Cubadebate

Foto: AP

Miles de colegios en todo el mundo, han sido afectados por un enorme incidente de ciberseguridad que involucra a Canvas, un sistema de gestión del aprendizaje en línea que conecta a millones de estudiantes con sus profesores.

Entre los usuarios afectados de Canvas se encuentran instituciones de educación superior, incluyendo la Universidad de Toronto, la Universidad de Columbia Británica, la Universidad de Alberta y la Ivey Business School de la Western University.

Esto es lo que sabemos sobre la brecha.

¿Qué tipo de datos?

En universidades, colegios y algunos colegios de K-12, los profesores utilizan Canvas para compartir una amplia variedad de materiales con los estudiantes, desde apuntes y tareas hasta medios y exámenes. También pueden usarlo para comunicarse y compartir notas u otras actualizaciones.

Por lo tanto, los datos implicados pueden incluir nombres completos, direcciones de correo electrónico, números de estudiantes y mensajes personales, según Instructure, el fabricante de Canvas.

La empresa afirmó haber detectado actividad no autorizada el 29 de abril, accedida a través de un tipo particular de cuenta de profesor. Aunque la empresa revocó ese acceso, desconectó la plataforma para investigar el jueves cuando se detectó actividad adicional.

Instructure afirmó que no ha encontrado pruebas de que contraseñas, información financiera o datos de identificación emitidos por el gobierno hayan sido comprometidos.

¿Cómo se pueden utilizar esos datos?

La brecha es “muy preocupante”, dijo Luke Connolly, analista de inteligencia de amenazas en Ottawa en la empresa de ciberseguridad Emsisoft, ya que “hay todo tipo de formas en que la información puede ser mal utilizada”.

Desde la perspectiva de un hacker, las escuelas son un objetivo ideal ya que los estudiantes están “al principio de su camino financiero”, sin préstamos importantes ni deudas, dijo Robert Falzon, jefe de ingeniería de Check Point Software para Canadá.

Dadas las múltiples brechas en diferentes sectores y proveedores de servicios en los últimos años, dijo que la información de este incidente de Canvas podría combinarse con datos filtrados en otros lugares para crear perfiles que permitan crear identidades falsas.

“Esas identidades, a su vez, pueden usarse para buscar préstamos o hipotecas o... en varios tipos diferentes de delitos financieros”, dijo Falzon.

Y en algunos casos, dijo que a alguien le puede llevar "años descubrir que ha sido víctima de esta manera."

¿Qué es ShinyHunters?

Un grupo de hackers llamado ShinyHunters ha reivindicado la responsabilidad del ciberataque, que afirma haber comprometido la información personal de 275 millones de personas, incluidos estudiantes, profesores y personal escolar.

El grupo, que anteriormente ha estado vinculado a brechas en Ticketmaster y en la base de datos Salesforce de Google, ha amenazado con hacer públicos los datos robados a menos que se pague una suma no revelada como “acuerdo”.

¿Qué dicen los estudiantes?

Con muchas universidades estadounidenses en pleno exámenes finales, una avalancha de estudiantes compartió por TikTok el mensaje de ShinyHunters que les recibió el jueves mientras intentaban iniciar sesión en Canvas.

En Canadá, donde muchas universidades acaban de terminar el periodo de exámenes de primavera, algunos estudiantes compartieron su confusión sobre el incidente — como iniciar sesión antes de notar un correo electrónico escolar sobre la brecha que les instaba a no hacerlo.

“Más o menos me conecté [automáticamente] esta mañana”, dijo Deborah Elezaj, una estudiante de grado en la Universidad de Toronto. “Ahora nos están diciendo que cambiemos nuestras contraseñas”.

Que se filtren información personal es “un pensamiento angustioso”, dijo su compañera de clase Emily Saso.

¿Qué ocurre en cada escuela?

Algunas de las escuelas afectadas han suspendido o desalentado el uso de Canvas (como en la U de A, UBC y U de T), mientras que otras han vuelto a usar la plataforma restaurada desde entonces. La mayoría ha enviado mensajes aconsejando a la gente que tenga cuidado con correos electrónicos sospechosos.

“Recomendamos que el profesorado, el personal y los estudiantes permanezcan atentos a los correos electrónicos de phishing”, publicó la U de T en línea el viernes por la tarde.

“Recuerda, la universidad nunca te pedirá que saltes tu autenticación multifactor. Si recibes un correo solicitando códigos de bypass MFA, por favor repórtalo”.

Las instituciones son víctimas de “un apuro terrible”, dijo David Shipley, director ejecutivo de Beauceron Security en Fredericton.

“Esta es una empresa de la que dependen para ofrecer servicios que no podrían permitirse ni entregar digitalmente por sí mismos”.

Connolly desconfía de que cualquier escuela considere pagar un rescate por los datos — una medida que, según él, alimenta un efecto dominó. “Anima a los criminales a seguir buscando nuevas víctimas”, dijo, “y los pagos en realidad financian su desarrollo de nuevas técnicas” para explotar a otros.

¿Quién es responsable de nuestros datos?

La ciberseguridad “es problema de todos”, dijo Falzon.
Las escuelas "tienen la responsabilidad de asegurarse de que utilizan las mejores herramientas posibles, que siguen los protocolos ... y para proteger a los estudiantes que utilizan esos servicios", afirmó.

Mientras tanto, los proveedores externos “tienen la obligación y responsabilidad de asegurarse de que los servicios que ofrecen sean seguros y protegidos”.

No basta con hacer auditorías de ciberseguridad de vez en cuando, ya que las brechas “ocurren a diario ahora”, dijo Falzon.

“Tenemos que empezar a pensar muy seriamente en acortar esos ciclos y ... asegurándonos de que implicamos a la comunidad y a nuestros socios para la conciencia, para que todos comprendan cuáles son los riesgos para ellos y cómo pueden formar parte de la solución”.

Mientras tanto, Shipley quiere ver leyes federales de privacidad más estrictas y “consecuencias significativas” para las empresas implicadas en infracciones, similares a las elevadas multas que pueden enfrentar las empresas en Europa.

“Las empresas que realmente enfrentan este tipo de sanciones desde el principio, gestionarán mejor el riesgo”, afirmó. “Salvo consecuencias, las empresas privadas orientadas al lucro van a ganar dinero. No van a gastar en seguridad”.

¿Cómo puedes protegerte?

Los estudiantes y el personal se enfrentan a una situación complicada, ya que normalmente no tienen voz sobre los proveedores que eligen sus escuelas, ni pueden optar fácilmente por no utilizarlos, explicó Falzon.
Sin embargo, recomienda cambiar contraseñas regularmente, activar la autenticación multifactor si aún no lo has hecho e informar a tu banco si participas en una brecha, además de registrarte en la monitorización de crédito.

La gente también debería replantearse cuánta información personal comparte en las redes sociales, dijo, como "dónde vives, los cursos que estás cursando, cosas así."

(Tomado de Yahoo News)