Instructure informó que este lunes alcanzó un acuerdo con el grupo ShinyHunters luego del ciberataque que afectó a la plataforma educativa Canvas y que comprometió información de estudiantes y docentes de miles de instituciones. La empresa indicó que los datos fueron devueltos y destruidos, mientras continúan las investigaciones y revisiones forenses.
Instructure, la empresa responsable de la plataforma educativa Canvas, confirmó a través de un comunicado público que alcanzó un acuerdo con el grupo cibercriminal ShinyHunters tras el incidente de seguridad que afectó a miles de instituciones educativas —incluidas varias en Chile y el Perú— y que habría expuesto información de estudiantes y docentes en todo el mundo. La compañía señaló que recibió los datos sustraídos de parte de los actores de amenaza, junto con evidencia digital de su eliminación, y afirmó que los clientes afectados no serán objeto de extorsión derivada del incidente. Instructure no confirmó públicamente si realizó un pago económico como parte del acuerdo alcanzado con los atacantes.
La plataforma Canvas es utilizada por escuelas, universidades y otras organizaciones educativas para gestionar contenidos académicos, tareas, evaluaciones y comunicaciones entre estudiantes y profesores. Diversos reportes indicaron que el ataque afectó a cerca de 9 mil instituciones y comprometió información como nombres, direcciones de correo electrónico, identificadores estudiantiles, mensajes y datos de inscripción. Instructure sostuvo previamente que no existía evidencia de exposición de contraseñas, datos financieros ni identificadores gubernamentales.
En una actualización publicada ayer lunes 11 de mayo, la compañía indicó entendía “lo inquietantes que pueden ser situaciones como esta, y proteger a nuestra comunidad sigue siendo nuestra máxima prioridad”. En el mismo comunicado agregó que “Instructure alcanzó un acuerdo con el actor no autorizado involucrado en este incidente”.
El incidente provocó interrupciones operativas en múltiples instituciones durante períodos de evaluaciones y entrega de trabajos académicos. Reportes publicados por distintos medios señalaron que páginas de acceso de universidades y escuelas mostraron mensajes de extorsión atribuidos a ShinyHunters, mientras la empresa colocaba partes de la plataforma en mantenimiento. Instructure confirmó posteriormente que deshabilitó temporalmente las cuentas Free-For-Teacher relacionadas con la vulnerabilidad utilizada en el ataque.
El incidente también tuvo repercusiones en América Latina. En Chile, un reporte publicado por el Diario Financiero indicó que universidades e institutos nacionales aparecieron dentro de la lista difundida por los atacantes con organizaciones potencialmente afectadas. Entre las entidades mencionadas se encontraban la Pontificia Universidad Católica de Chile, Universidad Andrés Bello, Universidad del Desarrollo, Universidad Autónoma, Universidad Tecnológica Metropolitana y unidades académicas de la Universidad de Chile.
Según el mismo reporte, varias instituciones activaron protocolos de contingencia y suspendieron temporalmente actividades online mientras se evaluaba el alcance del incidente.
En Perú, el medio Infobae indicó que varias universidades enfrentaron complicaciones operativas asociadas a la indisponibilidad temporal de Canvas durante jornadas académicas y procesos de evaluación. El incidente generó interrupciones en accesos a materiales, tareas y plataformas de clases virtuales utilizadas por estudiantes y docentes en distintas instituciones peruanas.
El CEO de la compañía, Steve Daly, publicó además en el mensaje dirigido a clientes y organizaciones afectadas, que reconocía problemas en la comunicación durante la contingencia. “Ustedes merecían una comunicación más consistente de nuestra parte y no la entregamos. Lo siento por eso”, señaló el ejecutivo.
La empresa indicó que se está realizando el análisis forense del incidente y que continúan las investigaciones sobre el alcance del ataque. Según las comunicaciones oficiales, las instituciones que no han sido contactadas directamente por Instructure no han sido identificadas hasta ahora como afectadas por exposición de datos vinculada al incidente.
Distintos medios estadounidenses informaron además que el Comité de Seguridad Nacional de la Cámara de Representantes de los Estados Unidos solicitó información adicional a la compañía respecto de la naturaleza del ataque y las medidas adoptadas tras la intrusión.