Instructure llegó a un acuerdo con el grupo ShinyHunters tras el robo de datos de 275 millones de usuarios de Canvas, asegurando que la información fue destruida. Sin embargo, expertos en ciberseguridad advierten que es improbable que los criminales hayan borrado los archivos y prevén futuras campañas de phishing. El caso resalta la vulnerabilidad del sector educativo y la presión que enfrentan las instituciones para pagar rescates y evitar daños mayores.



Cuando Instructure “llegó a un acuerdo” con el grupo de robo de datos y extorsión ShinyHunters esta semana, el gigante de la tecnología educativa aseguró a los usuarios de Canvas —después de que los atacantes afirmaran haber robado datos vinculados a 275 millones de estudiantes, profesores y personal— que sus chats privados y direcciones de correo electrónico no aparecerían en un mercado de la dark-web y que no serían extorsionados por el incidente.

“Recibimos confirmación digital de la destrucción de los datos (registros de trituración)”, aseguró Instructure a las casi 9.000 universidades y escuelas K-12 afectadas. “Se nos ha informado de que ningún cliente de Instructure será extorsionada como resultado de este incidente, pública o de cualquier otra forma”.

Ni un solo experto con el que habló The Register cree que esto sea cierto.

“¿Creo que borraron los datos? No. Son criminales y escoria”, nos dijo Allan Liska, analista de inteligencia de amenazas de Recorded Future, también conocido como el Ransomware Sommelier.

“Pero esto es parte de lo que Max Smeets llama ‘La Paradoja de la Confianza del Ransomware [enlace]’, añadió. “Los grupos de ransomware tienen que, como mínimo, no publicar datos que afirmaron haber borrado o nadie les pagará en el futuro, pero esto se hace sabiendo que lo más probable es que los datos no hayan sido eliminados”.

Cynthia Kaiser, vicepresidenta del Centro de Investigación de Ransomware de Halcyon, quien anteriormente pasó dos décadas en el FBI, dijo que no cree que nadie que estudie las operaciones de los grupos de ransomware crea que la banda realmente destruyó los archivos robados.

La realidad operativa a las 3 a.m. durante la semana de finales o la temporada de inscripción puede empujar a las instituciones hacia un cálculo muy diferente

“‘Destruimos los datos’ es una frase estándar de los grupos de extorsión una vez que se realiza un pago o concluyen las negociaciones, pero tiempo tras tiempo se ha demostrado que es falsa”, dijo Kaiser a The Register. “ShinyHunters, en particular, tiene un historial documentado de reciclar, revender y volver a aprovechar los datos robados en diversas campañas; datos que afirmaban que estaban contenidos de intrusiones anteriores han resurgido en foros criminales meses y años después”.

Kaiser tampoco cree que esta sea la última amenaza que las escuelas enfrentarán a raíz de la brecha de Canvas.

“Halcyon espera olas de phishing dirigidas contra el personal, estudiantes y padres durante los próximos 6 a 12 meses, utilizando nombres filtrados, direcciones de correo electrónico y el contexto de los chats de Canvas para que los engaños sean convincentes”, afirmó.

Para ser claros: los ejecutivos de Instructure nunca dijeron directamente que la empresa pagó el rescate, y no conocemos la cantidad exacta de dinero que los criminales exigieron al negocio de aprendizaje digital.

Sabemos, sin embargo, que “llegar a un acuerdo” es lenguaje corporativo para decir que la víctima pagó. Doug Thompson, arquitecto jefe de educación en la firma de ciberseguridad Tanium, estima que la cifra se sitúa entre 5 y 30 millones de dólares.

Mientras tanto, este último ataque de extorsión ilustra la elección imposible que enfrentan las organizaciones encargadas de proteger los datos de las personas cuando los ladrones digitales vulneran sus redes y roban información sensible.

“El FBI dice que no pagues”, dijo Thompson a The Register. “Pero la realidad operativa a las 3 a.m. durante la semana de finales o la temporada de inscripción puede empujar a las instituciones hacia un cálculo muy diferente. Hasta que esa estructura de incentivos cambie, es probable que la educación siga siendo inusualmente vulnerable a la presión de la extorsión”.

¿Pagar o no pagar?

El gobierno federal de los EE. UU., las agencias de seguridad y los analistas de inteligencia de amenazas del sector privado aconsejan a las víctimas no pagar un rescate [enlace].

“Pagar los rescates recompensa e incentiva a los criminales, financiando su búsqueda de nuevas víctimas, y he abogado durante mucho tiempo por una prohibición de los pagos de ransomware”, nos dijo Luke Connolly, analista de amenazas de Emsisoft. “Pero a falta de una regulación aplicable a todas las organizaciones, la cruda realidad es que Instructure se enfrentó a una crisis y negociaron para intentar minimizar el riesgo y el daño”.

Ninguna empresa quiere pagar un rescate a sus atacantes, y la mayoría dice que no lo hará —al menos en principio— porque no quieren financiar operaciones criminales e incentivar a los delincuentes.

Tampoco hay garantía de que el pago asegure la devolución de sus datos o evite intentos adicionales de extorsión. CrowdStrike encuestó a 1.100 líderes de seguridad globales el verano pasado, y del 78 por ciento que afirmó haber sufrido un ataque de ransomware en el último año, el 83 por ciento de los que pagaron rescates [enlace] fueron atacados nuevamente. Además, el 93 por ciento perdió datos independientemente del pago.

Aunque los datos sugieren que menos organizaciones están pagando las demandas de rescate de los criminales —Chainalysis encontró que el porcentaje de víctimas que pagan en 2025 cayó a un mínimo histórico del 28 por ciento, a pesar de que los ataques alcanzaron máximos récord— cuando se enfrentan a una extorsión o a una infección de ransomware, el debate de “pagar o no pagar” se vuelve mucho más complicado.

