Instructure, la empresa responsable de la plataforma educativa Canvas utilizada ampliamente en los Estados Unidos, confirmó un incidente que involucró acceso no autorizado a datos de usuarios de instituciones afectadas. La compañía indicó que la información expuesta incluye nombres, correos, ID de estudiantiles y mensajes entre usuarios.
El gigante estadounidense de tecnología educativa Instructure, responsable de la plataforma Canvas LMS, confirmó un incidente de ciberseguridad que afectó sistemas asociados a su servicio utilizado por escuelas, universidades y organizaciones educativas en distintos países. La empresa informó el hecho públicamente el pasado jueves 1 de mayo en su sitio web, donde indicó que “Instructure sufrió recientemente un incidente de ciberseguridad perpetrado por un ciberdelincuente. Estamos investigando activamente este incidente con la ayuda de expertos forenses externos”.
La empresa señaló posteriormente que la investigación sobre la brecha continuaba junto a especialistas forenses externos y que, hasta ese momento, consideraba que el incidente había sido contenido. Entre las medidas implementadas se incluyeron la revocación de credenciales privilegiadas y tokens de acceso, el despliegue de parches de seguridad, la rotación preventiva de ciertas claves y un incremento del monitoreo sobre sus plataformas.
En una actualización publicada el 2 de mayo, Instructure indicó que la información involucrada correspondía a “cierta información identificatoria de usuarios en instituciones afectadas, como nombres, direcciones de correo electrónico y números de identificación estudiantil, así como mensajes entre usuarios”. La compañía agregó que no existían evidencias de compromiso de contraseñas, fechas de nacimiento, identificadores gubernamentales o información financiera.
Diversos medios reportaron que el grupo ShinyHunters se atribuyó el ataque. Según publicaciones de BleepingComputer y TechCrunch, los atacantes afirmaron haber obtenido registros asociados a aproximadamente 275 millones de personas y cerca de 9 mil instituciones educativas que utilizan Canvas (no confundir con la plataforma de diseño gráfico del mismo nombre).
Los reportes también señalaron que el grupo aseguró haber accedido a mensajes privados intercambiados entre estudiantes y docentes, además de información relacionada con cursos y cuentas institucionales, información equivalente de 3,65 terabytes de datos de la compañía.
Instituciones educativas de distintos países comenzaron a emitir comunicados internos tras las notificaciones de Instructure. TasTAFE, organismo australiano de formación técnica, informó que datos vinculados a algunas cuentas de clientes fueron accedidos por un tercero criminal y precisó que el incidente “no fue resultado de una vulneración de los propios sistemas o procesos de TasTAFE”. La entidad agregó que Canvas continuaba operativo y sin impacto en las actividades académicas.
Universidades y organismos educativos en Estados Unidos, Irlanda y Australia también confirmaron que evaluaban posibles impactos relacionados con información de estudiantes y personal académico. La Universidad de Texas en la ciudad de Austin indicó que mantenía coordinación directa con Instructure para determinar eventuales efectos sobre sus sistemas, mientras que Wayne State College en el estado de Nebraska, señaló que no existían indicios de compromiso de credenciales de acceso o datos financieros.
En paralelo, la página de estado de Instructure registró interrupciones y mantenimientos asociados a Canvas Data 2, Canvas Beta y herramientas vinculadas a claves API entre el 30 de abril y el 4 de mayo. La compañía explicó que parte de las acciones preventivas incluyó la reemisión de claves de aplicación y la reautorización de accesos por parte de usuarios y desarrolladores integrados a la plataforma.