Más del 40 por ciento de los colegios y universidades utilizan Canvas.
Ilustración fotográfica de Justin Morrison/Inside Higher Ed | SuperCubePL/iStock/Getty Images
El sector de la educación superior recibió otro recordatorio durante el fin de semana de que sigue siendo un objetivo principal para los ciberdelincuentes.
Los piratas informáticos que robaron datos de Ticketmaster, Google y varias universidades de alto perfil comenzaron el mes de mayo violando Instructure; La empresa de tecnología educativa posee el sistema de gestión de aprendizaje más popular del país, Canvas, que es utilizado por el 41 por ciento de las instituciones de educación superior en América del Norte para impartir cursos.
El grupo criminal de extorsión ShinyHunters, que también ha sido vinculado a recientes filtraciones de datos en la Universidad de Pensilvania y en las universidades de Princeton y Harvard, afirmó que su ataque a Instructure afectó a casi 9.000 escuelas en todo el mundo (incluida una combinación de instituciones de educación K-12 e instituciones de educación superior) y comprometió la información de identificación personal de 275 millones de personas, incluidos estudiantes, profesores y personal.
Si bien Instructure dice que ha contenido el ataque, los expertos dicen que esto señala el valor agregado que ven los ciberatacantes al perseguir a proveedores externos en lugar de instituciones individuales.
«Esta violación sigue un patrón claro que hemos estado observando durante los últimos 18 meses», dijo Doug Thompson, arquitecto jefe de educación y director de ingeniería de soluciones de Tanium, una empresa de gestión de ciberseguridad. «En lugar de atacar campus individuales, los atacantes están ascendiendo en la cadena de suministro de datos hasta las plataformas que se encuentran debajo de miles de instituciones a la vez».
Esta no es la primera vez que ShinyHunters ha victimizado a los proveedores de tecnología educativa. El otoño pasado, piratas informáticos vinculados al grupo violaron Salesforce y reclamaron el robo de unos mil millones de registros de clientes en docenas de empresas, incluida Instructure, que tiene 8.000 instituciones asociadas. En marzo, ShinyHunters se infiltró en Infinite Campus, un sistema de información para estudiantes K-12 ampliamente utilizado. Y en abril, se atribuyó el mérito de acceder a datos internos de la editorial McGraw Hill.
«Es la matemática de un ladrón de bancos que acaba de descubrir dónde se detiene el camión blindado. ¿Por qué detener cien sucursales cuando el camión las visita a todas? El verdadero riesgo ahora está río abajo», dijo Thompson. «Con acceso a nombres reales, direcciones de correo electrónico e incluso mensajes entre profesores y estudiantes, la próxima ola de phishing no será genérica. Hará referencia a cursos y conversaciones reales, lo que hace que sea mucho más probable que tenga éxito».
‘PAGAR O FUGAR’
No está claro exactamente cómo ShinyHunters hackeó Instructure, pero a finales de la semana pasada los usuarios de Canvas comenzaron a informar interrupciones en sus claves de autenticación. Y poco después, Instructure recibió noticias de ShinyHunters: «PAGAR O FUGAR».
Si Instructure no pagaba, podría anticipar una filtración de «varios miles de millones de mensajes privados entre estudiantes y profesores y estudiantes y otros estudiantes involucrados, que contienen conversaciones personales y otros [personal identifying information]», escribió ShinyHunters en una carta de rescate publicada el 3 de mayo por el sitio web Ransomware.live, que rastrea y monitorea las víctimas de los grupos de ransomware y su actividad. Los piratas informáticos le dijeron a Instructure «que se comunicara antes del 6 de mayo de 2026 antes de que filtremos junto con varios molestos [digital] problemas que se le presentarán”, advirtiendo a la empresa que “tome la decisión correcta” para evitar convertirse en “el próximo titular”.
Si bien Instructure no respondió a Dentro de la educación superiorEn las solicitudes de comentarios sobre el rescate y otras preguntas específicas sobre el ataque, apuntó a un registro de actualizaciones de estado escrito por Steve Proud, director de seguridad de la información de Instructure. El viernes, Proud confirmó que la infracción fue “perpetrada por un actor de amenazas criminales” y dijo que la compañía estaba “investigando activamente este incidente con la ayuda de expertos forenses externos”.
Al día siguiente, Proud escribió que Instructure creía que había contenido el ataque y había tomado medidas para revocar credenciales privilegiadas y tokens de acceso asociados con los sistemas afectados, implementó parches para mejorar la seguridad del sistema, rotó ciertas claves—“aunque no hay evidencia de que hayan sido utilizadas indebidamente”—e implementó un mayor monitoreo en todas las plataformas.
«Si bien continuamos investigando activamente, hasta ahora, hay indicios de que la información involucrada consiste en cierta información de identificación de los usuarios de las instituciones afectadas, como nombres, direcciones de correo electrónico y números de identificación de estudiantes, así como mensajes entre los usuarios», escribió. «En este momento, no hemos encontrado evidencia de que contraseñas, fechas de nacimiento, identificadores gubernamentales o información financiera estuvieran involucrados. Si eso cambia, notificaremos a las instituciones afectadas».
Eso sigue los informes del medio de comunicación. Crisis tecnológicaque vio una muestra de datos robados de una universidad en Tennessee y otra en Massachusetts proporcionada por ShinyHunters. Según el medio, los datos de muestra incluían mensajes que contenían nombres, direcciones de correo electrónico y algunos números de teléfono, pero «no contenían contraseñas ni otros tipos de datos que, según Instructure, no se vieron afectados por la violación».
‘Objetivos ricos’
Instructure parece estar restaurando sus sistemas. A partir de la actualización más reciente publicada el lunes, Proud escribió que Canvas Data 2 y Beta «ahora deberían estar disponibles para todos los clientes», mientras que otra versión del LMS, Canvas Test, permanece en mantenimiento.
Aún así, el incidente sirvió de alerta para el sector.
«La violación de Canvas es un recordatorio de que ninguna plataforma es inmune: hay innumerables sistemas ampliamente utilizados que siguen siendo objetivos atractivos para actores maliciosos sofisticados, incluidos los Estados-nación», dijo Anton Dahbura, director ejecutivo del Instituto de Seguridad de la Información de la Universidad Johns Hopkins. «Las plataformas educativas son objetivos particularmente ricos dada la concentración de datos personales, financieros y de estudiantes internacionales».
Lo que es especialmente preocupante acerca de la violación de Canvas es que revela cómo “incluso las organizaciones que hacen lo correcto pueden quedar expuestas a través de proveedores confiables”, agregó. «Necesitamos un enfoque sistémico de la ciberseguridad. Defensas más sólidas, mejor responsabilidad de la cadena de suministro y reconocimiento de que las filtraciones de datos no son eventos aislados, sino parte de un panorama de amenazas estratégicas más amplio».
