Tras ser vulnerada, la plataforma educativa Canvas llega a un acuerdo con hackers para recuperar su información
ShinyHunters, el grupo de hackers responsable de ataques a Ticketmaster y Aura, tomó el control de Canvas durante tres días, dejando sin servicio a más de 8,000 instituciones educativas en todo el mundo.
Conclusiones Clave
- La plataforma educativa más usada en Norteamérica, fue hackeada dejando sin servicio a más de 8,000 instituciones en todo el mundo — incluyendo universidades de la Ivy League y el Tec de Monterrey.
- Instructure llegó a un acuerdo con el grupo criminal para recuperar los datos robados y obtener garantías de no extorsión, aunque nunca reveló el monto pagado.
La pantalla de advertencia con fondo negro, marco rojo y tipografía blanca apareció cerca de las 11:20 de la mañana (horario central) cuando estudiantes y profesores de más de 8,000 escuelas y universidades alrededor del mundo intentaron ingresar a Canvas desde algún dispositivo.
La plataforma educativa, propiedad de Instructure Inc. y utilizada por universidades de gran prestigio como Harvard, Yale, Stanford, Cornell, el TEC de Monterrey y el Instituto Tecnológico Autónomo de México había sido hackeada.
El mensaje de advertencia dejaba claro quién estaba detrás del ataque: ShinyHunters, una comunidad de jóvenes hackers situados en Estados Unidos y el Reino Unido ligada a ataques recientes a sitios de grandes empresas como Aura, una empresa de protección contra robo de identidad, ADT y Ticketmaster, entre otras.
Durante tres días la plataforma estuvo inoperante y bajo el control del grupo criminal que amenazaba con liberar miles de datos de las instituciones educativas, incluyendo conversaciones entre alumnos y profesores y datos sensibles de millones de usuarios.
Según el anuncio en la pantalla el grupo de hackers había logrado ya atacarla en días pasados e implementado parches de seguridad para blindarse. Sin embargo, los piratas cibernéticos atacaron de nuevo dejando expuesta la vulnerabilidad de la plataforma y presionando con filtrar toda la información robada de no llegar a un acuerdo antes del 12 de mayo.
Relacionado: Ciberseguridad empresarial: el riesgo invisible que impacta ingresos, reputación y crecimiento
Instructure acepta pagar un rescate
Tras varios días sin poder ofrecer un servicio a sus clientes, Steve Daly, CEO de Instructure, emitió un comunicado empezando con una disculpa por lo ocurrido. En el documento explica cómo sucedieron los hechos y reconoce fallas de comunicación al responder a las preguntas e inquietudes de las instituciones educativas:
“Este incidente involucró acceso no autorizado a una parte de nuestro entorno. Los campos de datos afectados incluyen información como nombres de usuario, direcciones de correo electrónico, nombres de cursos, información de inscripción y mensajes. Los datos de aprendizaje esenciales (contenido de cursos, entregas, credenciales) no fueron comprometidos. Aún estamos validando todos los hallazgos, pero queremos ser claros sobre lo que entendemos que fue y no fue afectado.
“También identificamos una vulnerabilidad en los tickets de soporte de nuestro entorno Free for Teacher que fue explotada. Desactivamos temporalmente Free for Teacher mientras completamos una revisión de seguridad exhaustiva. Sabemos que esto genera interrupciones, y no fue una decisión que tomamos a la ligera. Pero garantizar la seguridad de toda la plataforma Canvas tiene que ser la prioridad.”
Daly enfatizó que la plataforma es segura y que la empresa ha implementado una serie de cambios para protegerse de futuros ataques.
Además, el comunicado explica que dada la preocupación de varios clientes de que la información vulnerada llegue a las manos equivocadas y buscando proteger a sus usuarios, Instructure llegó a un acuerdo con el grupo criminal para recuperar los datos robados, confirmar la destrucción de los archivos robados (por medio de registros de eliminación y obtener garantías de que los clientes de la plataforma no sean extorsionados.
El texto no revela qué cantidad de dinero pagó Instructure para volver a tener el control de la plataforma y por recuperar su información. Expertos en ciberseguridad, incluyendo al FBI, instan a las empresas que son víctimas de los hackers a no ceder a la extorsión, pues eso es lo que hace que su actividad sea lucrativa, avivando uno de los problemas a los que se puede enfrentar cualquier plataforma digital.
