La plataforma de aprendizaje usada por miles de universidades del mundo, incluyendo Canadá, sufrió una intrusión detectada el 29 de abril. Nombres, correos electrónicos y mensajes privados fueron robados. Los atacantes exigen un rescate para no publicar la información.
Millones de estudiantes y docentes de todo el mundo amanecieron el pasado jueves con una pantalla inesperada al intentar acceder a sus cursos en Canvas: un mensaje del grupo hacker ShinyHunters reivindicando un ciberataque masivo que, según sus propias cifras, habría comprometido los datos personales de nada menos que 275 millones de usuarios, entre alumnos, profesores y personal administrativo.
Las universidades canadienses no han sido ajenas a esta debacle. Instituciones de primer nivel como la Universidad de Toronto, la Universidad de British Columbia (UBC), la Universidad de Alberta y la Escuela de Negocios Ivey de Western University figuran entre las afectadas. El incidente, que ha puesto en jaque a una de las plataformas educativas más utilizadas del planeta, ha reabierto el debate sobre la seguridad de los datos en la era digital y la responsabilidad de los proveedores externos.
¿Qué es Canvas y qué datos se han filtrado?
Canvas es un sistema de gestión de aprendizaje (LMS) empleado por universidades, colegios comunitarios y algunos centros de educación K-12. Los profesores lo utilizan para compartir materiales de curso, apuntes, tareas, exámenes, vídeos y también para comunicarse con los estudiantes y publicar calificaciones.
Según Instructure, la empresa propietaria de Canvas, la información que pudo haber sido extraída incluye nombres completos, direcciones de correo electrónico, números de estudiante y mensajes personales intercambiados dentro de la plataforma. La compañía detectó la actividad no autorizada el pasado 29 de abril, cuando un tipo específico de cuenta de profesor fue utilizado como puerta de entrada. Aunque ese acceso fue revocado de inmediato, el pasado jueves se detectaron movimientos adicionales que obligaron a Instructure a desconectar la plataforma para llevar a cabo una investigación en profundidad.
Punto clave: La empresa afirma que, hasta el momento, no hay evidencia de que contraseñas, información financiera o números de identificación gubernamentales hayan sido comprometidos. Sin embargo, los expertos advierten que este tipo de declaraciones no deben tomarse como una garantía absoluta.
El perfil de los atacantes: ShinyHunters, un grupo con historial
El grupo que se ha atribuido la responsabilidad no es un recién llegado al mundo del cibercrimen. ShinyHunters ha sido vinculado anteriormente con ataques de alto perfil, incluyendo la filtración de datos de Ticketmaster y el acceso a la base de datos de Salesforce de Google. Su modus operandi suele ser el mismo: infiltrarse en sistemas, extraer grandes volúmenes de información y luego amenazar con hacerla pública si no se paga un rescate. En esta ocasión, el grupo no ha revelado la cantidad exigida, limitándose a hablar de un «acuerdo» económico.
¿Cómo puede usarse esta información en tu contra?
Robert Falzon, responsable de ingeniería para Canadá de la firma de ciberseguridad Check Point Software, explica que las escuelas son un objetivo ideal para los hackers porque los estudiantes se encuentran «al comienzo de su viaje financiero». Por lo general, no tienen grandes préstamos ni deudas, pero sí un historial limpio que puede ser utilizado para construir identidades falsas.
«Esos datos pueden combinarse con información de otras filtraciones para crear perfiles completos. Con ellos se pueden solicitar préstamos, pedir hipotecas o cometer diversos tipos de fraude financiero», señala Falzon. Y añade una advertencia escalofriante: «En algunos casos, la víctima puede tardar años en descubrir que ha sido suplantada».
Luke Connolly, analista de inteligencia sobre amenazas de la firma Emsisoft, califica la filtración como «muy preocupante» porque hay muchas formas de hacer un mal uso de los datos robados, desde el phishing dirigido hasta la extorsión directa.
La reacción de las universidades y los estudiantes
En Estados Unidos, donde muchas universidades estaban en plena época de exámenes finales, los estudiantes inundaron TikTok con capturas de pantalla del mensaje de ShinyHunters. En Canadá, donde el periodo de exámenes de primavera acaba de terminar, la confusión también se ha apoderado de los campus.
Deborah Elezaj, estudiante de pregrado en la Universidad de Toronto, relató a este diario: «Entré a Canvas automáticamente por la mañana, como siempre. Luego recibí un correo de la universidad diciendo que no lo hiciera y que cambiara mi contraseña. Ya era tarde». Su compañera Emily Saso añadió que la idea de que sus datos personales estén circulando por la red es «algo que pone muy nervioso».
Ante la situación, algunas instituciones como la U de A, UBC y U de T han suspendido o desaconsejado el uso de Canvas, mientras que otras han vuelto a la plataforma tras su restauración. La mayoría ha enviado mensajes advirtiendo sobre correos de phishing. La Universidad de Toronto publicó el viernes por la tarde: «Recomendamos al profesorado, personal y estudiantes que se mantengan alerta. Recuerden que la universidad nunca les pedirá que omitan su autenticación multifactor».
¿Pagar o no pagar?
David Shipley, director ejecutivo de Beauceron Security en Fredericton, señala que las instituciones afectadas se encuentran en un «aprieto terrible»: dependen de Canvas para servicios que no podrían ofrecer digitalmente por sí mismas. Sin embargo, Connolly se muestra reacio a que alguna escuela considere pagar el rescate. «Pagar alienta a los criminales a seguir buscando nuevas víctimas y financia el desarrollo de nuevas técnicas para explotar a otros», advierte.
Responsabilidades y medidas de protección
Para Falzon, la ciberseguridad es «problema de todos». Las escuelas tienen la responsabilidad de usar las mejores herramientas posibles, seguir protocolos y proteger a los estudiantes. Pero los proveedores externos también están obligados a ofrecer servicios seguros. «No basta con auditorías de ciberseguridad de vez en cuando. Los ataques ocurren a diario. Debemos acortar los ciclos y crear conciencia», afirma.
Shipley va más allá: pide leyes federales de privacidad más sólidas y «consecuencias reales» para las empresas que sufran brechas, al estilo de las multas millonarias que se imponen en Europa. «Las empresas que saben que enfrentarán sanciones gestionan mejor los riesgos. Sin consecuencias, las compañías privadas orientadas al beneficio no invertirán en seguridad», sentencia.
Mientras tanto, los estudiantes y el personal pueden tomar algunas medidas: cambiar las contraseñas con regularidad, activar la autenticación multifactor si no lo han hecho, informar a su banco si forman parte de la filtración, suscribirse a servicios de monitoreo de crédito y, sobre todo, reconsiderar cuánta información personal comparten en redes sociales (dónde viven, qué cursos toman, etc.).
El ciberataque a Canvas no es un hecho aislado. Es el último eslabón de una cadena de vulnerabilidades que expone a millones de personas cada año. Y mientras las instituciones educativas y las empresas tecnológicas discuten de quién es la culpa, los datos de cientos de millones de estudiantes siguen en manos de quienes saben exactamente qué hacer con ellos.
