La educación superior ha sido durante mucho tiempo blanco de bandas de ransomware y ataques de extorsión de datos. Pero quizás nunca antes un ciberataque contra una sola plataforma de software había perturbado tan profundamente las operaciones diarias de miles de escuelas en todo Estados Unidos.
La ampliamente utilizada plataforma de aprendizaje digital Canvas fue puesta en «modo de mantenimiento» el jueves después de que su creador, el gigante tecnológico educativo Instructure, sufriera una violación de datos y enfrentara un intento de extorsión por parte de atacantes que usaban el reconocible apodo «ShinyHunters». Aunque los piratas informáticos han estado anunciando la violación e intentando obtener un pago de rescate de Instructure desde el 1 de mayo, la situación adquirió una inmediatez adicional para la gente común en todo Estados Unidos y más allá el jueves porque el tiempo de inactividad de Canvas causó caos en las escuelas, incluidas aquellas que se encontraban en medio de exámenes finales y tareas de fin de año.
Universidades como Harvard, Columbia, Rutgers y Georgetown enviaron alertas a los estudiantes sobre la situación en los últimos días; otras instituciones, incluidos distritos escolares de al menos una docena de estados, también parecen haberse visto afectadas. En una lista publicada por los piratas informáticos detrás del ataque a su sitio web oscuro centrado en el rescate, afirman que la infracción afectó a más de 8.800 escuelas. Sin embargo, la escala exacta y el alcance de la infracción no están claros actualmente. Y el hecho de que Canvas estuvo inactivo durante toda la tarde y noche del jueves complicó aún más el panorama.
En un registro de actualización de incidentes que comenzó el 1 de mayo, Steve Proud, director de seguridad de la información de Instructure, dijo que la compañía había «experimentado recientemente un incidente de ciberseguridad perpetrado por un actor de amenazas criminales». Añadió el 2 de mayo que “la información involucrada” para los “usuarios de las instituciones afectadas” incluía nombres, direcciones de correo electrónico, números de identificación de estudiantes y mensajes intercambiados por los usuarios en la plataforma.
La situación finalmente se marcó como «Resuelta» el miércoles, y Proud escribió que «Canvas está en pleno funcionamiento y no vemos ninguna actividad no autorizada en curso». Sin embargo, el jueves al mediodía, la página de estado de Instructure registró un «problema» en el que «algunos usuarios tienen dificultades para iniciar sesión en Student ePortfolios». A las pocas horas, la empresa había añadido otra actualización de estado: «Instructure ha puesto Canvas, Canvas Beta y Canvas Test en modo de mantenimiento». El jueves por la noche, la compañía dijo que Canvas estaba nuevamente disponible «para la mayoría de los usuarios».
TechCrunch informó el jueves que los piratas informáticos lanzaron una ola secundaria de ataques, desfigurando los portales Canvas de algunas escuelas inyectando un archivo HTML para mostrar su propio mensaje en las páginas de inicio de sesión de Canvas de las escuelas. Según The Harvard Crimson, los atacantes modificaron la página de inicio de sesión de Harvard Canvas para mostrar un mensaje que incluía una lista de escuelas que, según los piratas informáticos, se vieron afectadas por la infracción.
El mensaje de los atacantes “instaba a las escuelas incluidas en la lista de afectados a consultar con una empresa de asesoría cibernética y contactar al grupo en privado para negociar un acuerdo antes del final del día 12 de mayo, o correr el riesgo de que se filtren sus datos”, informó The Crimson. «No está claro qué información vinculada a las filiales de Harvard se incluyó en la supuesta infracción».
Instructure no respondió de inmediato a una solicitud de comentarios sobre los cortes del jueves y cómo encajan en el panorama más amplio de la infracción. Pero la situación es significativa dado que una enorme cantidad de información de los estudiantes ha quedado potencialmente expuesta, y la visibilidad del incidente en todo el país lo convierte en un ejemplo clave de un problema de larga data, aunque en constante escalada, de extorsión de datos y ataques de ransomware.
El nombre ShinyHunters está asociado con volcados masivos de datos y se ha vinculado al infame colectivo de hackers conocido como Com. Pero a medida que la constelación de actores ha ido cambiando a lo largo de los años, numerosos atacantes han adoptado los apodos más destacados relacionados con Comunicaciones. Varios ataques recientes han invocado otros nombres, como Lapsus$, con poca o ninguna conexión con el grupo original que operaba bajo ese nombre.
