Instructure, la empresa creadora del sistema de gestión del aprendizaje (LMS) Canvas, ha confirmado un incidente cibernético y la consiguiente filtración de datos que ha afectado a su entorno alojado en la nube.
El grupo de ransomware ShinyHunters afirma ser el responsable del ataque y afirma haber sustraído unos 275 millones de registros relacionados con estudiantes, profesores y personal.
Los delincuentes facilitaron a BleepingComputer una lista de 8.809 distritos escolares, universidades y plataformas de educación en línea cuyas instancias de Canvas, según afirman, se vieron afectadas, con un número de registros por institución que oscila entre decenas de miles y varios millones.
Comprueba si tus datos personales han sido expuestos.
Qué hacer si se han filtrado los datos de Instructure/Canvas de su hijo
Si le han informado de que su hijo se ha visto afectado por la filtración de datos de Instructure, es posible que se pregunte qué puede hacer para protegerlo. A continuación le ofrecemos algunas medidas prácticas que puede tomar de inmediato.
1. Comprueba lo que dicen la universidad e Instructure
Empiece por leer la notificación de la escuela o el distrito y las actualizaciones de Instructure para saber qué datos de su hijo se han visto afectados (por ejemplo: nombre, dirección de correo electrónico, número de identificación de estudiante o información sobre los cursos). Siga los pasos específicos que le recomienden en relación con las cuentas de los estudiantes y esté atento a los mensajes de seguimiento por si surge nueva información.
Antes de nada, asegúrate de que la notificación sea auténtica. Si hay algo en el mensaje que te parezca sospechoso, como enlaces extraños, presión para actuar de inmediato o solicitudes de datos adicionales, compruébalo primero. Entra directamente en la página web del distrito o de Instructure y utiliza los datos de contacto que allí figuran para verificarlo.
2. Protege las cuentas escolares y de aprendizaje de tu hijo
Si su hijo tiene una cuenta de Canvas o similar, cambie esa contraseña inmediatamente, sobre todo si su centro educativo permite a los alumnos o a los padres iniciar sesión con un nombre de usuario y una contraseña en lugar de utilizar el inicio de sesión único. Si su hijo suele reutilizar contraseñas (por ejemplo, si utiliza la misma para Canvas, el correo electrónico y las cuentas de videojuegos), cambie también esas otras contraseñas.
Asigna a cada cuenta una contraseña segura y única, y plantéate utilizar un gestor de contraseñas familiar para poder crearlas y guardarlas sin tener que depender de la memoria. En el caso de los niños más pequeños, quizá te convenga gestionar tú mismo estas credenciales y llevar una lista de las plataformas educativas que utilizan.
3. Activa la autenticación multifactorial siempre que sea posible
La autenticación multifactorial (MFA) dificulta mucho más que alguien pueda acceder a una cuenta solo con una contraseña. Si tu centro educativo o distrito lo permite en las cuentas de padres o alumnos (por ejemplo, mediante un código enviado por SMS, correo electrónico o generado en una aplicación de autenticación), actívala y, a ser posible, configura que los códigos se envíen a un dispositivo o una aplicación que tú controles.
Recuérdale a tu hijo que los códigos de seguridad son como contraseñas de uso temporal. Nunca debe compartirlos con amigos, profesores ni con nadie que diga ser del «servicio de asistencia informática», aunque el mensaje parezca urgente o utilice la imagen corporativa del colegio.
4. Considera la posibilidad de contratar una protección adicional de la identidad para los menores
Si la filtración ha afectado a datos de identificación muy sensibles (como el número de identificación nacional o el número de la Seguridad Social en algunas regiones), pregunta tanto al centro educativo como al proveedor afectado qué medidas de protección se ofrecen a los menores, como servicios de supervisión crediticia o de recuperación de la identidad. En algunos países, también es posible aplicar un bloqueo crediticio o una restricción similar al expediente de un menor para evitar que se abran nuevas cuentas a su nombre.
Aunque tu hijo sea demasiado pequeño para tener un historial crediticio en este momento, conviene que tomes nota de este incidente para que te acuerdes de comprobar sus registros cuando tenga la edad suficiente.
5. Mantente alerta ante posibles estafas posteriores
A los atacantes les gusta reutilizar datos robados de plataformas educativas para que sus mensajes de phishing y estafas resulten más convincentes, mencionando nombres reales de centros educativos, profesores o cursos. Desconfía especialmente de los correos electrónicos y mensajes de texto que afirman proceder del centro educativo, del distrito o de Instructure y que te piden que «confirmes» tus datos de acceso, que abras archivos adjuntos inesperados (como «nuevas tareas») o que pagues cuotas mediante métodos inusuales.
Como regla general, evita hacer clic en los enlaces de los mensajes no solicitados relacionados con la filtración. En su lugar, abre una nueva ventana del navegador y ve al sitio web o a la aplicación oficial como lo harías normalmente; a continuación, inicia sesión desde allí para comprobar si hay mensajes.
¿Qué saben los ciberdelincuentes sobre ti?
Utiliza el análisis gratuito de huellas digitales Malwarebytes para comprobar si tu información personal ha sido expuesta en Internet.
