Siga ZDNET: Agréganos como fuente preferida en Google.

Conclusiones clave de ZDNET

• Canvas se vio interrumpido esta semana por un ciberataque.
• Muchos estudiantes no pueden acceder al popular portal educativo.
• Instructure dice que los datos fueron robados; qué deben hacer los usuarios de Canvas a continuación.

Canvas está en el centro de un intento de extorsión de datos y ciberataque en curso por parte de un conocido grupo cibercriminal que afirma haber robado registros de estudiantes. Si es usuario de Canvas, puede tomar medidas defensivas ahora.

¿Qué es el lienzo?

Canvas es un sistema de gestión de aprendizaje (LMS) de Instructure, una empresa de tecnología educativa con sede en Salt Lake City fundada en 2008.

Diseñado para el aprendizaje remoto, Canvas ha sido adoptado por miles de escuelas para la creación y gestión de cursos, calificación, comentarios y envío de trabajos de curso. Instructure dice que el LMS ahora admite decenas de millones de usuarios (estudiantes y padres) y ha registrado 27 millones de descargas de aplicaciones móviles. Canvas está disponible en más de 100 países.

¿Qué pasó?

Si bien Canvas cuenta con un aviso de tiempo de actividad del 100% en su sitio web, el CISO de Instructure, Steve Proud, dijo la semana pasada que el LMS había «experimentado recientemente un incidente de ciberseguridad perpetrado por un actor de amenazas criminales».

La empresa comenzó a investigar. El 6 de mayo, Proud dijo que la compañía creía que el incidente había sido «contenido», pero que algunos datos podrían haber quedado expuestos, y los estudiantes no tardaron mucho en comenzar a informar problemas de inicio de sesión.

El jueves 7 de mayo, las interfaces de inicio de sesión de Canvas fueron desfiguradas y, según se informa, el grupo ShinyHunters publicó notas de rescate mientras pasaba del robo de datos a la extorsión pública. Los estudiantes que intentaron iniciar sesión no pudieron acceder a los materiales del curso, probablemente un intento deliberado de los ciberatacantes de presionar a Instructure para que pagara, con los exámenes finales a la vuelta de la esquina.

En respuesta, Canvas mostró una página de modo de mantenimiento, una acción que generó críticas.

La nota de rescate de los piratas informáticos, que desde entonces ha circulado en línea, exige que Instructure se comunique con el grupo antes del 12 de mayo.

«ShinyHunters ha violado Instructure (nuevamente)», se lee en la nota. «En lugar de contactarnos para resolverlo, nos ignoraron e hicieron algunos ‘parches de seguridad'».

Si bien, según se informa, el acceso se ha restablecido para la mayoría de los usuarios, a medida que se acerca la fecha límite, es posible que este no sea el final de la historia.

¿Qué es ShinyHunters?

ShinyHunters es un colectivo de ciberdelincuentes que extorsiona a las empresas para obtener pagos. Desde que apareció en los titulares en 2020 con una serie de infracciones de la empresa, ShinyHunter modus operandi es infiltrarse silenciosamente en una empresa objetivo, robar información y luego presionar públicamente a la víctima para que pague un «acuerdo».

A menudo asociado con filtraciones a gran escala, ShinyHunters, como muchos otros grupos de ciberdelincuentes, opera un «sitio de filtraciones». Los sitios de filtración son sitios web de acceso público que enumeran a las presuntas víctimas y los artículos robados y, a menudo, incluyen una exigencia de pago.

Si una víctima no cumple, la información robada puede ser publicada. Eliminar el nombre de la víctima del sitio de la filtración también puede ser parte de las negociaciones.

¿Qué información fue robada?

ShinyHunters ha amenazado con filtrar datos sobre aproximadamente 275 millones de estudiantes de 8.800 instituciones académicas si no se cumplen sus demandas.

