Netcrook Logo
👤 SECPULSE
🗓️ 24 Mar 2026   🌍 North America

Brecha en Kaplan expone más de 230,000 identidades: Cómo un gigante de la preparación de exámenes reprobó el examen de ciberseguridad

Números de Seguro Social y licencias de conducir de más de 230,000 personas filtrados tras la infiltración de hackers en los servidores de Kaplan durante casi tres semanas.

Todo comenzó silenciosamente, con identidades robadas en lugar de respuestas incorrectas. Kaplan, líder global en servicios educativos, se ha convertido en el último ejemplo de advertencia en un año ya marcado por filtraciones de datos de alto perfil. Durante más de dos semanas a finales de 2025, atacantes merodearon los servidores de la compañía, llevándose los datos personales de más de 230,000 personas - muchos de ellos estudiantes y profesionales que confiaron a Kaplan su información más sensible.

Datos Rápidos

  • Se comprometieron los números de Seguro Social y licencias de conducir de más de 230,000 personas.
  • Los hackers accedieron a los servidores de Kaplan del 30 de octubre al 18 de noviembre de 2025.
  • Se enviaron cartas de notificación de la brecha en al menos siete estados, siendo Texas, Maine, Carolina del Sur y New Hampshire los más afectados.
  • Ningún grupo de hackers ha reclamado la autoría del ataque.
  • Kaplan enfrenta múltiples demandas colectivas tras la brecha.

La brecha salió a la luz cuando Kaplan notificó a los reguladores estatales la semana pasada, revelando que hackers habían infiltrado sus sistemas en el otoño de 2025. Según cartas enviadas a los afectados, se contactó a las autoridades tan pronto como se descubrió el incidente. Una investigación interna determinó que los atacantes mantuvieron acceso a los servidores de Kaplan durante casi tres semanas, extrayendo archivos que contenían nombres, números de Seguro Social y detalles de licencias de conducir.

Si bien Kaplan no ha revelado el número total de personas afectadas, las cifras reportadas a los reguladores estatales suman al menos 230,941 víctimas - repartidas entre Maine (19,075), Carolina del Sur (26,600), Texas (173,676) y New Hampshire (más de 11,600). El alcance real podría ser aún mayor, ya que solo algunos estados exigen la divulgación pública de los números de la brecha.

La base de clientes de Kaplan es enorme: alrededor de 1.2 millones de estudiantes dependen de su preparación para exámenes SAT, ACT y de posgrado. Los tentáculos de la compañía se extienden a la capacitación corporativa en 27 países y miles de organizaciones, haciendo que los datos expuestos no sean solo un problema estudiantil, sino también corporativo. Sin embargo, la brecha parece haberse centrado en nombres e identificadores emitidos por el gobierno, no en información de pagos ni registros académicos.

De manera notable, ningún grupo cibercriminal ha reclamado la autoría, dejando preguntas sobre los motivos y métodos de los atacantes. ¿Fue un ataque dirigido para robo de identidad, o una incursión oportunista en un mar de vulnerabilidades? El silencio de Kaplan sobre los detalles técnicos - como el origen de la intrusión y qué defensas fallaron - solo ha alimentado la especulación y frustración entre los afectados.

Con demandas colectivas ya acumulándose, la empresa matriz de Kaplan, Graham Holdings, valorada en 4,900 millones de dólares, enfrenta una presión creciente para responder por la brecha. Por ahora, miles de estudiantes y profesionales deben vigilar sus informes crediticios y esperar que sus datos robados no se traduzcan en una vida de fraude y ansiedad.

La brecha de Kaplan subraya una realidad contundente: incluso las instituciones educativas de confianza no son inmunes a los ciberataques. En un mundo digital donde los datos personales son la nueva moneda, ninguna empresa de preparación de exámenes puede permitirse reprobar sus exámenes de ciberseguridad. Las lecciones de esta brecha resonarán mucho más allá del aula.

WIKICROOK

  • Brecha de datos: Una brecha de datos ocurre cuando partes no autorizadas acceden o roban información privada de una organización, lo que suele llevar a la exposición de datos sensibles o confidenciales.
  • Número de Seguro Social (SSN): Un Número de Seguro Social (SSN) es un identificador único en EE.UU. utilizado para impuestos, empleo e identificación. Es altamente sensible si se ve comprometido.
  • Carta de notificación de brecha: Una carta de notificación de brecha informa a las personas que sus datos personales fueron comprometidos en un incidente de seguridad y explica las acciones de protección recomendadas.
  • Demanda colectiva: Una demanda colectiva permite que un grupo con quejas legales similares demande a una organización en conjunto, agilizando el proceso y compartiendo recursos.
  • Robo de identidad: El robo de identidad es un delito en el que alguien utiliza los datos personales de otra persona sin consentimiento, a menudo para cometer fraude o robo financiero.
Kaplan breach data security identity theft
SECPULSE SECPULSE
SOC Detection Lead
← Back to news