Más del 40% de los colegios y universidades utilizan Canvas.
Ilustración fotográfica de Justin Morrison/Inside Higher Ed | SuperCubePL/iStock/Getty Images
El sector de la educación superior recibió otro recordatorio durante el fin de semana que sigue siendo un objetivo principal para los ciberdelincuentes.
Los piratas informáticos que han robado datos de Ticketmaster, Google y varias universidades de alto perfil empezaron en mayo incumpliendo Instruction; la empresa de tecnología educativa es propietaria del sistema de gestión del aprendizaje más popular del país, Canvas, que es utilizado por el 41% de las instituciones de educación superior en Norteamérica para impartir cursos.
El grupo criminal de extorsión ShinyHunters, que también se ha relacionado con infracciones de datos recientes en la Universidad de Pensilvania y en las universidades de Princeton y Harvard, afirmó que su ataque a Instructure afectó a cerca de 9.000 escuelas en todo el mundo (incluyendo una combinación de institutos y una combinación de institutos de 275 millones de personas, incluidos estudiantes y profesores.
Aunque Instructure dice haber contenido el ataque, los expertos dicen señalar el valor añadido que los ciberatacantes ven al perseguir a proveedores de terceros en lugar de instituciones individuales.
“Este incumplimiento sigue un patrón claro que hemos estado observando en los últimos 18 meses”, dijo Doug Thompson, arquitecto jefe de educación y director de ingeniería de soluciones de Tanium, una empresa de gestión de ciberseguridad. “En lugar de orientarse a campus individuales, los atacantes están subiendo por la cadena de suministro de datos a las plataformas que se encuentran bajo miles de instituciones a la vez”.
Ésta no es la primera vez que ShinyHunters victimiza a los vendedores de tecnología educativa. El pasado otoño, los piratas informáticos vinculados al grupo violaron a Salesforce y reclamó el robo de unos mil millones de registros de clientes a decenas de empresas, incluida Instructure, que cuenta con 8.000 instituciones asociadas. En marzo, ShinyHunters se infiltró en Infinite Campusun sistema de información de estudiantes de K-12 muy utilizado. Y en abril, se tomó el mérito accediendo a datos internos en la editorial McGraw Hill.
“Son las matemáticas de un ladrón de bancos que acaba de averiguar dónde se detiene el camión blindado. ¿Por qué aguantar cien sucursales cuando el camión las visita a todas? El riesgo real ahora es aguas abajo”, dijo Thompson. “Con acceso a nombres reales, direcciones de correo electrónico e incluso mensajes de profesores y estudiantes, la próxima ola de pesca no será genérica. Se hará referencia a cursos reales y conversaciones reales, lo que hace que sea mucho más probable que tenga éxito”.
“PAGAR O FUGA”
No está claro exactamente cómo ShinyHunters pirateó Instructure, pero a finales de la semana pasada los usuarios de Canvas empezaron a informar de interrupciones en sus claves de autenticación. Y poco después, Instructure recibió la palabra de ShinyHunters: “PAGA O FUGA”.
Si Instructure no pagaba, podría prever una filtración de “Diversos miles de millones de mensajes privados entre estudiantes y profesores y estudiantes y otros estudiantes implicados, que contenían conversaciones personales y otros (información de identificación personal)”, escribió ShinyHunters en una carta de rescate publicada. 3 de mayo por el sitio web Ransomware.liveque hace un seguimiento y controla a las víctimas de los grupos de ransomware y su actividad. Los piratas informáticos dijeron a Instructure “que se pongan en contacto antes del 6 de mayo de 2026 antes de filtrarnos junto con varios problemas (digitales) molestos que le saldrán”, advirtiendo a la empresa de que “tome la decisión correcta” para evitar convertirse en “el próximo titular”.
Mientras que Instructure no respondió Dentro de Ed. SuperiorLas solicitudes de comentarios sobre el rescate y otras preguntas específicas sobre el ataque, señaló a un registro de actualizaciones de estado escrito por Steve Proud, responsable de seguridad de la información de Instructure. El viernes, Proud confirmó que la violación fue “perpetrada por un actor de amenaza criminal” y dijo que la compañía estaba “investigando activamente este incidente con la ayuda de expertos forenses externos”.
Al día siguiente, Proud escribió que Instructure creía que había contenido el ataque y había tomado medidas para revocar las credenciales privilegiadas y los testigos de acceso asociados a los sistemas afectados, desplegó parches para mejorar la seguridad del sistema, giró ciertas claves, “aunque no hay pruebas de que se hayan hecho un uso más indebido” y se ha hecho un uso más indebido.
“Aunque seguimos investigando activamente, hasta ahora, existen indicios de que la información implicada consiste en cierta información de identificación de los usuarios en las instituciones afectadas, como nombres, direcciones de correo electrónico y números de identificación de estudiantes, así como mensajes entre usuarios”, escribió. “En este momento, no hemos encontrado ninguna evidencia de que estuvieran implicados contraseñas, fechas de nacimiento, identificadores gubernamentales o información financiera. Si esto cambia, notificaremos a las instituciones afectadas”.
Con esto sigue reportaje de la prensa Tech Crunchque vio una muestra de datos robados de una universidad de Tennessee y otra de Massachusetts proporcionada por ShinyHunters. Según el punto de venta, los datos de muestra incluían mensajes que contenían nombres, direcciones de correo electrónico y algunos números de teléfono, pero “no contenían contraseñas ni otros tipos de datos que Instructure dijo no verse afectado por el incumplimiento”.
“Objetivos ricos”
Parece que Instructure está restaurando sus sistemas. A partir de la actualización más reciente publicada el lunes, Proud escribió que Canvas Data 2 y Beta “ahora deberían estar disponibles para todos los clientes”, mientras que otra versión del LMS, Canvas Test, sigue en mantenimiento.
Sin embargo, el incidente sirvió de aviso para el sector.
“La violación de Canvas es un recordatorio de que ninguna plataforma es inmune: existen innumerables sistemas ampliamente utilizados que siguen siendo objetivos atractivos para actores malos sofisticados, incluidos los estados nacionales”, dijo Anton Dahbura, director ejecutivo del Instituto de seguridad de la información de la Universidad Johns Hopkins. “Las plataformas educativas son objetivos especialmente ricos dada la concentración de datos personales, financieros y de estudiantes internacionales”.
Lo especialmente preocupante del incumplimiento de Canvas es que revela cómo “incluso las organizaciones que hacen las cosas correctas todavía se pueden exponer a través de proveedores de confianza”, añadió. “Necesitamos un enfoque sistémico de la ciberseguridad. defensas más sólidas, una mejor responsabilidad de la cadena de suministro y el reconocimiento de que las violaciones de datos no son eventos aislados, sino que forman parte de un panorama de amenazas estratégicas más amplio”.
