Robo de datos a Udemy, cambia credenciales

El conocido grupo ciberdelincuente ShinyHunters se atribuyó la responsabilidad de una importante filtración de datos contra Udemy, una de las plataformas de aprendizaje en línea más grandes del mundo, y alegó la vulneración de más de 1,4 millones de registros que contenían información personal identificable (PII) y datos corporativos internos. La brecha ha sido confirmada por HIBP.

La información se dio a conocer el 24 de abril de 2026, cuando ShinyHunters publicó una advertencia de "Paga o filtra" en su sitio web de filtraciones de datos, estableciendo como fecha límite el 27 de abril de 2026 para que Udemy respondiera o se enfrentaría a la exposición pública de los datos robados.

Datos comprometidos

• Direcciones de correo electrónico
• Empleadores
• Cargos
• Nombres
• Métodos de pago
• Números de teléfono
• Direcciones físicas

El mensaje de amenaza advierte: "Toma la decisión correcta, no seas la próxima noticia", una táctica de extorsión característica del modus operandi del grupo.

ShinyHunters es un grupo de extorsión con fines lucrativos, que se cree que se formó en 2019. Se ha labrado una reputación bien documentada en torno al modelo "Paga o filtra", extrayendo datos confidenciales, amenazando a las víctimas y vendiendo o publicando los datos si no se paga el rescate.

El grupo alcanzó notoriedad en 2020, cuando reivindicó el robo de más de 200 millones de registros de más de 13 empresas.

Solo en 2026, ShinyHunters intensificó significativamente su campaña contra plataformas SaaS y el sector educativo. Entre las víctimas de este año se encuentran Vercel, McGraw-Hill y, a principios de febrero, la Universidad de Harvard, donde se expusieron aproximadamente 115.000 registros confidenciales de exalumnos.

Google Threat Intelligence ha estado rastreando activamente las crecientes operaciones de robo de datos del grupo, centradas en SaaS, atribuyendo la actividad de extorsión al clúster afiliado UNC6240. En los últimos años, ShinyHunters ha pasado de la explotación tradicional de redes a la ingeniería social y los ataques a la capa de identidad, incluyendo vishing (phishing de voz), elusión de la autenticación multifactor (MFA) y robo de credenciales mediante ladrones de información.

Sus campañas suelen aprovechar plataformas SaaS comprometidas, integraciones de terceros y credenciales de contratistas robadas para sortear las defensas perimetrales, como se demostró en la brecha de seguridad de Vercel, donde se utilizó un proveedor externo (Context) como punto de entrada.

El sector educativo sigue siendo un objetivo de alto valor para ShinyHunters, que anteriormente vulneró la plataforma india Unacademy, robando más de 10 millones de cuentas de usuario.

Hasta el momento de la publicación, Udemy no ha emitido una declaración oficial confirmando ni desmintiendo la brecha. El incidente sigue pendiente de verificación, y los investigadores de ciberseguridad continúan monitoreando el sitio web donde se filtró la información del grupo para detectar posibles publicaciones tras la fecha límite del 27 de abril de 2026.

Se recomienda a las organizaciones que utilizan Udemy para la capacitación de sus empleados o que mantienen cuentas activas que supervisen cualquier actividad sospechosa, restablezcan sus credenciales y activen la autenticación multifactor como medida de precaución.

Fuente: CyberSecurityNews

Suscríbete a nuestro Boletín