Un ciberataque contra Canvas, una de las plataformas educativas más extendidas en Estados Unidos, ha comprometido los datos personales de más de 275 millones de alumnos y profesores de casi 9.000 centros. La intrusión también dejó el servicio fuera de funcionamiento durante varias horas en plena temporada de exámenes y entregas finales.
La brecha combina dos impactos a la vez. Por un lado, afecta a una herramienta básica para la actividad diaria de universidades y centros educativos. Por otro, los atacantes amenazaron con publicar la información obtenida en la dark web si no recibían un pago antes del 12 de mayo.
El ataque afectó a 275 millones de usuarios de casi 9.000 centros
Entre los datos comprometidos figuran nombres, direcciones de correo electrónico, números de identificación y mensajes intercambiados dentro de Canvas. Instructure, la empresa proveedora de la plataforma, indicó que no hay evidencias de filtración de contraseñas ni de datos financieros.
La compañía definió lo ocurrido como un incidente de ciberseguridad perpetrado por un actor criminal amenazador. La autoría de la filtración se atribuye al grupo ShinyHunters.
Durante varias horas, el ataque interrumpió el funcionamiento de Canvas en un momento de máxima actividad académica. Varias universidades suspendieron servicios digitales y limitaron el acceso a la plataforma mientras revisaban el alcance de la intrusión.
Los atacantes alteraron las pantallas de acceso y fijaron el 12 de mayo
Algunos centros activaron medidas preventivas de inmediato. Entre ellas, forzaron cierres de sesión y recomendaron cambios urgentes de contraseña a sus usuarios.
TechCrunch explicó que, tras analizar los portales manipulados, los atacantes inyectaron un archivo HTML que modificó las pantallas de inicio de sesión para mostrar su mensaje. Ese detalle apunta a una manipulación directa de los accesos visibles para alumnos y profesores.
A día de hoy no ha trascendido el método exacto utilizado para entrar en esas páginas de acceso. La información disponible apunta, no obstante, a una segunda brecha de seguridad en el entorno de la plataforma.
La amenaza de los responsables de la filtración fija una fecha concreta para la extorsión, ya que advirtieron de que publicarían la información robada en la dark web si no cobraban antes del 12 de mayo.