Legisladores de EE. UU. exigen explicaciones a Instructure por los ciberataques a Canvas que afectan a escuelas

Los legisladores estadounidenses intensifican el escrutinio sobre Instructure tras dos ataques a su plataforma educativa Canvas que expusieron datos de estudiantes y afectaron a escuelas durante los exámenes finales. En una carta enviada esta semana, el Comité de Seguridad Nacional de la Cámara de Representantes pidió a la empresa que informe al Congreso antes del 21 de mayo sobre lo ocurrido, cómo se contuvieron las intrusiones y cómo Instructure coordina con agencias federales.

El caso es relevante porque Canvas es infraestructura crítica para universidades, distritos escolares y programas en línea. Una brecha en un sistema de gestión del aprendizaje no solo genera riesgos de privacidad. También puede interrumpir exámenes, cursos, la comunicación entre docentes y alumnos, y los flujos administrativos en el peor momento del calendario académico.

Según BleepingComputer, que informó por primera vez partes clave del incidente, Instructure dijo haber detectado la intrusión original el 29 de abril y luego confirmó que los atacantes robaron nombres, direcciones de correo electrónico, números de identificación estudiantil y mensajes intercambiados entre estudiantes y profesores. La empresa aseguró que las contraseñas, datos financieros e identificadores gubernamentales no formaban parte del conjunto expuesto. ShinyHunters afirmó haber robado 280 millones de registros de 8,809 escuelas, universidades y plataformas educativas, aunque esa cifra proviene de los atacantes y debe tratarse con cautela hasta que sea verificada de forma independiente.

La segunda fase de la campaña parece haber elevado las apuestas para los reguladores. Los atacantes habrían desfigurado los portales de inicio de sesión de Canvas en instituciones de varios estados, publicando mensajes de extorsión y obligando a algunas escuelas a cancelar exámenes. BleepingComputer también informó que los atacantes utilizaron múltiples vulnerabilidades de cross-site scripting para secuestrar sesiones de administradores autenticados y modificar las páginas de inicio de sesión. El Comité de Seguridad Nacional señaló que escuelas en California, Florida, Georgia, Oklahoma, Oregón, Nevada, Carolina del Norte, Tennessee, Utah, Virginia y Wisconsin reportaron interrupciones relacionadas.

La exigencia congresional de testimonio transforma este caso de una gran brecha en el sector educativo a una historia más amplia de rendición de cuentas. Si los investigadores federales concluyen que la respuesta de Instructure o la seguridad de su plataforma fueron insuficientes, las consecuencias podrían ir más allá de las notificaciones de brecha: revisiones de adquisiciones, presión regulatoria y expectativas de seguridad más estrictas para el software utilizado por instituciones públicas. Según informó inicialmente BleepingComputer, Instructure ha llegado a un acuerdo para detener la filtración pública de los datos robados, aunque la empresa no confirmó directamente si se pagó un rescate.