Un ciberataque masivo que paralizó la plataforma de aprendizaje en línea Canvas cuando comenzaron los exámenes finales en muchas universidades podría dejarlas en dificultades durante un mes y exponer al gigante del software educativo a importantes consecuencias legales y financieras, dijeron expertos en ciberseguridad a The Post.
La violación de la popular plataforma de aprendizaje, propiedad de Instructure, interrumpió las clases, los exámenes y las comunicaciones de los estudiantes en universidades y sistemas escolares en todo Estados Unidos y más allá después de que piratas informáticos vinculados al notorio grupo ShinyHunters dijeran que se infiltraron en el sistema y expusieron datos confidenciales de los usuarios. El grupo se dirigió a casi 9.000 escuelas y accedió a los datos de más de 275 millones de personas. según carta de rescate compartida en línea.
Instructure dijo que nombres, direcciones de correo electrónico, números de identificación de estudiantes y mensajes privados fueron comprometidos, al tiempo que agregó que no había evidencia de que contraseñas, números de Seguro Social o datos financieros estuvieran expuestos.
Hoy en día, las escuelas enfrentan un proceso de recuperación desalentador que podría extenderse semanas más allá del apagón inicial.
“La gran pregunta es cómo pudieron las escuelas haber evitado esto”, dijo Don Beeler, director de TDR Technology Solutions, una empresa de ciberseguridad y prevención de amenazas con sede en Nueva York.
“Existe tecnología disponible que podría reducir el impacto en las escuelas. Las que la tienen estarán operativas más rápidamente”.
Beeler dijo que es posible que las instituciones tengan que asumir que la infracción se extendió más allá del propio Canvas e infectó sus sistemas internos.
“Dependiendo de la infracción, la mayoría de las escuelas tendrán que asumir que afectó a otros sistemas internos”, dijo al Post.
“Dependiendo de la huella de ciberseguridad de la escuela, podría llevar de una a cuatro semanas resolver el problema. Es posible que tengan que apagar cada computadora y limpiarla antes de volver a encender cualquier cosa”.
El ciberataque tuvo lugar durante uno de los momentos más estresantes del año académico, cuando todos, desde profesores y adjuntos hasta estudiantes, confiaban en Canvas para los exámenes finales, las calificaciones y la entrega de tareas.
Varias universidades desactivaron temporalmente el acceso a la plataforma mientras sus departamentos de TI se apresuraban a determinar el alcance de la violación de datos.
Instructure dijo que detectó actividad no autorizada el 29 de abril y luego vinculó la intrusión a un problema relacionado con sus cuentas “Free-For-Teacher”.
La compañía desconectó Canvas el jueves después de que supuestamente se alteraran las páginas de inicio de sesión, lo que provocó cortes generalizados y pánico en los campus de todo el mundo.
El incidente ya plantea dudas sobre si Instructure y las escuelas afectadas tenían suficiente cobertura de seguro cibernético para absorber las consecuencias.
“La cobertura del seguro cibernético será un tema importante”, dijo Beeler al Post. “Las políticas varían. Si cubrirán eso, será una gran pregunta”.
La exposición legal podría convertirse en otro gran dolor de cabeza.
“El otro tema son las multas que Canvas podría enfrentar si permitiera que la información personal de los estudiantes quedara expuesta”, dijo Beeler, refiriéndose a la información de identificación personal.
“Las leyes estatales varían sobre este tema. Algunas pueden ser importantes si se descubre que han estado expuestas”.
La compañía dijo que contrató expertos forenses externos e informó a las agencias encargadas de hacer cumplir la ley, incluida la Oficina Federal de Investigaciones y la Agencia de Seguridad de Infraestructura y Ciberseguridad.
Mientras tanto, las escuelas han advertido a los estudiantes y profesores que estén atentos a los correos electrónicos de phishing y estafas relacionadas con la infracción.
Los expertos dicen que los ataques a plataformas educativas centralizadas pueden ser particularmente devastadores porque las universidades a menudo dependen de vastas redes de herramientas de terceros conectadas a registros de estudiantes, cursos y sistemas de comunicación.
“El mismo problema para Canvas”, dijo Beeler al Post.
“Una vez que comprendamos la infracción, será más evidente qué tecnología específica podría haber evitado la infracción”.
Este hack ya ha intensificado el escrutinio sobre si las escuelas dependían demasiado de una única plataforma para sus operaciones académicas clave.
Según se informa, algunas instituciones pasaron al correo electrónico, Microsoft Teams y sistemas de uso compartido en la nube después de la desaparición de Canvas.
Otros han renunciado a los cargos por pagos atrasados y a los exámenes retrasados, y los estudiantes ya no tienen acceso a las tareas ni a los materiales del curso.
Instructure no reveló cuántas instituciones se vieron directamente afectadas, aunque la compañía dice que Canvas es utilizado por más de 8.000 escuelas y universidades en todo el mundo.
La compañía dijo que la mayoría de los servicios fueron restablecidos el jueves, aunque algunos problemas de mantenimiento seguían bajo investigación.
Quedan dudas sobre el alcance de la violación, si se vieron comprometidos sistemas adicionales y si los reguladores o los fiscales generales estatales iniciarán investigaciones sobre la exposición de datos de los estudiantes.
El Post ha solicitado comentarios a Instructure.
