Una vulnerabilidad en una app educativa expone los datos de millones de estudiantes indios

La información personal de escolares y profesores de Dikhsa pudo estar al alcance de los ciberdelincuentes durante todo un año.

Alberto Payo

Periodista

Guardar

dikhsa app india
dikhsa app india

Dikhsa, una app educativa que es operada en India por el Ministerio de Educación del país, ha estado exponiendo los datos personales de millones de sus usuarios durante un intervalo prolongado. 

La información personal de millones de estudiantes y profesores ha estado al acceso de cualquiera con pequeños conocimientos técnicos durante más de un año, según se hace eco Wired

Los archivos estaban almacenados en un servidor no seguro, conteniendo los nombres completos, números de teléfono y direcciones de email de más de 1 millón de maestros. Estos, además, trabajaban para miles de centros educativos distintos ubicados por todo el territorio indio. Otro archivo expuesto contenía 600.000 registros de estudiantes

Aunque datos de los escolares, como las direcciones de email o los números de teléfono, estaban parcialmente ocultos sí que eran visibles sus nombres completos o información sobre dónde fueron a la escuela, cuándo se inscribieron en un curso, etc. 

Dikhsa fue creada por la fundación EkStep, perteneciente a Nandan Nikekani, quien también ayudó a desarrollar el sistema de identificación nacional del país, Aadhar.

Esta app lanzada en 2017 cobró especial relevancia en el momento álgido de la pandemia. Cuando el Gobierno de india se vio obligado a cerrar las escuelas de todo el país, Dikhsa se convirtió en una herramienta fundamental para que muchos alumnos pudieran continuar accediendo a sus clases y materiales didácticos desde casa. 

Así se descubrió el agujero de seguridad

El problema fue hallado por un investigador de seguridad de Reino Unido, que ha pedido permanecer en el anonimao por no estar autorizado para hablar con los medios. Tras descubrir la brecha en junio se puso en contacto con el email de soporte de Dkhsa, alertándolos sobre la violación de datos, identificando la fuente y ofreciendo compartir más información.

Sin embargo, el investigador no obtuvo ninguna respuesta por parte de la compañía.

La app había tenido otros problemas de seguridad y privacidad en el pasado. Un informe de Human Rights Watch en 2022 encontró que Diksha podía rastrear la ubicación de los estudiantes y que también compartía datos con Google. 

Lo que la organización que vela por los derechos humanos también denunciaba es que el Gobierno indio había ordenado a los profesores y estudiantes que usaran Diksha sin darles ninguna otra alternativa, vulnerando la app los derechos de los pequeños.