ADespués de una semana de interrupciones, cientos de millones de datos de estudiantes robados, fechas de entrega de tareas retrasadas y páginas de inicio de sesión de escuelas desfiguradas por piratas informáticos, la empresa de tecnología estadounidense Instructure –que opera la plataforma educativa Canvas, utilizada por proveedores de educación en todo el mundo– anunció que había “llegado a un acuerdo con el actor no autorizado” detrás del ataque de ransomware.
Los expertos ven este lenguaje cauteloso como una señal de que se ha pagado un rescate. La empresa no lo ha confirmado.
La cuestión de si las empresas deberían pagar a los atacantes de ransomware para recuperar el acceso a sus sistemas y potencialmente evitar mayores daños por la divulgación de información personal de (en algunos casos millones) es una cuestión que enfrentan miles de empresas cada año. Aunque los gobiernos de todo el mundo lo desaconsejan, muchos acaban haciéndolo.
El grupo de hackers ShinyHunters se atribuyó la responsabilidad del ataque a Instructure. Habían amenazado con revelar la informó 3,6 TB de datos (incluidos números de identificación de estudiantes, direcciones de correo electrónico, nombres y mensajes de 9.000 escuelas y 275 millones de estudiantes y empleados en todo el mundo) a menos que la empresa pague el rescate.
En Australia, más de dos docenas de universidades y escuelas públicas y privadas en varios estados fueron víctimas del ataque. RMIT y UTS estuvieron entre los que otorgaron extensiones de tareas ya que los estudiantes frustrados no pudieron acceder al portal.
Más tarde, Instructure confirmó que los piratas informáticos explotaron una vulnerabilidad en su software Free for Teacher que les permitió alterar páginas de inicio de sesión, como la de la Universidad de Texas en San Antonio, para alertar a los usuarios de la infracción.
La compañía dijo esta semana que los datos le habían sido “devueltos” como parte del acuerdo con los piratas informáticos, y que también había recibido una “confirmación digital de la destrucción de datos” a través de registros de destrucción, un informe técnico generado por un programa que procesa los datos que se van a destruir de una manera que los hace irrecuperables.
“Si bien nunca hay una certeza total cuando se trata de ciberdelincuentes, creemos que era importante tomar todas las medidas que estuvieran bajo nuestro control para brindar a los clientes una mayor tranquilidad, siempre que fuera posible”, dijo la compañía la semana pasada.
Darren Hopkins, jefe de delitos cibernéticos de la firma de delitos cibernéticos McGrathNicol, dice que la declaración de Canvas estuvo “bien redactada (de una manera) que no necesariamente admite nada, pero también demuestra que firmaron un acuerdo”.
“ShinyHunters es un grupo de extorsión”, dijo. “Eso es lo que están haciendo. ¿Qué otro acuerdo van a encontrar?”
El experto en ciberseguridad de Aegis, Luke Irwin, cree que, basándose en las demandas de rescate de 10 millones de dólares, es posible que Instructure -o su aseguradora- haya pagado hasta esa cantidad, pero dice que también es posible que se haya negociado una reducción.
“Instructure está tratando con una organización criminal y les estás tomando la palabra de que se comprometerán a obtener estos resultados”, dice. “Esta es una posición impulsada por el riesgo para que trabaje Instructure”.
¿Pagar o no pagar?
La mayoría de los gobiernos desaconsejan el pago de rescates, incluso en el Reino Unido, EE. UU. y Australia, pero las prohibiciones totales son raras, afirma la empresa de tecnología Akamai en su informe sobre el estado de la industria del ransomware en 2025.
“Si no se pagan los rescates, la eficacia del vector de ataque se reduce y potencialmente se vuelve menos atractivo para los grupos de hackers”, dice el informe.
En Australia, pagar a un atacante designado en virtud de la Ley de Sanciones Cibernéticas independiente podría constituir un delito penal. La oficina de sanciones dice que revisará cualquier pago realizado “caso por caso” para determinar si está sujeto a procesamiento.
Los pagos podrían financiar otras actividades delictivas y, en última instancia, no hay garantía de que el pago de un rescate o la extorsión impida la divulgación de datos o detenga las amenazas, afirma Akamai.
Como parte de las obligaciones de presentación de informes obligatorias de Australia que comenzaron a finales de mayo del año pasado, 75 empresas con al menos 3 millones de dólares de ingresos anuales pagaron rescates a finales de enero de 2026.
El gobierno no revela cuánto se pagó. Un informe sobre ransomware de McGrathNichol de noviembre encuestó a 800 ejecutivos de empresas australianas con 50 o más empleados y encontró que la cantidad promedio pagada en Australia fue de 711.000 dólares, frente a los 1,35 millones de dólares del año anterior.
El informe revela que el 64% de las empresas ha decidido pagar un rescate y el 81% de las empresas dice que hipotéticamente estarían dispuestas a pagar un rescate.
Hopkins dice que las empresas están cada vez mejor preparadas para un ciberataque, lo que significa que es menos probable que tengan que pagar a los piratas informáticos para desbloquear los sistemas bloqueados. En cambio, las empresas se han centrado más en intentar evitar mayores daños pagando a los piratas informáticos que filtran los datos.
“Canvas fue interesante porque todos sospechábamos que (Instructure) estaba interactuando con el actor de la amenaza muy rápidamente porque estaba en el sitio de la filtración y (la publicación) había sido eliminada”.
“¿Qué tan honesto es eso, criminal?”
La pregunta que le hacen a Hopkins en las salas de juntas de toda Australia, cuando capacita a las empresas sobre ciberataques, es: ¿realizar un pago impedirá la divulgación de datos?
“Esta pregunta sobre ‘¿qué tan honesto es este criminal?’ “Surge todo el tiempo”, dice.
“El modelo de negocio (de los hackers) necesita que demuestren que son honestos, porque nadie les pagaría jamás. Así que ese es un factor de confianza importante”.
Irwin dice que lo mejor para ShinyHunters es actuar de buena fe y servir como ejemplo para otras organizaciones que puedan verse comprometidas, de modo que las futuras víctimas tengan más probabilidades de pagar.
Sin embargo, Hopkins añade: “No se puede contar con que no sean lo que son, que son criminales”.
“Nos dan capturas de pantalla diciendo ‘aquí estamos borrando cosas’… no sabes si hicieron una copia, o qué hicieron más allá de eso”, dice.
“Le mostrarán lo que necesita ver para poder realizar el pago y no tendrá acceso para validar ninguna de esas cosas”.
