La Cámara no está contenta. Los legisladores exigen que aparezca Instructure. Quieren testimonio. ¿Por qué? Porque la plataforma educativa fue pirateada dos veces. Millones de estudiantes. Millones de profesores. Todos expuestos.
Y Instructure fue lento. Muy lento.
“El Congreso quiere una estructura para responder preguntas”
El acuerdo con ShinyHunters parece bueno sobre el papel. Los piratas informáticos prometieron destruir los datos robados. No más extorsión. Sólo silencio. Instructure dijo que recibieron “troncos triturados” como prueba. Confirmación digital, más o menos.
¿Pero alguien cree en los grupos de ransomware?
El representante Andrew Garbarino preside el Comité de Seguridad Nacional. Está enviando cartas. Quiere saber cómo funcionó la coordinación con CISA. ¿Fue adecuado? La Agencia de Seguridad de Infraestructura y Ciberseguridad ayudó a contener la explosión. Instructure los llamó expertos forenses externos. Garbarino ve que falta algo en esa narrativa.
Es un republicano de Nueva York. No le importa mucho la evasión corporativa. Su carta al director ejecutivo Steve Daly va directo al hueso:
- ¿Cómo volvieron a entrar?
- ¿Qué fue exactamente lo que robaron?
Nombres de usuario. Correos electrónicos. Nombres de los cursos. Mensajes entre profesores y niños. Inscripciones. Instructure los enumera como si fueran inconvenientes menores. No lo son. Estas son vidas.
El doble toque
29 de abril. Se coló ShinyHunters. Utilizaron una falla vinculada a las cuentas “Free-For-Teacher”. Es un vector específico. Una puerta trasera que mantuvieron abierta o tal vez simplemente encontraron.
Rasparon todo lo que pudieron encontrar.
Luego hicieron una pausa.
Hasta el 7 de mayo. Vuelven a pegar. Esta vez dejaron una nota. Una burla digital en la pantalla de inicio de sesión. La estructura entró en pánico. Bien. Deberían haberlo hecho. Canvas entró en modo de mantenimiento. Los estudiantes iniciaron sesión. No pasó nada. Solo un muro de código que dice “inténtalo más tarde”.
ShinyHunters afirmó que más de 9.000 instituciones estaban en su punto de mira. Universidades. Escuelas públicas. K-12 en todas partes. Lo que significa menores. Datos de niños menores de edad flotando en la web oscura. Esa es una pesadilla para los defensores de la privacidad. Y para los padres.
¿Quiénes son ShinyHunters de todos modos?
Si el nombre te suena. Bien. Debería.
Este no es un niño cualquiera con una computadora portátil. Es un colectivo organizado. Veteranos del ransomware. Se enfrentaron a Anodot recientemente. Obtuvieron datos comerciales de Rockstar Games en abril. ¿Microsoft? ¿Cisco? ¿AT&T? Han mirado allí. ¿Compañías de seguros? ¿Uniones de crédito? Cualquiera que tenga datos confidenciales es un objetivo.
La infraestructura no es única. Simplemente de alto perfil.
En este momento Canvas funciona. Principalmente. Sin embargo, las cuentas gratuitas para profesores están muertas. Temporalmente inhabilitado. Instructure dice que el socio forense no ve ninguna amenaza activa. Los actores están fuera. O al menos. Están tranquilos.
Está previsto un seminario web. ¿Quizás para el 13 de mayo? Las fechas siguen cambiando. La empresa señala su página de incidentes para todo lo demás. Movimiento de relaciones públicas estándar. Cambiar. Consulte la publicación del blog.
Pagando el rescate. De nuevo.
Aquí está la verdadera controversia.
Inestructura pagada.
Llegaron a un acuerdo. ShinyHunters eliminó los datos (supuestamente). Instructure anunció este acuerdo con orgullo. Los expertos de la industria odian esto. El FBI odia esto.
“Normaliza el patrón para futuros delincuentes”
Troy Hunt ejecuta ¿Me han engañado?. Se gana la vida rastreando infracciones. Él piensa que este es un consejo terrible. Pagar a los delincuentes hace que el delito sea rentable. Envía una señal. El crimen paga.
¿Por qué lo hicieron? Escala. Alcance. Presión de las escuelas. Padres gritando por la seguridad infantil. La estructura se sintió acorralada. Quizás pensaron que era la única manera de detener las filtraciones.
Hunt no compra los troncos triturados.
“Nunca hay una certeza total”, afirma el sitio web de Instructure. Incluso ellos lo saben. Sin embargo, lo llamaron un éxito.
Mire PowerSchool. Finales de 2024. Pagaron a ShinyHunters. Obtuve un video de los piratas informáticos quemando discos duros (digitalmente). ¿Los datos desaparecieron? No. Salió a la luz más tarde. Los profesores fueron extorsionados individualmente. Se exige más dinero. Por los mismos datos.
Ese patrón existe. Se repite.
Instructure cree que esquivaron la bala. El FBI cree que alimentaron al lobo. Troy Hunt cree que es una señal de advertencia para todas las demás empresas que utilizan datos de estudiantes.
¿Se acabaron las copias?
Probablemente no.
Los ShinyHunters tienen experiencia. Probablemente tengan copias de seguridad. Fuera del sitio. Cifrado. Esperando una nueva apertura.
Instructure dice que no hay evidencia de acceso actual. El socio forense dice que están a salvo. Pero lo seguro no es lo mismo. Y lo destruido no ha desaparecido.
Millones de registros de estudiantes. Ahí afuera. En algún lugar.
Esperando la próxima demanda.
