Pearson, esa multinacional británica que ha metido sus tentáculos en todo lo que huela a educación —desde libros de texto hasta plataformas digitales que parecen diseñadas por fans del Internet Explorer— ha sido víctima de un ciberataque. ¿El vector de entrada? Un GitLab expuesto con credenciales durmiendo plácidamente en un archivo .git/config. En 2025. Bravo.
La puerta estaba abierta: credenciales hardcodeadas y Git mal gestionado
No hablamos de un ataque sofisticado al estilo “Misión Imposible”, sino de un fallo básico de higiene digital: un token de acceso personal (PAT) dejado a la vista como si nada. Un desarrollador lo metió en un repositorio, y luego ese repo terminó expuesto públicamente. Los atacantes, ni cortos ni perezosos, lo usaron como llave maestra para entrar a sistemas internos, robar teras de datos y hacer picnic con AWS, GCP, Snowflake y Salesforce.
Y esto no es un caso aislado. Ya lo vimos en 2024 con Internet Archive. Exponer un .git/config es el nuevo equivalente a dejar la llave puesta en la cerradura, con un cartel que dice “pase usted”.
¿Qué se robaron? Todo menos el café del break room
Pearson intenta minimizar el incidente diciendo que los datos sustraídos eran “en su mayoría legados”. ¿Qué demonios significa “datos legados” en una empresa que todavía tiene sistemas de los 90 en producción? Spoiler: información de clientes, tickets de soporte, código fuente y documentación financiera, entre otras joyas. Eso sí, insisten en que “no afectó a empleados”. Un consuelo enorme para los millones de estudiantes y universidades cuyos datos están ahora en circulación.
No es casual que eviten dar cifras o hablar de notificaciones. Tampoco han confirmado ni desmentido un posible pago de rescate. Transparencia nivel Pearson.
El problema no es el ataque: es la cultura DevOps de PowerPoint
Este incidente es otro recordatorio de que muchas grandes corporaciones han adoptado DevOps como palabra de moda, no como cultura. ¿Qué clase de revisión de seguridad pasa por alto credenciales embebidas en código? ¿Qué auditoría ignora un .git/config visible desde el espacio?
Lo peor es que la exposición inicial fue en enero, y durante meses los atacantes tuvieron acceso persistente. ¿Qué hacían los equipos de seguridad? ¿Jugar al Wordle?
“Legacy data”: la excusa favorita de las empresas torpes
El término “datos legados” se ha convertido en el nuevo “eran backups sin importancia”. Pero cuando ese legado incluye nombres, correos, historiales académicos y acceso a plataformas educativas, estamos hablando de otra cosa. Pearson, que presume de ser una autoridad en el mundo del aprendizaje digital, no puede permitirse fallos así. Aunque visto lo visto, puede y lo ha hecho.
Lo que nadie te cuenta sobre esto
-
Git mal configurado es el nuevo S3 mal configurado: Y seguimos sin aprender.
-
Hardcodear credenciales es tan 2005 como MySpace: Pero sigue pasando.
-
Las “multinacionales educativas” son dinosaurios tecnológicos: Pearson no es la excepción.
-
La transparencia corporativa en ciberseguridad es un unicornio: Todo se minimiza, todo se maquilla.
-
Están más preocupados por el branding que por los backups: Y así nos va.
Conclusión clara como el agua (de cloaca)
Pearson no ha sido víctima de un grupo élite de hackers, sino de su propia desidia técnica. Mientras sigan usando prácticas de seguridad que ni un bootcamp aprueba, estos incidentes no solo seguirán ocurriendo: se normalizarán. Y cuando la educación global está en manos de empresas así, la lección más importante es esta: la ignorancia digital se paga, con datos y con vergüenza.
0 Comentarios