El Comité de Seguridad Nacional de la Cámara de Representantes de EE. UU. exige respuestas a **Instructure** tras dos ciberataques del grupo extorsionador **ShinyHunters** que comprometieron la plataforma **Canvas** de la compañía. Las brechas resultaron en el robo de datos de estudiantes y causaron disrupciones significativas a las escuelas, particularmente durante los exámenes finales. ### Investigación del Congreso Iniciada En una carta dirigida al CEO de **Instructure**, Steve Daly, el presidente del Comité de Seguridad Nacional, **Andrew R. Garbarino**, declaró que el comité está investigando la masiva brecha que afecta a millones de estudiantes. La carta destaca la gravedad de los incidentes y el impacto potencial en las instituciones educativas. "El Comité de Seguridad Nacional (Comité) está investigando los preocupantes informes relacionados con incidentes recientes de ciberseguridad que afectan a Instructure Holdings, Inc. y a las decenas de millones de estudiantes, educadores y administradores que dependen de su plataforma de gestión de aprendizaje Canvas", se lee en la carta. El comité enfatizó que el grupo **ShinyHunters** violó la seguridad de **Instructure** dos veces en una sola semana. ### Detalles de las Brechas Como informó previamente BleepingComputer, **Instructure** reveló el 3 de mayo que había sufrido una brecha de datos. La compañía confirmó que la intrusión fue detectada el 29 de abril, revelando que actores maliciosos habían comprometido sistemas y robado datos pertenecientes a estudiantes y personal escolar que utilizaban **Canvas**. Según **Instructure**, la información expuesta incluía nombres, direcciones de correo electrónico, números de identificación de estudiantes y mensajes intercambiados entre estudiantes y profesores en la plataforma. Críticamente, los datos no incluían contraseñas, información financiera ni identificadores gubernamentales. ### Reclamaciones de ShinyHunters El 3 de mayo, la banda extorsionadora **ShinyHunters** se atribuyó la responsabilidad del ataque, afirmando que robaron 280 millones de registros de datos de 8.809 colegios, distritos escolares y plataformas de educación en línea. Los actores maliciosos compartieron una lista de organizaciones educativas afectadas, con recuentos de registros robados que van desde decenas de miles hasta varios millones para cada institución.  *Listado de Instructure en el sitio de filtración de datos de ShinyHunters. Fuente: BleepingComputer* El grupo **ShinyHunters** también llevó a cabo un segundo ataque, alterando los portales de inicio de sesión de **Canvas** en escuelas y universidades de todo Estados Unidos. Estas alteraciones mostraban mensajes de extorsión exigiendo que **Instructure** negociara con el grupo. Esta disrupción afectó a instituciones en múltiples estados durante actividades críticas de fin de semestre, obligando a algunas universidades a cancelar exámenes.  *Mensaje de ShinyHunters en la página de inicio de sesión de Canvas de la Universidad de Texas San Antonio. Fuente: BleepingComputer* Posteriormente se reveló que los actores maliciosos explotaron múltiples vulnerabilidades de cross-site scripting (XSS) para obtener sesiones de administrador autenticadas y modificar las páginas del portal de inicio de sesión. ### Instituciones Afectadas y Respuesta La carta del Comité de Seguridad Nacional indica que escuelas en numerosos estados, incluyendo California, Florida, Georgia, Oklahoma, Oregón, Nevada, Carolina del Norte, Tennessee, Utah, Virginia y Wisconsin, reportaron disrupciones relacionadas con el incidente. El comité también señaló que los atacantes afirmaron haber atacado a **Instructure** nuevamente porque la compañía se negó a negociar inicialmente. ### Acuerdo Alcanzado Poco después de que **ShinyHunters** eliminara a **Instructure** de su sitio de filtración de datos, **Instructure** reveló que había llegado a un acuerdo con el grupo para detener la filtración pública y asegurar la eliminación de los datos robados. Aunque **Instructure** no confirmó explícitamente el pago de un rescate, es poco común que los grupos extorsionadores eliminen datos robados o cesen las filtraciones sin algún tipo de pago o acuerdo. La banda extorsionadora actualizó su sitio de filtración de datos con una declaración afirmando que los datos han sido destruidos y que las escuelas no necesitan contactarlos para negociar. "No tenemos nada que añadir ni comentar sobre la situación reciente en la empresa LMS. Si usted es una institución afectada, no estamos buscando su dinero. Por favor, detenga todos los intentos de contactarnos, el asunto ha sido resuelto", se lee en la actualización de **ShinyHunters**. "La Compañía y sus clientes no serán atacados ni contactados nuevamente para solicitar un pago. Los datos son inexistentes." ### Escrutinio del Congreso El Comité de Seguridad Nacional declaró que los repetidos compromisos plantean "serias preguntas" sobre las capacidades de respuesta a incidentes de **Instructure** y sus obligaciones para proteger los datos que almacena. El comité solicitó que **Instructure** participe en una sesión informativa a más tardar el 21 de mayo para discutir ambas intrusiones, los datos robados, los esfuerzos de contención y notificación, y la coordinación con las agencias federales.