Un ciberataque masivo contra Canvas, plataforma educativa utilizada por casi 9.000 universidades, compromete datos de más de 200 millones de usuarios. El grupo ShinyHunters exige un rescate y amenaza con publicar información privada.
Distintas universidades del mundo, entre ellas las estadounidenses Harvard y Stanford, entraron en alerta tras un hackeo a la plataforma educativa Canvas. El ciberataque masivo ocurrido en las últimas horas pone en peligro los exámenes de casi 9.000 instituciones y compromete datos de más de 200 millones de usuarios a nivel global.
El ataque fue perpetrado por ShinyHunters, un conocido grupo de ciberextorsión activo desde hace casi diez años, que ha provocado bloqueos y robos de datos en sitios importantes de todo el mundo. Ahora, la víctima fue Canvas, donde bloquearon el acceso a la plataforma de aprendizaje.
Según reportaron medios estadounidenses, los estudiantes que intentaron acceder al sistema este jueves vieron un mensaje del grupo de hackers que indicaba que los servidores pertenecientes a Instructure, la empresa matriz de Canvas, habían sido vulnerados «otra vez».
En un mensaje difundido en redes sociales, los hackers culparon a las autoridades de la plataforma educativa: «En lugar de ponerse en contacto con nosotros para resolverlo, nos ignoraron e hicieron algunos ‘parches de seguridad'», escribieron. Y agregaron: «Si alguno de los centros incluidos en la lista afectada está interesado en evitar la publicación de sus datos, consulte con una firma de asesoría en ciberseguridad y contáctenos en privado para negociar un acuerdo».
Los primeros informes indican que no solo bloquearon el sistema, sino que también robaron millones de datos de estudiantes, profesores y personal vinculados con las universidades, y ahora los usan como arma extorsiva: «Publicaremos todos los datos robados si las instituciones no se ponen en contacto antes del 12 de mayo», amenazaron.
El mensaje viralizado incluía un enlace a una lista de escuelas que ShinyHunters afirma haber vulnerado a través de Canvas. En Estados Unidos, ya hay 160 instituciones confirmadas. Por su parte, la Universidad de Stanford afirmó que Canvas no estaba disponible «debido a un problema que está experimentando el proveedor» y añadió que Instructure había revelado recientemente un problema de seguridad de información a nivel nacional que, según dijeron, «había sido contenido».
Desde Instructure señalaron que los datos robados en la filtración inicial incluían información personal como nombres, direcciones de correo electrónico y números de identificación de estudiantes, además de mensajes privados intercambiados entre los usuarios.