Harvard, Columbia y más distritos escolares en doce estados quedaron sin acceso a su plataforma de aprendizaje por un hackeo. ShinyHunters pide un rescate.
Tras el hackeo, el grupo ShinyHunters inyectó códigos maliciosos para que los alumnos vean amenazas directas en sus pantallas de inicio de sesión.
El 1 de mayo, un grupo que usa el nombre ShinyHunters anunció que había accedido a los sistemas de Instructure, la empresa detrás de Canvas, la plataforma de aprendizaje digital más usada en universidades y escuelas de Estados Unidos. Durante cuatro días, el hackeo fue relativamente contenido.
Instructure reconoció el incidente, dijo que los datos afectados incluían nombres, correos, números de identificación estudiantil y mensajes internos de la plataforma, y el miércoles marcó la situación como "resuelta".
El jueves todo cambió. Según Techcrunch los hackers lanzaron una segunda oleada. Inyectaron un archivo HTML en los portales de login de varias instituciones, mostrando sus propios mensajes en las páginas de acceso.
La página de inicio de sesión de Canvas de Harvard apareció con un texto que listaba las escuelas afectadas y les daba hasta el 12 de mayo para negociar un pago antes de que sus datos fueran publicados.
Instructure respondió poniendo Canvas en "modo de mantenimiento", lo que efectivamente bloqueó el acceso para todos los usuarios durante horas.
Universidades como Harvard, Columbia, Rutgers y Georgetown enviaron alertas de emergencia a sus comunidades. Distritos escolares en al menos doce estados reportaron problemas. Y todo ocurrió en plena semana de exámenes finales y entregas de fin de año.
Los hackers afirman haber afectado a más de 8.800 escuelas. El número no está verificado de forma independiente. ShinyHunters tiene historial de exagerar el alcance de sus ataques con datos reciclados, pero la interrupción real fue concreta y masiva.
Los ataques de ransomware contra instituciones educativas no son nuevos. Distritos escolares, universidades y sistemas de salud llevan años siendo blanco frecuente de extorsión digital. Lo que distingue este caso es la escala de la disrupción a partir de un único punto de falla.
Canvas es la infraestructura central de la vida académica digital en cientos de instituciones. Ahí se entregan trabajos, se publican notas, se coordinan exámenes, se alojan los materiales de cursado.
Cuando Canvas cae, no es que una aplicación auxiliar deja de funcionar, es que la universidad entera pierde su columna vertebral operativa.
Según Wired, Allison Nixon, directora de investigación de la empresa de ciberseguridad Unit 221b, que sigue de cerca a ShinyHunters y grupos relacionados, lo pone en perspectiva: "Es notable que un pequeño número de delincuentes reincidentes pueda intensificar sus actividades durante años hasta llegar a este punto".
Nixon vincula la actividad reciente con un grupo al que se refiere como ScatteredLapsus$Hunters, que opera bajo nombres conocidos pero no necesariamente tiene conexión directa con los grupos originales que los usaban.
Se sabe que grupos vinculados a la red conocida como Com, a la que se asocia ShinyHunters, utilizan tácticas de presión que incluyen ataques de denegación de servicio para saturar sistemas, inundación de comunicaciones corporativas con llamadas y correos, y en algunos casos amenazas directas a familias de ejecutivos.
"Este tipo de tácticas de presión empiezan a parecerse mucho más a una mafia violenta que a la habilidad de hackers profesionales", dice Nixon.
En el caso de Instructure, los hackers publicaron en su sitio de la dark web una queja de que la empresa "ni siquiera se había molestado en hablar con ellos para entender la situación o negociar".
Para el jueves a la noche, las referencias a Instructure y sus clientes habían desaparecido del sitio. Eso puede significar que hubo un pago, pero también puede ser una táctica de negociación.
Mostrar buena voluntad para presionar a la víctima a cerrar un acuerdo. Nixon advierte que los hackers mueven a las víctimas dentro y fuera de sus sitios como parte del proceso de extorsión.
Instructure confirmó que la información comprometida incluye nombres, correos electrónicos, números de identificación de estudiantes y mensajes internos de la plataforma.
Lo que no está claro es el alcance exacto como cuántas instituciones fueron afectadas de verdad, qué volumen de datos fue accedido y si hay información sensible adicional como notas, documentos académicos, datos de pagos, que pueda estar en riesgo.
El hecho de que Canvas haya vuelto a estar disponible para "la mayoría de los usuarios" al final del jueves, según el comunicado de Instructure, no resuelve la pregunta sobre los datos ya extraídos.
En un ataque de ransomware, el daño de la interrupción del servicio es el visible. El daño de los datos filtrados es el que persiste.
Lo que este ataque expone de forma más cruda es la fragilidad de los ecosistemas educativos digitales construidos alrededor de plataformas únicas.
La eficiencia de tener una sola plataforma de gestión de aprendizaje para toda una institución, o para miles de instituciones, tiene como contracara que un solo ataque exitoso puede paralizar a todos al mismo tiempo.
Nixon señala que esto es un problema sistémico que requiere cooperación internacional: "Los gobiernos de todo el mundo deberían dejar de lado la geopolítica y cooperar para detener a quienes extorsionan dinero y se aprovechan de los niños".
Es una afirmación que suena a llamado genérico, pero tiene un sustento concreto. ShinyHunters y grupos relacionados llevan años operando, acumulando víctimas y escalando sus tácticas sin consecuencias significativas.
El ataque a Canvas es el punto más alto de esa escalada hasta ahora.
-----------------------------
Cristina Pérez fulminó a Manuel Adorni y lo complica aún más: "El que avisa no traiciona"
Conmoción en Boca por la decisión bomba de Cavani: "En junio"
Una figura de América TV quiere hacerse la árbitra y pidió VAR: "Auditemos"
La miniserie de 6 capítulos que The Guardian no puede parar de elogiar
Débora Carrizo afirmó que la tokenización de activos es como la incomprendida revolución de Internet