La empresa matriz de la plataforma educativa Canvas, Instructure, afirmó que ha llegado a un acuerdo con los hackers respecto al reciente incidente de filtración de datos. La compañía indicó que los atacantes han proporcionado pruebas de que los datos robados han sido eliminados, y que los clientes de Canvas ya no necesitarán comunicarse directamente con los hackers ni pagar un rescate.
Los hackers afirman haber robado datos de 275 millones de personas
Según TechCrunch, el grupo de ciberdelincuentes llamado ShinyHunters reclamó el ataque del 29 de abril y afirmó haber robado datos de estudiantes y personal académico de sistemas relacionados con Canvas, afectando a aproximadamente 275 millones de personas. Canvas es utilizado por cerca de 9.000 instituciones educativas para gestionar archivos estudiantiles y cursos.
El grupo llevó a cabo un segundo ataque la semana pasada, modificando las páginas de inicio de sesión de Canvas en algunos sitios web escolares para presionar a la empresa a pagar un rescate.
La empresa no ha revelado si pagó el rescate
Instructure indicó en su página de eventos actualizada el lunes por la noche que, aunque negociar con criminales cibernéticos "nunca implica certeza absoluta", la empresa considera que los clientes ya no necesitan comunicarse con los hackers. La empresa no reveló los términos financieros del acuerdo ni especificó si se pagó realmente el rescate.
TechCrunch indicó que ShinyHunters anteriormente había amenazado en su sitio web de filtraciones de hacer pública la información robada si la empresa no pagaba. Hasta el martes, esta entrada ha sido eliminada. El grupo también informó a los medios que los datos "ya han sido eliminados" y que ya no se comunicarán con la empresa ni sus clientes respecto al pago.
Casos similares han experimentado un segundo rescate.
El informe señala que este incidente de Instructure es similar al gran robo de datos sufrido por PowerSchool en 2024, cuando también pagó a los hackers para recuperar los datos, pero posteriormente algunos clientes fueron extorsionados por otro grupo criminal, lo que demuestra que los datos declarados como "eliminados" no siempre desaparecen realmente.
La Oficina Federal de Investigaciones de Estados Unidos también indicó la semana pasada que ha notificado interrupciones del sistema que afectan a escuelas e instituciones educativas en todo el país, y advirtió a las víctimas que no paguen a los ciberdelincuentes ni respondan a sus demandas de rescate.
Actualmente, Instructure sigue investigando el incidente y verificando los hallazgos relacionados. La empresa reconoce que, en menos de un año, sus sistemas han sido comprometidos dos veces por ciberataques, pero afirma que ambos eventos son independientes y afectan sistemas distintos.