SALT LAKE CITY (KUTV) — Canvas, un sistema de gestión del aprendizaje, experimentó un ciberataque que potencialmente comprometió la información personal de millones de usuarios.
La Junta de Educación del Estado de Utah dijo a 2News que la herramienta se utiliza ampliamente en las escuelas de Utah. Contiene registros de los cursos, tareas y calificaciones. También se utiliza para enviar mensajes entre estudiantes y profesores y entre profesores y padres.
«Tenemos un contrato estatal que permite a las escuelas K-12 utilizar el producto si así lo desean», dijo Katy Challis, directora de Privacidad de la Junta de Educación del Estado de Utah. «No todas las escuelas usan Canvas, pero yo diría que la mayoría sí».
MÁS | Estafa en Utah genera advertencia después de que las personas que llaman piden a las víctimas que corten tarjetas y envíen chips por correo
Varias instituciones de educación superior también utilizan el software.
Challis confirmó que ha estado en comunicación con Instructure, la empresa matriz de Canvas, pero la información sigue siendo limitada.
«Actualmente no tenemos la información [of which schools or districts were impacted] «En este momento», dijo Challis. «Actualmente, los distritos escolares y las escuelas autónomas nos informan si se han visto afectados por este incidente».
Los datos robados incluyen nombres, direcciones de correo electrónico, números de identificación de estudiantes y mensajes enviados a través del programa.
La información financiera, las fechas de nacimiento, los números de seguro social y las contraseñas no se vieron comprometidos.
«El riesgo de fraude de identidad como resultado de este incidente es probablemente menor de lo que sería si se hubieran robado elementos de datos más sensibles», dijo Challis.
Sin embargo, reconoció que esto todavía puede resultar inquietante para padres, profesores y estudiantes.
«Nadie quiere que sus datos salgan a la web oscura o que estén en manos de un tercero que no conoce o en el que no confía», dijo Challis.
Según varias publicaciones especializadas en tecnología, el conocido grupo de hackers «ShinyHunters» se atribuyó el mérito del ataque.
En el oscuro sitio web del grupo de cibercrimen, afirmaron:
«Casi 9.000 escuelas en todo el mundo afectadas. 275 millones de datos de personas que van desde estudiantes, profesores y otro personal que contienen PII. Varios miles de millones de mensajes privados entre estudiantes y profesores y estudiantes y otros estudiantes involucrados, que contienen conversaciones personales y otra PII».
Challis dijo que Instructure les informó que el incidente se resolvió y que investigarán más a fondo el alcance.
«Aún no conocemos los detalles sobre cuál era la vulnerabilidad y sospechamos que la información llegará próximamente», dijo.
Según la ley de Utah, se debe notificar a los padres. Challis dijo que esto probablemente sucederá en las próximas semanas o meses una vez que se comprenda más información sobre la situación.
«Estoy seguro de que Instructure está revisando sus registros y cualquier registro que tenga para identificar exactamente qué elementos de datos fueron comprometidos, para qué escuela y para cuántos estudiantes», dijo Challis.
Dijo que si bien el riesgo de robo de identidad es muy bajo, estos datos pueden usarse para alimentar estafas de phishing.
«Quiero que los padres sepan que las escuelas se toman en serio la protección de datos y que pronto se comunicarán con los padres con más información sobre el incidente», dijo Challis.
_____
