Canvas admite ahora haber pagado a hackers tras ciberataque

Iniciado por AXCESS, Mayo 12, 2026, 03:25:40 AM

Tema anterior - Siguiente tema

0 Miembros y 2 Visitantes están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Mayo 12, 2026, 03:25:40 AM


El gigante de la tecnología educativa —que gestiona los cursos, la calificación, las tareas y las comunicaciones de 9.000 instituciones, desde jardines de infancia hasta universidades en más de 100 países— confirmó este lunes haber pagado al actor malicioso vinculado al ataque del pasado 29 de abril, el cual fue posteriormente reivindicado por el grupo ShinyHunters.

Según Instructure, los hackers ya no tienen acceso a la plataforma Canvas.

Esta revelación, acompañada de una disculpa pública por parte del director ejecutivo de Instructure, Steve Daly, se produce cuatro días después de que una interrupción generalizada y una creciente frustración afectaran a estudiantes y docentes, quienes quedaron bloqueados fuera de la plataforma de aprendizaje en línea durante uno de los periodos de mayor actividad del año académico.

El director ejecutivo ofrece una disculpa pública tras la ola de críticas

«Comenzaré por donde debo: con una disculpa», escribió Daly el lunes en una entrada de blog publicada en el sitio web de la empresa.

«Durante los últimos días, muchos de ustedes han tenido que lidiar con interrupciones reales. Estrés en sus equipos. Momentos perdidos en el aula. Preguntas que no obtuvieron respuesta. Ustedes merecían una comunicación más constante por nuestra parte, y nosotros no se la brindamos», escribió Daly en la carta dirigida «A nuestra comunidad de Instructure».

Daly también reiteró que la plataforma Canvas «está plenamente operativa y sigue siendo segura de utilizar», y añadió que los datos fundamentales de aprendizaje no se vieron comprometidos; asimismo, se comprometió a «recuperar» la confianza de los clientes mediante «acciones coherentes y una comunicación honesta».

«Les proporcionaremos pautas claras si se requiere alguna acción por su parte. En este momento, no hay nada que deban hacer», afirmó.

Justo debajo de la entrada del blog de Daly figuraba una actualización de estado —también con fecha del 11 de mayo— en la que se detallaba el último «acuerdo» de Instructure «con el actor no autorizado involucrado en este incidente».

Canvas afirma contar con la «confirmación de la destrucción de los datos»

Cabe destacar que Instructure no reveló el monto del rescate pagado al actor malicioso no identificado, pero sí detalló lo que se prometió a los supuestos negociadores de la empresa.

Instructure declaró que el acuerdo incluía la devolución de los datos sustraídos, una «confirmación digital de la destrucción de los datos» y garantías de que ningún cliente sería objeto de extorsión —ya fuera de manera pública o por cualquier otro medio— como consecuencia del incidente.

Asimismo, la empresa señaló que el acuerdo abarca a todos los clientes de Instructure afectados, lo que significa que las instituciones educativas individuales no necesitan intentar entablar comunicación directa con el actor no autorizado.

El notorio grupo ShinyHunters —que anteriormente había afirmado que las negociaciones sobre el rescate con la empresa matriz de Canvas se habían roto el 7 de mayo— subió la apuesta y comenzó a atacar a escuelas individuales con el fin de exigir un pago.

El grupo, tras tomar el control de la plataforma a última hora del jueves, otorgó a las escuelas un nuevo plazo —fijado para el 12 de mayo— bajo la amenaza de filtrar un presunto volumen de 3,65 TB de datos robados, lo que incluye miles de millones de mensajes personales vinculados a más de 275 millones de estudiantes y miembros del personal docente.

Mientras tanto, miles de estudiantes y docentes de diversas universidades de Estados Unidos y Canadá comenzaron a informar que, al acceder desde sus computadoras, veían páginas de inicio de sesión desfiguradas que mostraban el mensaje de rescate de ShinyHunters, al tiempo que quedaban completamente bloqueados y sin acceso a la plataforma.

A medida que los medios de comunicación y los periódicos estudiantiles comenzaban a informar sobre el hackeo, los funcionarios de la institución se apresuraron a contener los daños, los cuales afectaron a miles de estudiantes que intentaban estudiar, entregar tareas y realizar exámenes finales durante las últimas semanas del semestre.