Conclusiones Clave
- La plataforma educativa más usada en Norteamérica, fue hackeada dejando sin servicio a más de 8,000 instituciones en todo el mundo — incluyendo universidades de la Ivy League y el Tec de Monterrey.
- Instructure llegó a un acuerdo con el grupo criminal para recuperar los datos robados y obtener garantías de no extorsión, aunque nunca reveló el monto pagado.
La pantalla de advertencia con fondo negro, marco rojo y tipografía blanca apareció cerca de las 11:20 de la mañana (horario central) cuando estudiantes y profesores de más de 8,000 escuelas y universidades alrededor del mundo intentaron ingresar a Canvas desde algún dispositivo.
La plataforma educativa, propiedad de Instructure Inc. y utilizada por universidades de gran prestigio como Harvard, Yale, Stanford, Cornell, el TEC de Monterrey y el Instituto Tecnológico Autónomo de México había sido hackeada.
El mensaje de advertencia dejaba claro quién estaba detrás del ataque: ShinyHunters, una comunidad de jóvenes hackers situados en Estados Unidos y el Reino Unido ligada a ataques recientes a sitios de grandes empresas como Aura, una empresa de protección contra robo de identidad, ADT y Ticketmaster, entre otras.
Durante tres días la plataforma estuvo inoperante y bajo el control del grupo criminal que amenazaba con liberar miles de datos de las instituciones educativas, incluyendo conversaciones entre alumnos y profesores y datos sensibles de millones de usuarios.
Según el anuncio en la pantalla el grupo de hackers había logrado ya atacarla en días pasados e implementado parches de seguridad para blindarse. Sin embargo, los piratas cibernéticos atacaron de nuevo dejando expuesta la vulnerabilidad de la plataforma y presionando con filtrar toda la información robada de no llegar a un acuerdo antes del 12 de mayo.
Relacionado: Ciberseguridad empresarial: el riesgo invisible que impacta ingresos, reputación y crecimiento
Instructure acepta pagar un rescate
Tras varios días sin poder ofrecer un servicio a sus clientes, Steve Daly, CEO de Instructure, emitió un comunicado empezando con una disculpa por lo ocurrido. En el documento explica cómo sucedieron los hechos y reconoce fallas de comunicación al responder a las preguntas e inquietudes de las instituciones educativas:
“Este incidente involucró acceso no autorizado a una parte de nuestro entorno. Los campos de datos afectados incluyen información como nombres de usuario, direcciones de correo electrónico, nombres de cursos, información de inscripción y mensajes. Los datos de aprendizaje esenciales (contenido de cursos, entregas, credenciales) no fueron comprometidos. Aún estamos validando todos los hallazgos, pero queremos ser claros sobre lo que entendemos que fue y no fue afectado.
“También identificamos una vulnerabilidad en los tickets de soporte de nuestro entorno Free for Teacher que fue explotada. Desactivamos temporalmente Free for Teacher mientras completamos una revisión de seguridad exhaustiva. Sabemos que esto genera interrupciones, y no fue una decisión que tomamos a la ligera. Pero garantizar la seguridad de toda la plataforma Canvas tiene que ser la prioridad.”
Daly enfatizó que la plataforma es segura y que la empresa ha implementado una serie de cambios para protegerse de futuros ataques.
Además, el comunicado explica que dada la preocupación de varios clientes de que la información vulnerada llegue a las manos equivocadas y buscando proteger a sus usuarios, Instructure llegó a un acuerdo con el grupo criminal para recuperar los datos robados, confirmar la destrucción de los archivos robados (por medio de registros de eliminación y obtener garantías de que los clientes de la plataforma no sean extorsionados.
El texto no revela qué cantidad de dinero pagó Instructure para volver a tener el control de la plataforma y por recuperar su información. Expertos en ciberseguridad, incluyendo al FBI, instan a las empresas que son víctimas de los hackers a no ceder a la extorsión, pues eso es lo que hace que su actividad sea lucrativa, avivando uno de los problemas a los que se puede enfrentar cualquier plataforma digital.
