Hackeo a Canvas expone datos de estudiantes de AISD: qué hacer si tus hijos usan BLEND

Un grupo de hackers conocido como ShinyHunters comprometió Instructure, la empresa que opera Canvas y la plataforma BLEND que usa AISD, y amenaza con filtrar datos de estudiantes y maestros si no recibe un pago antes de este martes 12 de mayo.

AISD suspendió el acceso a BLEND desde el portal del distrito el pasado jueves 7 de mayo como medida preventiva, y pidió a las familias que no inicien sesión en la plataforma desde sus casas mientras la situación se investiga.

Qué datos están en riesgo

Los datos almacenados en BLEND incluyen nombres, correos electrónicos, números de identificación de estudiantes y mensajes privados entre maestros, padres y alumnos. AISD aclaró en un comunicado a familias que el ataque se dirigió contra Instructure, la empresa proveedora, y no directamente contra los sistemas del distrito.

El distrito señaló que sus inversiones en seguridad, incluyendo autenticación de múltiples factores, protegen sus propios sistemas. Sin embargo, los datos que residían en la plataforma de un tercero quedaron expuestos.

A escala global, ShinyHunters afirma haber robado 3,65 terabytes de información, aproximadamente 275 millones de registros, de casi 9.000 instituciones educativas en todo el mundo. El incidente se considera la brecha de seguridad educativa más grande registrada hasta la fecha.

Cómo llegó el ataque a las pantallas de Austin

El jueves 7 de mayo, al mediodía, estudiantes y maestros que intentaron acceder a Canvas se encontraron con un mensaje del grupo ShinyHunters en lugar de la plataforma habitual. El mensaje, captado en pantallazos enviados por padres de McCallum High School a *KUT*, advertía que la empresa había intentado parchear los sistemas sin negociar y que los datos serían liberados si no había acuerdo antes del 12 de mayo.

UT Austin también reportó una interrupción en Canvas que afectó la entrega de calificaciones en plena temporada de exámenes finales. El mismo grupo ya había atacado anteriormente a Harvard, Duke y la Universidad de Pensilvania, entre cientos de otras instituciones.

Qué pidió AISD a las familias

El distrito emitió estas recomendaciones mientras la situación está activa:

No accedas a BLEND desde casa ni desde dispositivos personales hasta nuevo aviso. Evita hacer clic en enlaces relacionados con BLEND que lleguen por correo. Monitorea si recibes comunicaciones inusuales que mencionen información de tus hijos o su escuela. Si tienes dudas, comunícate directamente con la escuela de tu hijo o visita austinisd.org para actualizaciones oficiales.

Instructure, por su parte, indicó el 6 de mayo que no hay evidencia de que contraseñas, fechas de nacimiento, identificaciones gubernamentales o información financiera hayan sido comprometidas. La empresa dijo estar trabajando para contener el incidente.

Qué sigue

El plazo fijado por ShinyHunters vence mañana, martes 12 de mayo. Ni AISD ni Instructure han confirmado si se negoció algún acuerdo. Expertos en ciberseguridad advierten que incluso si no hubo filtración inmediata, los datos robados pueden usarse para ataques de suplantación de identidad dirigidos, utilizando nombres reales de maestros y conversaciones auténticas para engañar a familias.

Tiempo Austin seguirá informando sobre el desarrollo de este caso. Para reportar actividad sospechosa relacionada con cuentas escolares, comunícate con AISD al (512) 414-1700.