colabora regularmente con la policía.

Desde junio, anunció la creación de cuentas con verificación de edad y controles más estrictos sobre contenido y comunicaciones entre usuarios jóvenes. La compañía también incorporó a varios jóvenes que participaron en programas de cacería de vulnerabilidades gestionados por HackerOne, empresa especializada en ciberseguridad y pruebas de vulnerabilidad.

El daño a las víctimas, según Domin, se proyecta a largo plazo: “Van a ser revictimizados cada vez que ese conjunto de datos reaparezca en la red. Tendrán que mitigar este problema toda su vida”. PowerSchool, ante ello, ofreció dos años de monitoreo de crédito e identidad para los afectados.

Neurodiversidad y reinserción: alternativas en ciberseguridad

Lane reconoció en conversación exclusiva con ABC News las razones que lo guiaron al delito: aislamiento en la infancia, los primeros contactos con foros de hackers, el deseo de reconocimiento en grupos donde circulan lujos y complicidades ilegales, el consumo de drogas para silenciar la culpa y el impulso adictivo de vulnerar sistemas.

Sobre su etapa más activa, Lane puntualizó que a los 15 años había atacado “objetivos grandes” con una herramienta desarrollada en conjunto y utilizada para identificar vulnerabilidades en webs de empresas Fortune 500.

The Hacking Games, grupo integrado por emprendedores y expertos, impulsa una campaña educativa y la plataforma Hacking Aptitude AI Platform (HAPTAI), dirigida a identificar talento neurodivergente y orientar su potencial hacia empleos legales en ciberseguridad.

Fergus Hay remarcó: “La neurodiversidad suele verse como una desventaja, pero estas personas ven soluciones a los problemas que otros no pueden encontrar”.

Lane, ahora en prisión, busca servir de advertencia. Según declaró a ABC News: “Espero convencer al menos a una persona de no seguir mi camino... aunque solo fuera una, me sentiría satisfecho“. Asegura que su rehabilitación avanzó significativamente: ”En los últimos tres meses en prisión he progresado más en mi bienestar mental y general que en los últimos seis años“. Domin confirmó a ABC News que la investigación sobre otros posibles implicados continúa.