Según Instructure, los datos expuestos pueden incluir:

• Nombres
• Direcciones de correo electrónico
• Números de identificación de estudiante
• Mensajes entre usuarios

«En este momento, no hemos encontrado evidencia de que contraseñas, fechas de nacimiento, identificadores gubernamentales o información financiera estuvieran involucrados», dijo Instructure. «Si eso cambia, notificaremos a las instituciones afectadas».

La respuesta de la infraestructura

No se sabe si Instructure se ha comunicado con ShinyHunters. Instructure dijo que actualmente «no ve ninguna actividad no autorizada en curso».

La compañía revocó credenciales privilegiadas y tokens de acceso asociados con los sistemas afectados, implementó parches de seguridad (aunque aún no se han hecho revelaciones de vulnerabilidades asociadas) y rotó claves de seguridad. Instructure dijo que también ha intensificado el monitoreo en todas sus plataformas.

«Como precaución, recomendamos a los clientes seguir las mejores prácticas de seguridad, incluida la aplicación de MFA en cuentas privilegiadas, la revisión del acceso de administrador y la rotación de tokens o claves API cuando corresponda», agregó la compañía.

6 pasos a seguir inmediatamente

1. Actualizaciones escolares: Dado que este incidente de seguridad parece afectar a miles de escuelas e instituciones académicas, comuníquese con su institución o visite su sitio web y canales de comunicación para obtener actualizaciones.
2. Contraseñas: Siempre que sospeches que has estado involucrado en una violación de datos, lo primero que debes hacer es cambiar la contraseña que utilizas para acceder a tu cuenta. Si está utilizando la misma contraseña para acceder a otros servicios en línea, cámbiela también. Si el grupo de ransomware publica datos robados y logra obtener credenciales, esas credenciales pueden hacerse públicas. Debería considerar utilizar un administrador de contraseñas para crear contraseñas complejas y recibir alertas de fugas.
3. ¿Me han engañado?: Es demasiado pronto para que esta violación de datos y cualquier fuga de datos posterior se registren en Have I Been Pwned, pero recomendamos visitar este sitio web con frecuencia para verificar si ha estado involucrado en alguna violación de datos en línea. Es gratis y todo lo que necesitas hacer es buscar con tu dirección de correo electrónico.
4. Habilitar 2FA/MFA: Si aún no lo ha hecho, habilite la autenticación de dos factores o multifactor en sus cuentas asociadas.
5. Esté atento a su correo electrónico: Si Canvas sigue los procedimientos adecuados, debería informar a los usuarios si su información ha sido expuesta; esté atento a cualquier actualización.
6. Cuidado con el phishing: Sin embargo, si las direcciones de correo electrónico o los datos de contacto robados se filtran en línea, pueden usarse en campañas de phishing específicas, así que tenga cuidado si recibe correspondencia que parece provenir de su escuela o del propio Canvas. Si hay algún indicio de un intento de phishing, como gramática extraña, direcciones de correo electrónico falsificadas o solicitudes para hacer clic en enlaces no oficiales o abrir archivos adjuntos, verifíquelo primero por teléfono o por otro medio.

Nos comunicamos con Instructure para hacer comentarios y un portavoz compartió esta declaración:

Ayer, Instructure descubrió que el actor no autorizado involucrado en nuestro incidente de seguridad en curso realizó cambios en las páginas que aparecían cuando algunos estudiantes y maestros iniciaban sesión. Por precaución, inmediatamente desconectamos Canvas para contener el acceso e investigar más a fondo. Hemos confirmado que el actor no autorizado aprovechó un problema relacionado con nuestras cuentas Free-For-Teacher. Como resultado, hemos tomado la difícil decisión de cerrar temporalmente nuestras cuentas de Free-For-Teacher. Esto nos da la confianza para restaurar el acceso a Canvas, que ahora está completamente nuevamente en línea y disponible para su uso. Lamentamos las molestias y la preocupación que esto haya podido causar.