Filtración masiva de datos en Infinite Campus expone información de 137.000 funcionarios escolares en Estados Unidos

Qué pasó

El incidente de seguridad fue detectado en marzo de 2026, cuando Infinite Campus notificó a sus clientes sobre una filtración originada en su instancia de Salesforce, sistema utilizado para gestionar información de contacto de funcionarios escolares. Aunque la empresa no atribuyó inicialmente el ataque a un grupo específico, describió al atacante como parte de una agrupación reconocida por orientar sus operaciones contra cuentas de Salesforce de cientos de compañías.

Posteriormente, el grupo ShinyHunters, dedicado a la extorsión mediante robo y publicación de datos, reivindicó la autoría del ataque a través de su sitio de filtración y divulgó un archivo de 1,2 gigabytes que, según la organización, contiene registros de Salesforce con información de identificación personal y datos corporativos internos de la firma.

El servicio de monitoreo de brechas Have I Been Pwned analizó los archivos publicados y confirmó que la filtración expuso datos de 137.100 cuentas, incluyendo nombres únicos, direcciones de correo electrónico, empleadores, cargos, números telefónicos, direcciones físicas, nombres de usuario y tickets de soporte técnico. La firma agregó que la mayoría de los registros corresponden a información de directorio habitualmente disponible en los sitios web de los establecimientos educacionales.

Infinite Campus es una empresa de tecnología educativa que provee sistemas de información estudiantil a más de 3.200 distritos escolares en Estados Unidos, administrando datos de aproximadamente 11 millones de estudiantes en 46 estados. Hasta el cierre de esta edición, la compañía no ha informado sobre evidencia de compromiso en sus bases de datos de clientes.

El ataque presenta similitudes operativas con la brecha sufrida por PowerSchool en diciembre de 2024, aunque con un impacto significativamente menor: aquel incidente afectó a 62 millones de estudiantes y derivó en la condena a cuatro años de prisión para un estudiante universitario de 19 años, quien se declaró culpable en mayo de 2025.

Contexto

El episodio se enmarca en una oleada de ataques dirigidos contra clientes corporativos de Salesforce, plataforma de gestión de relaciones con clientes adoptada masivamente por empresas de diversos sectores. ShinyHunters ha sido uno de los grupos más activos en esta modalidad de operación, la cual aprovecha configuraciones inadecuadas o vulnerabilidades en integraciones con Salesforce para extraer grandes volúmenes de datos y posteriormente exigir rescates bajo amenaza de publicación.

El sector EdTech ha experimentado una expansión sostenida en los últimos años, consolidándose como uno de los segmentos más sensibles desde la perspectiva de ciberseguridad debido a la naturaleza de la información que administra: datos de menores de edad, registros académicos, información financiera de familias y antecedentes del personal docente. La concentración de estos datos en plataformas centralizadas ha transformado a proveedores como Infinite Campus, PowerSchool y otros actores del segmento en objetivos de alto valor para organizaciones criminales.

La utilización de Salesforce como vector de ataque no es un fenómeno nuevo, pero su frecuencia ha aumentado de manera considerable. Investigaciones recientes han documentado cómo actores de amenazas vinculan la manipulación de cuentas en plataformas SaaS con cadenas de suministro más amplias, lo que incrementa el efecto multiplicador de cada brecha individual.

La respuesta regulatoria en Estados Unidos ha evolucionado de forma paralela, con marcos normativos como FERPA (Family Educational Rights and Privacy Act) que establecen obligaciones específicas para entidades que manejan datos educacionales. No obstante, la implementación efectiva de estos estándares depende en gran medida de la madurez de los proveedores y de los recursos destinados a seguridad dentro de las propias instituciones educacionales.

Impacto para empresas chilenas

Si bien Infinite Campus no tiene presencia directa en el mercado chileno, el caso reviste relevancia para empresas y pymes locales que utilizan plataformas de Salesforce u otros sistemas de gestión en la nube para administrar información de clientes, proveedores y colaboradores. La metodología empleada por ShinyHunters es replicable contra cualquier organización que mantenga instancias mal configuradas o que no supervise adecuadamente los privilegios de acceso.

En el contexto nacional, la adopción de herramientas SaaS por parte de empresas chilenas ha crecido de forma sostenida, particularmente en sectores como educación privada, salud, retail y servicios financieros. Esto implica que un porcentaje creciente de información sensible reside en plataformas administradas por terceros, lo que traslada parte de la responsabilidad de protección a los proveedores, pero mantiene la obligación legal y reputacional sobre las empresas usuarias.

La Agencia de Protección de Datos Personales, en el marco de la nueva normativa que comenzó su implementación gradual, ha reiterado la necesidad de que las organizaciones realicen evaluaciones de riesgo periódicas sobre sus proveedores tecnológicos y establezcan cláusulas contractuales que aseguren niveles adecuados de protección. Casos como el de Infinite Campus ilustran la materialización de riesgos que hasta hace algunos años parecían lejanos.

Para las pymes chilenas, el principal aprendizaje es que la seguridad de la cadena de suministro tecnológico constituye un eje estratégico y no un aspecto meramente técnico. La selección de proveedores debe incorporar criterios de seguridad, auditorías independientes y protocolos de notificación ante incidentes, independientemente del tamaño de la organización.

Qué sigue

Se espera que Infinite Campus entregue en las próximas semanas un informe técnico más detallado sobre las circunstancias del ataque y las medidas de mitigación implementadas. La compañía podría enfrentar revisiones regulatorias en diversas jurisdicciones, dado el alcance de la base de usuarios afectada y la naturaleza de los datos comprometidos.

A nivel sectorial, el caso probablemente acelere la adopción de estándares más exigentes de seguridad por parte de los proveedores EdTech, así como una mayor presión de los distritos escolares hacia mecanismos de cifrado avanzado, autenticación multifactor obligatoria y monitoreo continuo de accesos. La tendencia apunta a que la gestión de identidades y la protección de instancias SaaS se consolidarán como prioridades presupuestarias dentro de la industria educacional durante los próximos ciclos de planificación tecnológica.