Una investigación liderada por el medio especializado TechCrunch ha revelado una brecha de seguridad masiva en Ravenna Hub, una plataforma de gestión de admisiones escolares utilizada por familias para inscribir a sus hijos en miles de instituciones educativas. El fallo expuso la información privada de más de 1.6 millones de registros, incluyendo datos sensibles de menores de edad.
Una vulnerabilidad "de manual"
Según reportó el Consejo de Seguridad de Información y Ciberseguridad (IAC), la falla técnica es conocida como IDOR (Insecure Direct Object Reference). Lo alarmante del caso es su simplicidad: cualquier usuario registrado en la plataforma podía acceder a los perfiles de otros estudiantes simplemente cambiando un dígito de forma secuencial en la barra de direcciones del navegador.
Sin necesidad de herramientas de hackeo sofisticadas, la exposición incluía:
Nombres completos y fotografías de los menores.
Fechas de nacimiento y direcciones de residencia.
Historial escolar e información sobre hermanos.
Datos de contacto (correo y teléfono) de los padres de familia.
Alcance y respuesta de la empresa
TechCrunch verificó la magnitud del problema creando una cuenta de prueba, mediante la cual confirmaron el acceso potencial a millones de registros previos. Tras alertar a VenturEd, la empresa matriz de la plataforma, el fallo fue corregido el mismo miércoles de la semana pasada.
Sin embargo, la respuesta corporativa ha sido recibida con escepticismo por expertos en privacidad. Nick Laird, CEO de la compañía, no se ha comprometido formalmente a notificar a las familias afectadas. Hasta el momento, la empresa no ha confirmado si tiene la capacidad técnica para determinar si actores malintencionados accedieron a la base de datos antes de que se aplicara el parche de seguridad.
Incertidumbre y responsabilidad
La falta de transparencia institucional es uno de los puntos que más preocupa a los especialistas. "Plataformas que manejan datos de menores tienen una responsabilidad mayor; las familias confían en ellas con lo más valioso que tienen", señaló el Consejo IAC en su reporte.
A día de hoy, persisten interrogantes críticas sobre si Ravenna Hub cuenta con un responsable de ciberseguridad dedicado o si la plataforma se ha sometido alguna vez a auditorías externas. El incidente pone de relieve, una vez más, la fragilidad de la infraestructura digital educativa y la necesidad de leyes de protección de datos más estrictas que obliguen a la notificación inmediata tras un incidente de esta naturaleza.