Persisten las interrogantes sobre la exposición de los datos de los estudiantes

Instructure reveló que los hackers lograron acceder a los sistemas de Canvas aprovechando una vulnerabilidad relacionada con sus «cuentas gratuitas para docentes» (Free-For-Teacher accounts), un componente fundamental de la plataforma que ha sido temporalmente inhabilitado.

«También revocamos credenciales privilegiadas y tokens de acceso, implementamos medidas de protección en toda la plataforma, rotamos ciertas claves internas, restringimos las vías de creación de tokens y reforzamos la supervisión en todas nuestras plataformas», declaró el gigante educativo con sede en Salt Lake City.

Instructure también afirmó que, actualmente, no existe «ninguna evidencia» de que la información robada haya sido filtrada públicamente o retenida por los atacantes tras el acuerdo de pago.

No obstante, los expertos en ciberseguridad han advertido desde hace tiempo que los pagos a grupos de extorsión no garantizan que los datos robados sean eliminados o destruidos por completo.

Tanto los estudiantes como los padres están, con razón, preocupados de que sus datos privados caigan en manos equivocadas, especialmente dado que casi el 40 % de los distritos escolares de educación básica y secundaria (K-12) tan solo en los Estados Unidos utilizan la plataforma Canvas.

«El sector educativo es singularmente vulnerable en lo que respecta a las filtraciones de datos; no debido a una tecnología deficiente, sino debido a quién pertenecen dichos datos», señaló Muhammad Yahya Patel, asesor de ciberseguridad en Huntress.

«Potencialmente, estamos hablando de menores cuyos datos personales —incluidos nombres, direcciones de correo electrónico y números de identificación estudiantil— podrían encontrarse ahora en manos de actores criminales. A diferencia de una tarjeta de crédito, que puede cancelarse, la identidad y el historial académico de un niño lo acompañan de por vida», explicó Patel.

«Las repercusiones en materia de robo de identidad, ingeniería social dirigida e incluso protección de menores son graves y de larga duración», añadió.

La División Cibernética del FBI también ha brindado orientación a las víctimas del ataque, emitiendo un anuncio de servicio público este viernes. «Si alguien se pone en contacto directo con usted afirmando poseer sus datos, le recomendamos que no realice ningún pago ni acceda a sus exigencias», advirtió el FBI.

Por su parte, Instructure afirma que la información comprometida incluía nombres de usuario, direcciones de correo electrónico, nombres de cursos, datos de inscripción y mensajes privados intercambiados en la plataforma.

Canvas declaró que las contraseñas, los números de Seguro Social, la información financiera, las calificaciones, las entregas de trabajos académicos y los expedientes estudiantiles no resultaron expuestos.

El ataque también reavivó las inquietudes más amplias sobre el grado de dependencia que las instituciones educativas mantienen actualmente respecto a las plataformas centralizadas basadas en la nube para la realización de exámenes, la asignación de tareas, la evaluación, la mensajería y la gestión de expedientes estudiantiles.

«Las universidades son auténticos tesoros de datos confidenciales, y los actores detrás del ransomware lo saben. Al mismo tiempo, la apertura que define a la educación superior puede dejar a estas instituciones más expuestas que a muchas otras organizaciones», afirmó Cynthia Kaiser, vicepresidenta sénior del Centro de Investigación de Ransomware Halcyon.

«El ransomware sigue siendo una de las mayores ciberamenazas que enfrenta la educación superior; de hecho, Halcyon registró más de 250 ataques de ransomware contra instituciones educativas en todo el mundo a lo largo del año natural 2025», señaló Kaiser.

Instructure comunicó que está adoptando medidas adicionales para reforzar sus sistemas y que ofrecerá una nueva actualización en un plazo de 48 horas. Asimismo, indicó que cualquier persona o institución educativa que se haya visto comprometida por el ataque será notificada a la brevedad, dado que la investigación continúa en curso.

Fuente:
CyberNews
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Imprimir
Ir Arriba Páginas1
Acciones del Usuario