La empresa responsable del popular software Canvas, que fue pirateado la semana pasada causando importantes trastornos en miles de universidades y centros de enseñanza superior, ha pagado a los piratas informáticos para que no publiquen en línea los datos robados.
Se estima que el ciberataque afectó a unas 9.000 instituciones en Estados Unidos, Canadá, Australia y el Reino Unido, y los exámenes se vieron interrumpidos después de que el servicio Canvas dejara de funcionar.
Los piratas informáticos amenazaron con publicar 3,5 terabytes de datos de estudiantes y de la universidad que habían robado en la filtración.
Instructure, la empresa creadora de Canvas, ha confirmado que ha llegado a un acuerdo con los hackers, quienes han declarado haber borrado los datos y se han comprometido a no extorsionar a ningún estudiante ni institución.
Pagar a los ciberdelincuentes contraviene las recomendaciones de las fuerzas del orden de todo el mundo, ya que puede alimentar nuevos ataques y no ofrece ninguna garantía de que los datos hayan sido eliminados.
En casos anteriores, los delincuentes han aceptado pagos de rescate pero han mentido sobre la destrucción de los datos robados, conservándolos en su lugar para revenderlos.
Por ejemplo, cuando la Agencia Nacional contra el Crimen (NCA) pirateó el tristemente célebre grupo de ransomware LockBit, la policía descubrió que los datos robados no se habían eliminado incluso después de que se hubieran realizado los pagos.
Instructure afirmó en un comunicado en su sitio web que su principal motivación era proteger los datos de los estudiantes y del personal educativo.
«Si bien nunca existe una certeza absoluta al tratar con ciberdelincuentes, creemos que era importante tomar todas las medidas a nuestro alcance para brindar a los clientes mayor tranquilidad, en la medida de lo posible», dijo la compañía.
Instructure no especificó los términos del acuerdo, pero dijo que significaba lo siguiente:
- Los datos fueron devueltos a la empresa.
- Recibió «confirmación digital de destrucción de datos».
- Se había informado que ningún cliente de Instructure sería extorsionado como resultado del incidente.
- El acuerdo cubre a todos los clientes afectados, sin necesidad de que los particulares se pongan en contacto con los hackers.
La brecha de seguridad fue descubierta el 29 de abril y el prolífico grupo extorsionador Shiny Hunters la reclamó en línea.
Ni los hackers ni la empresa afirman explícitamente que se haya intercambiado dinero, pero los grupos de extorsión cibernética como Shiny Hunters operan obligando a sus víctimas a enviar dinero en bitcoin tras una negociación a través de un servicio de chat cifrado.
Es inusual que las víctimas de ciberataques reconozcan públicamente haber pagado a los hackers, pero Instructure ha mantenido un alto nivel de transparencia, proporcionando actualizaciones periódicas en su sitio web.
Esa apertura puede deberse en parte a que el ataque fue muy visible y afectó directamente a los estudiantes.
Los estudiantes que realizaban exámenes en Estados Unidos se vieron particularmente afectados, perdiendo el acceso a Canvas para repasar y, en algunos casos, sufriendo interrupciones en sus exámenes en línea.
Aubrey Palmer, estudiante de meteorología en la Universidad Estatal de Mississippi, declaró a la BBC que él y otros estudiantes acababan de terminar de escribir un ensayo de examen de 2.900 palabras cuando, de repente, apareció un mensaje de rescate en sus pantallas.
Cortesía de Aubrey PalmerLa nota decía: «Shiny Hunters ha vulnerado Instructure (de nuevo)».
Amenazó con publicar los datos robados a menos que Canvas o las universidades afectadas pagaran un rescate en bitcoins.
«Mi primera reacción fue pensar que me habían hackeado, porque eso era lo que parecía», dijo Aubrey.
«Pero entonces leí la nota de rescate y vi que Canvas había sido la plataforma pirateada.»
Aubrey añadió que decenas de estudiantes recibieron el mismo mensaje y que hubo confusión en la sala de examen sobre si sus trabajos se habían guardado.
Posteriormente, la Universidad Estatal de Mississippi anunció que algunos exámenes se pospondrían para permitir que los estudiantes recuperaran el trabajo perdido.
Shiny Hunters es conocido por piratear organizaciones, robar datos y luego presionar públicamente a las víctimas para que paguen rescates en bitcoin.
El grupo ha sido vinculado a otros robos, incluidos ataques a Jaguar Land Rover y Gucci. Los delincuentes hablan inglés y se cree que son jóvenes.
En mensajes de Telegram intercambiados con la BBC, Shiny Hunters afirmó haber pirateado Canvas en dos ocasiones antes del ataque del jueves pasado.
Instructure reveló una brecha de seguridad en septiembre de 2025 en una publicación en su blog.
Shiny Hunters también afirmó haber vulnerado la seguridad de la empresa nuevamente en abril de 2026, antes del ataque del 29 de abril.
Cuando se les preguntó qué opinaban sobre el estrés y las molestias causadas a estudiantes como Aubrey Palmer, el grupo respondió: «No tenemos comentarios al respecto».