✨︎ Resumen (TL;DR):
- Instructure confirmó la filtración de nombres, correos y mensajes privados de usuarios en su plataforma Canvas.
- El grupo criminal ShinyHunters exige un rescate por los datos de 275 millones de individuos y más de 9,000 escuelas.
- Este ciberataque representa la segunda vulneración grave que sufre la compañía en un periodo de ocho meses.
Instructure confirmó un ataque cibernético contra Canvas LMS, exponiendo datos personales de estudiantes y profesores. El grupo de extorsión ShinyHunters se adjudicó la agresión y asegura tener en su poder 275 millones de registros a nivel mundial.
La compañía tecnológica reveló el caso el viernes 1 de mayo, tras detectar lo que describió como “un incidente de ciberseguridad perpetrado por un actor de amenazas criminal”.
Al día siguiente, Instructure actualizó su postura oficial. “Los indicios apuntan a que la información implicada consiste en ciertos datos de identificación de usuarios en las instituciones afectadas, como nombres, direcciones de correo electrónico y números de identificación de estudiantes, así como mensajes entre usuarios”, declaró la empresa.
Instructure aclaró que no halló evidencia de robo de contraseñas, fechas de nacimiento, identificadores gubernamentales o información financiera.
Para el 2 de mayo, Steve Proud, CISO de la compañía, reportó que el incidente estaba “contenido”. El equipo de seguridad aplicó parches, incrementó el monitoreo y rotó las llaves de las aplicaciones, forzando a los clientes a reautorizar su acceso a la API.
El ultimátum de ShinyHunters
El grupo criminal publicó a Instructure en su sitio de filtraciones con cifras muy superiores a las reconocidas oficialmente. Los atacantes afirman tener registros de casi 9,000 escuelas y “varios miles de millones de mensajes privados”.
ShinyHunters también asegura haber vulnerado la instancia de Salesforce de Instructure. Según los hackers, la base de datos robada abarca 15,000 instituciones en América del Norte, Europa y Asia-Pacífico.
El grupo criminal fijó como fecha límite el 6 de mayo para el pago de un rescate. Hasta el momento, Instructure no ha respondido públicamente a estas demandas específicas.
Este caso marca el segundo ataque contra Instructure en apenas ocho meses. En septiembre de 2025, la compañía reportó otra vulneración a su sistema de Salesforce mediante ingeniería social, un ataque también atribuido a ShinyHunters.
Canvas da servicio a más de 7,000 universidades, distritos escolares y ministerios de educación a nivel global. Expertos forenses de terceros y autoridades policiales mantienen una investigación en curso para rastrear la filtración.
