La empresa matriz de Canvas, la empresa estadounidense de tecnología educativa Instructor, anunció que había llegado a un «acuerdo» con un grupo descentralizado de extorsión de delitos cibernéticos después de que el grupo se infiltrara en su red y amenazara con divulgar información robada de miles de escuelas y universidades.
En una actualización compartida el lunes, la compañía con sede en Utah dijo que había «llegado a un acuerdo con los actores no autorizados involucrados en este incidente», citando «preocupaciones sobre la posible divulgación de datos».
Al tomar la controvertida decisión de pagar el rescate para evitar una infracción, la compañía dijo que el acuerdo cubría a todos los clientes afectados y que los datos robados se devolvían con una confirmación digital de la destrucción de los datos. La compañía también dijo que recibió informes de que ningún cliente individual de la compañía será extorsionado como resultado del ataque.
«Si bien no existe una certeza absoluta cuando se trata de ciberdelincuentes, creemos que es importante tomar todas las medidas que estén bajo nuestro control para brindarles a nuestros clientes mayor tranquilidad siempre que sea posible», dijo Instructor.
También dijo que está trabajando con proveedores especializados para respaldar el análisis forense, mejorar su postura de ciberseguridad y realizar una revisión integral de los datos relevantes.
Esta revelación se produce cuando el equipo de extorsión de ShinyHunters lanzó un ataque digital a fines del mes pasado contra Canvas, un popular sistema de gestión de aprendizaje basado en la web, que resultó en el robo de 3,65 TB de datos. Este incidente afectó a aproximadamente 9.000 organizaciones.
Aunque inicialmente se pensó que la violación estaba contenida, una segunda ola de fraude relacionada con el mismo incidente se detectó el 7 de mayo de 2026, cuando aproximadamente 330 portales de inicio de sesión de Canvas de instituciones fueron desfigurados con mensajes de extorsión, y a Instructure se le dio una fecha límite del 12 de mayo de 2026 para negociar un rescate o arriesgarse a una violación de datos.
Los atacantes supuestamente obtuvieron acceso inicial explotando una vulnerabilidad de «ticket de soporte» no especificada en el entorno Free-for-Teacher y desviaron aproximadamente 275 millones de registros, incluidos nombres de usuario, direcciones de correo electrónico, nombres de cursos, información de registro y mensajes. El instructor enfatizó que ningún contenido del curso, envíos o credenciales se vieron comprometidos.
En respuesta a esta infracción, Instructor cerró temporalmente la cuenta Free-For-Teacher. La compañía no reveló la naturaleza de la vulnerabilidad, pero dijo que revocó credenciales privilegiadas y tokens de acceso en los sistemas afectados, rotó claves internas, restringió las rutas de creación de tokens e implementó controles de seguridad adicionales.
«Los datos filtrados proporcionan a los actores de amenazas suficiente contexto personal para llevar a cabo campañas de phishing dirigidas al personal, estudiantes, padres, etc.», dijo Halcyon.
«Los registros filtrados podrían usarse para hacerse pasar por administradores escolares, soporte de TI u oficinas de ayuda financiera en ataques posteriores. Se debe considerar a los estudiantes, padres y personal de las instituciones afectadas, y las instituciones deben emitir inmediatamente avisos de phishing y contactarlos directamente».
Source link
