Los atacantes robaron 3.5 terabytes de datos sensibles, incluyendo nombres, correos electrónicos, números de identificación estudiantil y mensajes privados.
“ShinyHunters ha vulnerado Instructure… otra vez”.
Ese mensaje, escrito en letras blancas sobre fondo negro, en una caja de diálogo imposible de cerrar, fue para 30 millones de estudiantes y profesores de 8,809 universidades, agencias educativas y otras instituciones en todo el mundo, la primera salva en lo que es ampliamente considerada -debido a su alcance global- como la mayor brecha de seguridad educativa jamás registrada.
Los atacantes, del grupo de hackers ShinyHunters, afirmaron haber robado 3.5 terabytes de datos sensibles, incluyendo nombres, correos electrónicos, números de identificación estudiantil y miles de millones de mensajes privados.
La razón de esa escala es que la brecha, que ocurrió el jueves 7 de mayo, afectó a Canvas LMS, una plataforma de gestión de aprendizaje (LMS) basada en la nube, diseñada para facilitar la enseñanza y el aprendizaje en línea o híbrido. Creada por la empresa estadounidense Instructure, es la líder mundial en su ramo y permite a los profesores crear cursos, gestionar calificaciones y comunicarse con estudiantes, de manera sencilla y accesible desde computadores y dispositivos móviles.
El ataque llevó a que el sistema fuera desconectado temporalmente, lo que causó interrupciones en plena temporada de exámenes finales en universidades como Harvard, Rutgers, Columbia, Kent State, Georgetown y Princeton. Este martes, el episodio concluyó con la noticia de que Instructure “llegó a un acuerdo” con ShinyHunters para que los datos comprometidos fueran destruidos a cambio del pago de un monto no revelado. Canvas volvió a funcionar y la compañía afirma que es seguro de usar.
Cronología de un desastre
Las primeras señales de disrupción en Canvas LMS ocurrieron a comienzos de mayo. Instructure reveló que estaba investigando “un incidente de ciberseguridad” que involucraba ciertos datos de usuarios, incluidos nombres, direcciones de correo electrónico, números de identificación de estudiante y mensajes entre usuarios. La interrupción en los servicios fue apenas momentánea y la empresa determinó que no comprometió información confidencial.
Pero cuando parecía que todo estaba en el pasado, el 7 de mayo Canvas fue hackeado de nuevo. Esta vez, el sistema se vio bloqueado por el mensaje de los cibercriminales, que amenazaron con publicar los datos a menos que se pagara el rescate. La primera reacción de Instructure fue negar el incidente y, de hecho, sugerir que su sitio estaba operacional para la mayoría de sus usuarios.
Hoy sabemos que eso no era cierto. El ataque no solo ocurrió, sino que no pudo ser más inoportuno al coincidir, como lo hizo, con el periodo de exámenes finales. Damon Linker, profesor titular de ciencias políticas en la Universidad de Pensilvania, declaró a NPR: "Estoy seguro de que en algún lugar del país probablemente había gente haciendo exámenes finales en la plataforma cuando ocurrió el corte".
ShinyHunters publicó sus demandas originales en una nota de rescate compartida por Ransomware.live. En ella se lee: “Casi 9,000 escuelas en todo el mundo se vieron afectadas. Son 275 millones de registros individuales que van desde estudiantes, profesores y otros miembros del personal que contienen PII. Varios miles de millones de mensajes privados entre estudiantes, profesores, estudiantes y otros estudiantes implicados, que contienen conversaciones personales y otra información personal. Tu instancia de Salesforce también fue vulnerada y hay muchos otros datos involucrados. Paga o filtramos. Toma la decisión correcta, no seas el próximo titular. | Tamaño: 3.65TB+”.
El FBI alertó a los estudiantes y profesores de las entidades afectadas de que en situaciones de confusión como la suscitada por el ataque es común que otros delincuentes intenten obtener beneficios y pedir el pago de rescates personales. Por eso recomendaban no interactuar con nadie que afirmara tener sus datos, y menos si pedían el envío de más información o el pago de dinero.
Un nombre conocido
ShinyHunters es la misma entidad que se atribuyó el mérito de una enorme brecha de datos de Ticketmaster en 2024. El año pasado, vulneraron mediante vishing (phishing de voz) la base de datos Salesforce de Google.
Se especializan en explotar configuraciones erróneas en la nube, secuestro de tokens de plataformas SaaS (Software as a Service) y ataques a la cadena de suministro. Utilizan técnicas avanzadas como phishing, vishing y robo de tokens OAuth (Open Authorization) para infiltrarse en empresas.
Un reporte de Varonis dice que ShinyHunters comenzó como una banda de robo masivo de datos y en 2024 cambió hacia la extorsión y el ransomware. “Han atacado empresas de retail de lujo, aerolíneas, servicios financieros, seguros y comercio electrónico, robando datos de clientes y exigiendo rescates. Sus campañas recientes se han centrado en entornos Salesforce, a menudo en colaboración con Scattered Spider”, dice.
Por ahora, en la página web de Instructure sobre la reciente filtración de datos, hay una actualización que comienza con una disculpa por la “comunicación inconsistente” y dice: “Sabemos que la preocupación por la posible publicación de datos relacionados con este incidente sigue siendo una de las principales inquietudes de muchos clientes. Entendemos lo inquietantes que pueden resultar situaciones como esta, y la protección de nuestra comunidad sigue siendo nuestra máxima prioridad”.
La empresa no dio a conocer el monto pagado a los criminales.
Ver todos los comentarios en https://www.xataka.com.mx
VER 0 Comentario