El propietario de Canvas, Instructure, ha confirmado que pagó a hackers tras el enorme ciberataque que interrumpió escuelas y universidades durante la semana de exámenes finales y puso de manifiesto preocupaciones sobre posibles datos de estudiantes robados.
El ataque, reivindicado por el grupo de ciberdelincuencia ShinyHunters, provocó interrupciones generalizadas en la plataforma de gestión de aprendizaje Canvas a principios de este mes, bloqueando el acceso a estudiantes y profesores a los cursos, trabajos, materiales de clase y exámenes en miles de instituciones de todo el mundo.
En un public statement , Instructure reconoció que inició negociaciones con los atacantes y finalmente pagó la demanda de rescate para evitar la publicación de datos robados. La empresa afirmó que la decisión se tomó tras consultar con expertos en ciberseguridad y a las fuerzas del orden.
La empresa no ha revelado públicamente cuánto dinero se pagó ni si los atacantes aportaron pruebas de que los datos robados fueron eliminados posteriormente.
La brecha llegó en uno de los peores momentos posibles para las instituciones educativas, durante los exámenes finales y la temporada de graduación. Estudiantes de Norteamérica, Europa, Australia y Asia informaron que no pudieron acceder a materiales de estudio, entregar tareas o completar evaluaciones, ya que las escuelas deshabilitaron temporalmente el acceso a Canvas durante el incidente.
Varias universidades retrasaron los exámenes o ampliaron los plazos tras la interrupción de los sistemas de asignaturas. Algunas instituciones desconectaron completamente Canvas de las redes internas mientras investigaban la posible exposición de datos de estudiantes y personal.
ShinyHunters afirmó que el ataque afectó a casi 9.000 escuelas y expuso datos vinculados a aproximadamente 275 millones de usuarios en todo el mundo. Según el grupo, la información robada incluía nombres, direcciones de correo electrónico, números de identificación de estudiantes y miles de millones de mensajes privados intercambiados a través de los sistemas Canvas.
Instructure afirmó anteriormente que no había pruebas de que contraseñas, información financiera, números de la Seguridad Social o identificadores emitidos por el gobierno fueran comprometidos. La empresa atribuyó la brecha a problemas relacionados con cuentas “Free-For-Teacher” vinculadas a la plataforma.
Durante el incidente, algunos usuarios que intentaron iniciar sesión en Canvas fueron supuestamente redirigidos a mensajes de rescate publicados por ShinyHunters exigiendo negociaciones antes de la fecha límite de la filtración. Los atacantes amenazaron con hacer pública la publicación de datos robados si no se realizaba el pago.
La decisión de pagar a los hackers probablemente generará debate entre expertos y educadores en ciberseguridad. Las fuerzas del orden generalmente desaconsejan el pago de rescates porque pueden fomentar futuros ataques y no ofrecen garantía de que los datos robados sean realmente destruidos.
Aun así, las organizaciones que enfrentan incidentes de extorsión a gran escala suelen valorar el riesgo de que información sensible se haga pública, especialmente cuando millones de estudiantes, profesores y personal pueden verse afectados.
El incidente se ha convertido en uno de los mayores ciberataques conocidos dirigidos al sector educativo y ha reavivado las preocupaciones sobre la creciente dependencia de plataformas tecnológicas educativas centralizadas. Los investigadores de seguridad advierten que los grandes sistemas de gestión del aprendizaje se han convertido en objetivos cada vez más atractivos porque almacenan enormes cantidades de datos personales e institucionales sensibles en un solo lugar.
También quedan dudas sobre si todos los datos robados fueron protegidos tras el pago. Los expertos en ciberseguridad señalan que los grupos de ransomware y extorsión suelen conservar copias de información robada incluso después de concluir las negociaciones, dejando a las víctimas expuestas a futuras filtraciones o reventa en foros clandestinos.
Instructure afirmó que sigue colaborando con investigadores forenses y agencias policiales, mientras vigila cualquier señal de que los datos robados puedan seguir apareciendo en línea.