El conocido grupo ciberdelincuente ShinyHunters se atribuyó la responsabilidad
de una importante filtración de datos contra Udemy, una de las
plataformas de aprendizaje en línea más grandes del mundo, y alegó la
vulneración de más de 1,4 millones de registros que contenían información
personal identificable (PII) y datos corporativos internos. La brecha ha sido confirmada por HIBP.
La información se dio a conocer el 24 de abril de 2026, cuando ShinyHunters
publicó una advertencia de «Paga o filtra» en su sitio web de
filtraciones de datos, estableciendo como fecha límite el 27 de abril de 2026
para que Udemy respondiera o se enfrentaría a la exposición pública de los
datos robados.
Datos comprometidos
- Direcciones de correo electrónico
- Empleadores
- Cargos
- Nombres
- Métodos de pago
- Números de teléfono
- Direcciones físicas
El mensaje de amenaza advierte:
«Toma la decisión correcta, no seas la próxima noticia», una táctica de
extorsión característica del modus operandi del grupo.
ShinyHunters es un grupo de extorsión con fines lucrativos, que se cree que se
formó en 2019. Se ha labrado una reputación bien documentada en torno al
modelo «Paga o filtra», extrayendo datos confidenciales, amenazando a las
víctimas y vendiendo o publicando los datos si no se paga el rescate.
El grupo alcanzó notoriedad en 2020, cuando reivindicó el robo de más de 200
millones de registros de más de 13 empresas.
Solo en 2026, ShinyHunters intensificó significativamente su campaña contra
plataformas SaaS y el sector educativo. Entre las víctimas de este año se
encuentran
Vercel, McGraw-Hill y, a principios de febrero, la Universidad de Harvard, donde se
expusieron aproximadamente 115.000 registros confidenciales de exalumnos.
Google Threat Intelligence ha estado rastreando activamente las crecientes
operaciones de robo de datos del grupo, centradas en SaaS, atribuyendo la
actividad de extorsión al clúster afiliado
UNC6240. En los últimos años, ShinyHunters ha pasado de la explotación tradicional
de redes a la ingeniería social y los ataques a la capa de identidad,
incluyendo vishing (phishing de voz), elusión de la autenticación multifactor
(MFA) y robo de credenciales mediante ladrones de información.
Sus campañas suelen aprovechar plataformas SaaS comprometidas, integraciones
de terceros y credenciales de contratistas robadas para sortear las defensas
perimetrales, como se demostró en la brecha de seguridad de Vercel, donde se
utilizó un proveedor externo (Context) como punto de entrada.
El sector educativo sigue siendo un objetivo de alto valor para ShinyHunters,
que anteriormente vulneró la plataforma india Unacademy, robando más de 10
millones de cuentas de usuario.
Hasta el momento de la publicación,
Udemy no ha emitido una declaración oficial confirmando ni desmintiendo la
brecha. El incidente sigue pendiente de verificación, y los investigadores de
ciberseguridad continúan monitoreando el sitio web donde se filtró la
información del grupo para detectar posibles publicaciones tras la fecha
límite del 27 de abril de 2026.
Se recomienda a las organizaciones que utilizan Udemy para la capacitación
de sus empleados o que mantienen cuentas activas que supervisen cualquier
actividad sospechosa, restablezcan sus credenciales y activen la
autenticación multifactor como medida de precaución.
Fuente:
CyberSecurityNews