La educación superior ha sido durante mucho tiempo un objetivo de las bandas de ransomware y los ataques de extorsión de datos. Pero rara vez un ciberataque contra una sola plataforma de software ha interrumpido de manera tan completa las operaciones diarias de miles de escuelas en todo Estados Unidos. La plataforma de aprendizaje digital **Canvas**, ampliamente utilizada, fue puesta en "modo de mantenimiento" el jueves después de que su fabricante, el gigante tecnológico educativo **Instructure**, sufriera un robo de datos y enfrentara un intento de extorsión por parte de atacantes que usaban el reconocible alias **ShinyHunters**. Aunque los hackers han estado anunciando la brecha e intentando extraer un pago de rescate de **Instructure** desde el 1 de mayo, la situación adquirió una urgencia adicional para la gente común en EE. UU. y más allá el jueves, ya que la caída de **Canvas** causó caos en las escuelas, incluidas aquellas en medio de exámenes finales y trabajos de fin de año. ### Impacto en las Instituciones Educativas Universidades como **Harvard**, **Columbia**, **Rutgers** y **Georgetown** enviaron alertas a los estudiantes sobre la situación en los últimos días; otras instituciones, incluidos distritos escolares en al menos una docena de estados, también parecen haber sido afectadas. En una lista publicada por los hackers detrás del ataque en su sitio de la dark web enfocado en rescates, afirman que la brecha afectó a más de 8.800 escuelas. Sin embargo, la escala y el alcance exactos de la brecha no están claros. Y el hecho de que **Canvas** estuviera caído durante la tarde y noche del jueves complicó aún más el panorama. En un registro de actualización continua de incidentes que comenzó el 1 de mayo, **Steve Proud**, director de seguridad de la información de **Instructure**, dijo que la compañía "recientemente experimentó un incidente de ciberseguridad perpetrado por un actor de amenazas criminales". Añadió el 2 de mayo que "la información involucrada" para "usuarios en instituciones afectadas" incluía nombres, direcciones de correo electrónico, números de identificación de estudiantes y mensajes intercambiados por los usuarios en la plataforma. La situación finalmente se marcó como "Resuelta" el miércoles, y **Proud** escribió que "**Canvas** está completamente operativo y no estamos viendo ninguna actividad no autorizada en curso". Sin embargo, al mediodía del jueves, la página de estado de **Instructure** registró un "problema" donde "algunos usuarios tienen dificultades para iniciar sesión en los Portafolios Electrónicos de Estudiantes". En unas pocas horas, la compañía agregó otra actualización de estado: "**Instructure** ha puesto **Canvas**, **Canvas** Beta y **Canvas** Test en modo de mantenimiento". Al final de la noche del jueves, la compañía dijo que **Canvas** estaba disponible nuevamente "para la mayoría de los usuarios". ### Tácticas de Defacement y Extorsión TechCrunch informó el jueves que los hackers lanzaron una segunda ola de ataques, alterando los portales **Canvas** de algunas escuelas al inyectar un archivo HTML para mostrar su propio mensaje en las páginas de inicio de sesión de **Canvas** de las escuelas. Según The Harvard Crimson, los atacantes modificaron la página de inicio de sesión de **Harvard** **Canvas** para mostrar un mensaje que incluía una lista de escuelas que los hackers afirmaban que habían sido afectadas por la brecha. El mensaje de los atacantes "instaba a las escuelas incluidas en la lista de afectadas a consultar con una firma de asesoría cibernética y contactar al grupo de forma privada para negociar un acuerdo antes del final del día del 12 de mayo, o de lo contrario arriesgarse a que sus datos fueran filtrados", informó The Crimson. "No está claro qué información vinculada a afiliados de **Harvard** se incluyó en la supuesta brecha". **Instructure** no respondió de inmediato a una solicitud de comentarios sobre las interrupciones del jueves y cómo encajaban en el panorama general de la brecha. Pero la situación es significativa dado que un gran volumen de información de estudiantes ha sido potencialmente