La empresa detrás de Canvas sufrió dos ataques en menos de un año y terminó negociando con el grupo de hackers ShinyHunters.
Instructure, la empresa que fabrica Canvas, la plataforma que usan cerca de 9.000 escuelas y universidades para gestionar cursos, tareas y datos estudiantiles, anunció el lunes que llegó a un "acuerdo" con el grupo de hackers ShinyHunters, que la había atacado dos veces en menos de un año.
El primer ataque ocurrió el 29 de abril. ShinyHunters dijo haber robado datos personales de 275 millones de estudiantes y empleados, incluyendo nombres, correos electrónicos y mensajes privados entre docentes y alumnos.
Cuando Instructure no respondió rápido a sus demandas, el grupo lanzó un segundo ataque la semana pasada. Hackeó las páginas de login de Canvas en los sitios de varias escuelas y mostró sus propios mensajes en lugar de la pantalla normal de acceso.
Era una forma de presión pública, y funcionó.
Según Instructure, como parte del acuerdo, los hackers proporcionaron evidencia de que los datos robados fueron destruidos y se comprometieron a no extorsionar a los clientes del sistema.
La empresa reconoció que "nunca hay certeza completa" al negociar con cibercriminales. No reveló cuánto pagó.
ShinyHunters tenía una publicación activa en su sitio de la dark web amenazando con publicar los datos si Instructure no pagaba. Cuando se revisó el martes, esa publicación había desaparecido.
Un representante del grupo le dijo a TechCrunch: "Los datos están borrados, desaparecidos. La empresa y sus clientes no serán atacados ni contactados para pago por nuestra parte."
Instructure no confirmó ni desmintió haber pagado, y su vocero no respondió preguntas al respecto.
El FBI emitió una declaración la semana pasada señalando que estaba al tanto de la interrupción en escuelas y advirtiendo que las víctimas "no deben enviar pagos ni responder" a las demandas de los cibercriminales.
Esa recomendación existe porque pagar un rescate no garantiza que el problema esté resuelto, y además financia a los grupos para que sigan atacando.
El caso más instructivo sobre por qué pagar puede salir mal es PowerSchool, otra empresa de software educativo que sufrió una brecha masiva en 2024 que afectó a 70 millones de estudiantes y empleados. PowerSchool pagó a los hackers para que devolvieran los datos. Meses después, un grupo criminal diferente empezó a extorsionar directamente a clientes de PowerSchool usando datos de esa misma brecha, que claramente nunca habían sido destruidos.
Pagar no compró la seguridad prometida, solo compró tiempo.
Los investigadores de seguridad señalan consistentemente el mismo problema. No hay forma de verificar que los datos fueron efectivamente borrados.
Un grupo que roba información de 275 millones de personas tiene múltiples copias en múltiples lugares. La "evidencia de destrucción" que presentan puede ser fabricada, incompleta o simplemente falsa.
El acuerdo entre Instructure y ShinyHunters no deshace lo que ya pasó. Los datos de nombres, correos personales y mensajes privados de estudiantes y docentes fueron robados y estuvieron en manos de criminales durante al menos dos semanas.
Que esos datos "hayan sido destruidos" es una promesa de personas que ya demostraron estar dispuestas a hackear dos veces a la misma empresa, modificar páginas web de escuelas y amenazar públicamente a sus clientes.
Para los 275 millones de personas cuyos datos fueron comprometidos, en su mayoría estudiantes y docentes, el daño real es la exposición.
No saber si sus correos electrónicos personales o sus mensajes privados con profesores terminaron en alguna base de datos que circula en otros mercados de la dark web. Ese riesgo no desaparece con el acuerdo.
TechCrunch, que publicó la investigación original, intentó obtener respuestas de Instructure sobre varios puntos que siguen sin aclararse.
La empresa no quiso decir quién es responsable de la ciberseguridad dentro de la organización. Tampoco respondió si su CEO, Steve Daly, planea renunciar después de dos brechas en menos de un año en los sistemas de una empresa que maneja datos de millones de menores de edad.
Que una empresa pueda ser hackeada dos veces en el mismo año, con datos de cientos de millones de personas, y no clarificar quién es responsable de que eso ocurriera, es una parte de la historia que todavía no tiene respuesta.
--------------------
Telefe en shock tras lo que provocó Wanda Nara en apenas un minuto
Guerra oculta: Emiratos Árabes Unidos ataca en secreto a Irán y el yerno de Donald Trump lo celebra
Créditos VIP a funcionarios libertarios: Le sacaron las causas a Lijo y se las dieron a Capuchetti
Hay principio de acuerdo: Sergio Ramos y Martín Ink, a un paso de comprar el Sevilla
Nati Jota cortó una columna en OLGA y se armó una pelea de novela