“La mayoría de las organizaciones siguen diciendo públicamente que no pagarán, y muchas genuinamente no lo hacen, pero cuando la alternativa es un daño masivo a estudiantes, padres y miles de instituciones clientes, el cálculo cambia”, dijo Kaiser. “Los grupos de 'pagar o filtrar' como ShinyHunters diseñan específicamente ese cálculo creando una intensa presión financiera y reputacional, y cuando las demandas no se cumplen, escalan al acoso directo de las empresas víctimas, empleados y clientes”.

ShinyHunters hizo precisamente eso. El grupo comprometió inicialmente a Instructure a finales de abril, y después de que pasara la fecha límite inicial de pago o filtración el 6 de mayo, ShinyHunters cambió de táctica a la extorsión escuela por escuela. Inyectaron un mensaje de rescate en unos 330 portales de inicio de sesión de escuelas de Canvas, provocando que Instructure sacara la plataforma de línea durante un día, durante los exámenes finales y las pruebas de Colocación Avanzada para muchos.

Otros criminales de ransomware han llegado a extremos horrorosos, publicando fotos y direcciones de niños de preescolar en un esfuerzo por obtener un pago, filtrando fotos desnudos de pacientes con cáncer y amenazándolos con ataques de "swatting".

Charles Carmakal, CTO de Mandiant Consulting, dijo anteriormente a The Register que las infecciones de ransomware se han transformado en “ataques psicológicos”, con delincuentes realizando SIM swapping de los hijos de los ejecutivos para presionar a sus padres a pagar.

Calculando el riesgo

Además de responder a los criminales que acosan directamente a sus estudiantes, pacientes, clientes y empleados, las organizaciones víctimas también deben tener en cuenta las posibles demandas si los delincuentes vuelcan los datos personales o de salud de los individuos, y el golpe reputacional de ver toda esta información protegida publicada en línea.

La decisión sobre qué hacer en un ataque de ransomware gira en torno a la reducción de riesgos, dijo Liska.

“No pagar un rescate significa un mayor riesgo de exposición de datos, lo que en este caso podría causar un daño grave”, nos dijo. “Si bien no hay una decisión buena en la mayoría de las negociaciones de ransomware, la idea es proteger a la mayor cantidad de personas posible y eso puede significar que pagar sea la opción menos mala”.

Aunque no respondió ni investigó el caso de Instructure, “proteger los datos de los niños es absolutamente un factor crítico en este tipo de decisiones, especialmente cuando los ataques se originan en uno de los grupos asociados con The Com”, añadió Liska.

The Com, un grupo laxamente organizado de hablantes principalmente ingleses que también participan en varias redes interconectadas de hackers, SIM swappers y extorsionadores como ShinyHunters y Scattered Lapsus$ Hunters, ha sido conocido por chantajear a niños y adolescentes para que lleven a cabo tiroteos, apuñalamientos y otros actos criminales en la vida real.

“Se sabe que estos grupos coaccionan a las víctimas mediante amenazas de daño físico, incluyendo el bloqueo de dispositivos y el swatting”, dijo. “No pagar podría haber aumentado el riesgo de daño grave para los niños cuyos datos fueron expuestos”.

El sector educativo 'más propenso a pagar'

La intrusión de Instructure sigue a otros ataques de alto perfil contra proveedores de software del sector educativo.

En diciembre de 2024, PowerSchool sufrió una brecha que afectó a decenas de millones de estudiantes. Se informó que la empresa pagó unos 2,85 millones de dólares [enlace] en bitcoin a cambio de un vídeo que supuestamente mostraba a los atacantes destruyendo los datos. Pero unos cinco meses después, en mayo de 2025, los clientes de distritos escolares del proveedor de tecnología educativa recibieron amenazas de extorsión individuales ya sea de la misma banda de ransomware que atacó a PowerSchool o de alguien conectado a los delincuentes.

A principios de este año, ShinyHunters afirmó que robó datos del proveedor de software K-12 Infinite Campus [enlace] como parte de una ola más amplia de intrusiones relacionadas con Salesforce.

“La educación sigue emergiendo como uno de los sectores donde las organizaciones son más propensas a pagar bajo presión”, dijo Thompson.

Además de que los datos de los estudiantes —especialmente de los menores— contienen detalles personales altamente sensibles y, por lo tanto, representan un objetivo atractivo para los atacantes, esto también está impulsado en parte por la presión del mercado y la economía.

Habrá ataques futuros, sin duda

Es costoso e inconveniente para las escuelas cambiar los sistemas de gestión de aprendizaje, y normalmente están atadas a contratos plurianuales con estos proveedores de software, según Thompson.

“El otro problema es la concentración”, dijo. “Un número relativamente pequeño de proveedores posee datos de porciones enormes del sistema educativo. PowerSchool, Infinite Campus, Canvas, Blackboard; esos cuatro poseen registros de casi todos los estudiantes estadounidenses, y los hackers lo saben. Tres de los cuatro han sido vulnerados a una escala de millones de registros en los últimos 18 meses”.

Thompson dijo que espera que sigan ocurriendo ataques adicionales contra las principales plataformas educativas.

“La economía es buena. Instructure pagó. PowerSchool pagó el año pasado. La junta de cualquier otro proveedor de tecnología educativa acaba de tener una conversación sobre cuál sería su cifra”, nos dijo. “El patrón está establecido”.

Según Connolly, las universidades y escuelas K-12 afectadas por el hackeo de Canvas no deberían considerar que sus datos están seguros, independientemente de las garantías de Instructure o las promesas de los delincuentes de eliminarlos. “Habrá ataques futuros, sin duda”.

Fuente:
TheRegister