expuesto, y la visibilidad del incidente en todo el país lo convierte en un ejemplo clave de un problema persistente pero en constante escalada de extorsión de datos y ataques de ransomware. ### La Conexión ShinyHunters El nombre **ShinyHunters** está asociado con volcados masivos de datos y se ha relacionado con el infame colectivo de hackers conocido como **Com**. Pero a medida que la constelación de actores ha cambiado con los años, numerosos atacantes han adoptado los apodos más prominentes relacionados con **Com**. Varios ataques recientes han invocado otros nombres, como **Lapsus$**, con poca o ninguna conexión con el grupo original que operaba bajo ese nombre. En el caso de **Canvas**, es igualmente incierto quién está actuando detrás del nombre **ShinyHunters**. **Allison Nixon**, directora de investigación de la firma de ciberseguridad Unit 221b, quien ha rastreado de cerca a **ShinyHunters** y otros grupos de ransomware, dice que la actividad parece estar relacionada con la actividad reciente de un grupo de hackers a veces referido como ScatteredLapsus$Hunters. Temprano el jueves, un sitio de la dark web utilizado por hackers que operan bajo el nombre **ShinyHunters** para amenazar y extorsionar a sus objetivos, listaba tanto a **Instructure** como a las escuelas que usan su software como víctimas, junto con una nota de los hackers quejándose de que **Instructure** no había respondido a sus demandas de negociar un pago. "**Instructure** ni siquiera se ha molestado en hablar con nosotros para entender la situación o siquiera negociar con nosotros para evitar la publicación de estos datos", decía la declaración. "A la Compañía aparentemente no le importan todos los estudiantes afectados y las instituciones impactadas por este robo de datos". Sin embargo, para el jueves por la noche, esas referencias a **Instructure** y sus clientes habían desaparecido del sitio, que luego se volvió inactivo. Si bien las bandas de ransomware a veces eliminan a las víctimas de sus sitios de la dark web en respuesta a que aceptan pagar un rescate, las víctimas también pueden ser eliminadas por los hackers como táctica de negociación, dice **Nixon**. "Esta es a menudo una de sus tácticas de manipulación para intentar animar a la víctima a pagar. Así que mientras están negociando o después de haber pagado, pueden quitar a esa víctima del sitio, o dependiendo de cómo vayan las negociaciones, pueden volver a poner a la víctima", dice **Nixon**. Añade que, en medio de esas negociaciones, se sabe que los grupos de hackers asociados con **Com** escalan a tácticas coercitivas más extremas para maximizar el incentivo de la víctima a pagar, incluidos ataques de denegación de servicio distribuido, inundar a la empresa con llamadas telefónicas y correos electrónicos, e incluso amenazar a las familias de los ejecutivos. "Estas tácticas de presión empiezan a parecerse mucho más a la mafia violenta que a cualquier tipo de hackeo hábil", dice **Nixon**. De hecho, los hackers enumeran numerosas otras víctimas en su sitio de la dark web que previamente han sido reportadas como objetivos de **ShinyHunters**, incluyendo **Amtrak**, **Harvard**, **University of Pennsylvania**, **Rockstar Games**, **Match**, **Hinge** y **Bumble**, aunque WIRED no pudo confirmar si esas organizaciones habían sido realmente comprometidas por este subgrupo específico de **Com**. **Nixon** advierte que los hackers detrás del ataque a **Canvas** han utilizado datos antiguos o reciclados para exagerar las afirmaciones de brechas en el pasado. Sin embargo, este último ataque y la disrupción que ha causado a las escuelas en todo el país son demasiado reales, y representan una escalada significativa por parte de esta banda de ransomware en particular. "Es digno de mención que un pequeño número de delincuentes reincidentes puedan escalar durante años hasta llegar a este punto", dice **Nixon**. "Habla del problema sistémico internacional del cibercrimen y la necesidad de que los gobiernos de todo el mundo dejen a un lado la geopolítica y cooperen para detener a quienes extorsionan dinero y se aprovechan de los niños."