Exfuncionario de distrito escolar en Iowa es condenado a 21 meses de prisión por ciberataques sostenidos contra su antiguo empleador

Qué pasó

Ezekiel Dean Potter, de 34 años, se desempeñó como analista senior de soporte informático en el Saydel Community School District de Des Moines, Iowa, entre mayo de 2022 y abril de 2023. Tras concluir su relación laboral con el distrito, conservó credenciales de acceso que le permitieron ejecutar durante los siguientes 21 meses una serie de ataques cibernéticos sostenidos contra los sistemas del establecimiento.

De acuerdo con los documentos judiciales, la ofensiva se inició poco después de su salida, cuando la cuenta oficial de Facebook del distrito fue eliminada. Posteriormente, Potter apuntó contra la cuenta de Apple School Manager, donde borró cuentas de usuarios, contraseñas, números telefónicos, información de facturación y datos del servidor de gestión de dispositivos. La acción dejó a la institución sin administración de sus MacBooks e iPads durante aproximadamente una semana.

En enero de 2025, el exfuncionario accedió al sistema de gestión de aprendizaje Schoology mediante una cuenta de administrador de Google, eliminando la cuenta de un analista de TI y afectando el acceso docente a la plataforma por cerca de dos horas. Una semana más tarde, ingresó a otra cuenta de administrador y borró nueve cuentas de Gmail pertenecientes a trabajadores actuales y exfuncionarios, entre ellos el director de TI y el superintendente del distrito.

La fiscalía estadounidense describió a Potter en el memorando de sentencia como "una plaga para el Saydel Community School District", señalando que bloqueó reiteradamente el acceso de los empleados a plataformas educativas y modificó sin autorización nombres de usuario y contraseñas de múltiples servicios. Los ataques provocaron costos de remediación por decenas de miles de dólares y alteraron de forma sostenida la operación académica. Frente a las alertas de seguridad de Google, Potter optó por utilizar servicios de red privada virtual (VPN) para ocultar su rastro, pero los investigadores federales vincularon parte de la actividad a direcciones IP asociadas a sus empleadores posteriores: Casey's Store Support Center y The Printer Inc. (TPI), esta última abandonada en enero del presente año.

Contexto

El caso se inscribe en una tendencia creciente de amenazas internas maliciosas en el sector público y educacional de Estados Unidos, donde los distritos escolares han sido blanco preferido de ciberataques debido a presupuestos de seguridad limitados y a una alta dependencia de plataformas en la nube de terceros como Google, Apple y Microsoft. Investigaciones de la industria han documentado que una proporción significativa de las intrusiones exitosas contra instituciones educacionales proviene de credenciales legítimas previamente obtenidas por exempleados o proveedores.

Expertos en ciberseguridad coinciden en que el expediente Saydel ilustra una falencia habitual en las políticas de offboarding corporativo: la revocación incompleta o tardía de privilegios de acceso a sistemas críticos, aplicaciones SaaS y consolas de administración. En este caso, el exanalista conservó durante casi dos años la capacidad de manipular cuentas, plataformas de aprendizaje y dispositivos gestionados, lo que multiplicó el impacto de cada intrusión.

El expediente también pone de relieve el riesgo operacional asociado a proveedores externos de gestión de identidades y dispositivos, como Apple School Manager o los paneles de Google Workspace, cuya configuración depende en gran medida de controles administrativos centralizados. Un solo compromiso de una cuenta con privilegios elevados puede traducirse en la pérdida simultánea de correo electrónico, herramientas pedagógicas, datos de facturación y administración de flotas de equipos, afectando la continuidad del servicio educativo.

Impacto para empresas chilenas

Para el ecosistema empresarial chileno, el caso constituye un recordatorio sobre la necesidad de robustecer los protocolos de desvinculación tecnológica, particularmente en medianas empresas y organismos públicos que suelen depender de uno o dos administradores de sistemas con accesos amplios a plataformas críticas. La revocación inmediata de credenciales, la rotación de contraseñas y la desactivación de tokens de autenticación deberían formar parte de un procedimiento estandarizado al término de cualquier relación laboral.

Adicionalmente, el expediente subraya la urgencia de implementar principios de mínimo privilegio y de autenticación multifactor en el acceso a consolas de administración, especialmente en servicios de Google Workspace, Microsoft 365 y plataformas de gestión de dispositivos, cuyo uso se ha masificado en el mercado local. La concentración de privilegios en cuentas individuales, sin segregación de funciones ni monitoreo de actividad anómala, multiplica el riesgo de incidentes prolongados como el observado en Iowa.

Finalmente, el caso refuerza la relevancia de contar con registros de auditoría, alertas automatizadas de accesos sospechosos y herramientas de detección y respuesta gestionadas, soluciones que en Chile han experimentado creciente demanda por parte de empresas proveedoras de servicios de ciberseguridad, en línea con la entrada en vigencia de la Ley Marco de Ciberseguridad y la creciente presión regulatoria sobre el sector público y las empresas de servicios esenciales.

Qué sigue

Se espera que la sentencia, además de los 21 meses de prisión, incluya períodos de supervisión posterior y eventuales restituciones económicas al distrito afectado. El caso podría convertirse en referencia para nuevas discusiones regulatorsias en Estados Unidos sobre la obligación de notificar y revocar accesos de exempleados en instituciones educacionales.

Para el mercado corporativo, el expediente refuerza la tendencia a invertir en soluciones de gestión de identidades, monitoreo de comportamiento de usuarios privilegiados y automatización de procesos de offboarding, áreas donde proveedores locales y globales están intensificando su oferta ante una creciente conciencia del riesgo de amenazas internas.