La empresa reconoció que "nunca hay certeza completa" al negociar con cibercriminales. No reveló cuánto pagó.
La señal más clara de que hubo pago
ShinyHunters tenía una publicación activa en su sitio de la dark web amenazando con publicar los datos si Instructure no pagaba. Cuando se revisó el martes, esa publicación había desaparecido.
Un representante del grupo le dijo a TechCrunch: "Los datos están borrados, desaparecidos. La empresa y sus clientes no serán atacados ni contactados para pago por nuestra parte."
Instructure no confirmó ni desmintió haber pagado, y su vocero no respondió preguntas al respecto.
shinyhunters-u24
El robo afectó datos personales y mensajes privados de millones de estudiantes y docentes.
Por qué pagar es una mala idea aunque parezca la solución
El FBI emitió una declaración la semana pasada señalando que estaba al tanto de la interrupción en escuelas y advirtiendo que las víctimas "no deben enviar pagos ni responder" a las demandas de los cibercriminales.
Esa recomendación existe porque pagar un rescate no garantiza que el problema esté resuelto, y además financia a los grupos para que sigan atacando.
El caso más instructivo sobre por qué pagar puede salir mal es PowerSchool, otra empresa de software educativo que sufrió una brecha masiva en 2024 que afectó a 70 millones de estudiantes y empleados. PowerSchool pagó a los hackers para que devolvieran los datos. Meses después, un grupo criminal diferente empezó a extorsionar directamente a clientes de PowerSchool usando datos de esa misma brecha, que claramente nunca habían sido destruidos.
Pagar no compró la seguridad prometida, solo compró tiempo.
Los investigadores de seguridad señalan consistentemente el mismo problema. No hay forma de verificar que los datos fueron efectivamente borrados.
Un grupo que roba información de 275 millones de personas tiene múltiples copias en múltiples lugares. La "evidencia de destrucción" que presentan puede ser fabricada, incompleta o simplemente falsa.
El daño que ya ocurrió independientemente del acuerdo
El acuerdo entre Instructure y ShinyHunters no deshace lo que ya pasó. Los datos de nombres, correos personales y mensajes privados de estudiantes y docentes fueron robados y estuvieron en manos de criminales durante al menos dos semanas.
Que esos datos "hayan sido destruidos" es una promesa de personas que ya demostraron estar dispuestas a hackear dos veces a la misma empresa, modificar páginas web de escuelas y amenazar públicamente a sus clientes.
Para los 275 millones de personas cuyos datos fueron comprometidos, en su mayoría estudiantes y docentes, el daño real es la exposición.
No saber si sus correos electrónicos personales o sus mensajes privados con profesores terminaron en alguna base de datos que circula en otros mercados de la dark web. Ese riesgo no desaparece con el acuerdo.
Las preguntas que Instructure no está respondiendo
TechCrunch, que publicó la investigación original, intentó obtener respuestas de Instructure sobre varios puntos que siguen sin aclararse.
La empresa no quiso decir quién es responsable de la ciberseguridad dentro de la organización. Tampoco respondió si su CEO, Steve Daly, planea renunciar después de dos brechas en menos de un año en los sistemas de una empresa que maneja datos de millones de menores de edad.
Que una empresa pueda ser hackeada dos veces en el mismo año, con datos de cientos de millones de personas, y no clarificar quién es responsable de que eso ocurriera, es una parte de la historia que todavía no tiene respuesta.
--------------------
Más contenido de Urgente 24
Telefe en shock tras lo que provocó Wanda Nara en apenas un minuto
Guerra oculta: Emiratos Árabes Unidos ataca en secreto a Irán y el yerno de Donald Trump lo celebra
Créditos VIP a funcionarios libertarios: Le sacaron las causas a Lijo y se las dieron a Capuchetti
Hay principio de acuerdo: Sergio Ramos y Martín Ink, a un paso de comprar el Sevilla
Nati Jota cortó una columna en OLGA y se armó una pelea de novela
