Los hackers han publicado una enorme lista de instituciones educativas supuestamente afectadas por la creciente brecha de datos del LMS de Canvas, con nombres que incluyen la Universidad de Harvard, el MIT, la Universidad de Oxford y miles de escuelas en varios países.
La filtración está vinculada al grupo de ciberdelincuencia ShinyHunters, que afirma haber vulnerado sistemas conectados a Canvas, la plataforma de gestión de aprendizaje ampliamente utilizada desarrollada por Instructure. Los atacantes alegan que el incidente afecta a casi 9.000 instituciones y hasta 275 millones de personas en todo el mundo.
Según archivos publicados por el grupo, aproximadamente 8.809 organizaciones educativas aparecen en la lista de víctimas filtradas. Las instituciones abarcan al menos 10 países, la mayoría ubicada en Estados Unidos, seguida de Australia, Reino Unido y partes de Europa.
Entre las organizaciones supuestamente afectadas se encuentran universidades reconocidas a nivel mundial, incluyendo Harvard, Oxford, MIT, Princeton y la Universidad de Pensilvania. La lista también incluye institutos, instituciones vocacionales y varias entidades corporativas que se cree utilizan Canvas para programas de formación de empleados.
ShinyHunters afirma que la brecha expuso grandes volúmenes de datos educativos sensibles, incluidos nombres, direcciones de correo electrónico, números de identificación de estudiantes y miles de millones de mensajes privados intercambiados entre estudiantes, profesores y administradores a través de la plataforma.
Instructure ha confirmado un incidente de ciberseguridad relacionado con Canvas, pero no ha verificado la magnitud de las afirmaciones de los atacantes. La empresa afirmó que la información expuesta puede incluir datos identificativos y comunicaciones de usuarios, aunque afirmó que actualmente no hay pruebas de que contraseñas, datos financieros, fechas de nacimiento o identificadores emitidos por el gobierno hayan sido comprometidos.
La empresa también afirmó que ha revocado credenciales privilegiadas, rotado las claves de seguridad, parcheadado los sistemas afectados y aumentado la monitorización, mientras trabaja con especialistas forenses externos para investigar el incidente.
La brecha ha generado preocupación en todo el sector educativo porque Canvas es uno de los sistemas de gestión del aprendizaje más utilizados en el mundo. Más del 40% de las universidades y colegios dependen, según se informa, de la plataforma para trabajos académicos, tareas, mensajería y gestión digital del aula.
Varias universidades y colegios en todo el mundo ya han reconocido haber recibido notificaciones relacionadas con el incidente. Instituciones educativas de Australia, Suecia y otros países confirmaron que están evaluando la posible exposición relacionada con datos de estudiantes y personal.
Las autoridades y los administradores escolares están especialmente preocupados por la posible exposición de comunicaciones privadas dentro de los entornos educativos. Los investigadores advierten que conversaciones filtradas, direcciones de correo electrónico y registros institucionales podrían ser explotados en ataques de phishing, campañas de robo de identidad o operaciones de ingeniería social dirigidas.
El incidente también pone de manifiesto los crecientes riesgos de ciberseguridad que enfrentan las instituciones educativas. Las universidades y las escuelas se han convertido en objetivos cada vez más atractivos para los grupos cibercriminales porque almacenan grandes cantidades de datos personales mientras operan a menudo con entornos informáticos fragmentados y recursos de seguridad limitados.
ShinyHunters se ha consolidado como uno de los grupos de ciberdelincuencia más activos centrados en la extorsión en los últimos años, atacando repetidamente servicios en la nube, proveedores SaaS, universidades y plataformas empresariales. El grupo ha estado vinculado anteriormente a brechas que afectan a entornos de Salesforce, empresas de telecomunicaciones, instituciones financieras y agencias gubernamentales.
Los investigadores afirman que el grupo combina frecuentemente el robo de datos con tácticas de extorsión pública, amenazando con filtrar información robada a menos que las víctimas acepten negociar. En muchos casos, los atacantes publican nombres de víctimas o conjuntos de datos parciales para aumentar la presión y atraer la atención de los medios.
El incidente de Canvas parece encajar en ese patrón. ShinyHunters ha seguido publicando información adicional relacionada con la brecha, incluidas listas de instituciones presuntamente afectadas, advirtiendo a las organizaciones que contacten con el grupo antes de que se filtren más datos al público.
Los analistas de seguridad afirman que la verdadera magnitud de la brecha sigue sin estar clara porque la verificación independiente de las afirmaciones de los atacantes sigue en curso. Sin embargo, si las cifras proporcionadas por ShinyHunters resultan precisas, el incidente podría convertirse en una de las mayores brechas de datos registradas en el sector educativo.