✨︎ Resumen (TL;DR):
- Instructure confirmó una vulneración en su software Canvas LMS que expuso correos y mensajes privados.
- El grupo ShinyHunters afirma haber robado 275 millones de registros de estudiantes y profesores.
- Este es el segundo ciberataque masivo que sufre la compañía en menos de ocho meses.
La plataforma educativa Canvas LMS sufrió una vulneración masiva de datos orquestada por el grupo de extorsión ShinyHunters. Instructure, la empresa desarrolladora del software, confirmó el ataque que expuso nombres, correos electrónicos y mensajes privados. Según los atacantes, la filtración incluye 275 millones de registros de estudiantes, profesores y personal administrativo a nivel global.
Instructure detectó el ataque el viernes 1 de mayo. Al día siguiente, el CISO de la compañía, Steve Proud, declaró que el incidente estaba “contenido”. La empresa detalló el alcance inicial: “Los indicios apuntan a que la información implicada consiste en ciertos datos de identificación de usuarios en las instituciones afectadas, como nombres, direcciones de correo electrónico y números de identificación de estudiantes, así como mensajes entre usuarios”.
La compañía aclaró que no encontró evidencia de robo de contraseñas, fechas de nacimiento, identificadores gubernamentales o información financiera. Como medida precautoria, servicios como Canvas Data 2 y Canvas Beta entraron en mantenimiento. El equipo de seguridad aplicó parches, incrementó el monitoreo y rotó las llaves de las aplicaciones, obligando a los clientes a reautorizar su acceso a la API.
El ultimátum de ShinyHunters y el impacto global
Los cibercriminales, vinculados a hackeos contra AT&T y Santander, publicaron a Instructure en su sitio web de extorsión. Sus afirmaciones superan los datos reconocidos oficialmente, exigiendo el pago de un rescate con fecha límite del 6 de mayo.
El grupo asegura poseer miles de millones de mensajes privados tras comprometer la instancia de Salesforce de la compañía. Afirman que la base de datos robada afecta a 15,000 instituciones en Norteamérica, Europa y la región Asia-Pacífico.
Este es el segundo incidente de ciberseguridad para Instructure en ocho meses. En septiembre de 2025, la empresa reportó una brecha separada mediante un ataque de ingeniería social en su Salesforce, también ligada a ShinyHunters. La corporación no ha confirmado si ambos ataques están conectados.
Canvas opera en más de 7,000 universidades, distritos escolares y ministerios de educación mundiales. Este hackeo evidencia el riesgo crítico del software SaaS en el sector educativo, donde una sola falla técnica compromete simultáneamente a miles de escuelas, sumándose a las crisis recientes de plataformas como PowerSchool e Infinite Campus. Expertos forenses externos y agencias de la ley ya investigan el caso.
