Instructure logra acuerdo con hackers tras dos ataques a Canvas y robo masivo de datos

𝕏

Hace 20 minutos

Por Canuto

Instructure, la empresa detrás de Canvas, alcanzó un acuerdo con el grupo ShinyHunters después de dos intrusiones que comprometieron datos de estudiantes y personal en miles de escuelas. La decisión revive el debate sobre los riesgos de negociar con ciberdelincuentes, sobre todo tras antecedentes en el sector educativo.
***

Instructure dijo haber llegado a un acuerdo con los hackers que atacaron sus sistemas en dos ocasiones.
ShinyHunters aseguró haber robado datos de 275 millones de personas vinculadas a unas 9.000 escuelas que usan Canvas.
El caso recuerda el incidente de PowerSchool, donde el pago no evitó nuevas extorsiones posteriores.

Instructure, la compañía detrás del portal educativo Canvas, informó que alcanzó un acuerdo con el grupo de ciberdelincuencia ShinyHunters, responsable de dos intrusiones contra sus sistemas en menos de un año. El caso golpea a uno de los servicios más usados por instituciones educativas para gestionar datos académicos, comunicaciones y trabajos escolares.

La empresa señaló que, como parte del pacto, los atacantes entregaron pruebas de que los datos sustraídos fueron destruidos y de que los clientes de Canvas no serían extorsionados. Aun así, la propia Instructure admitió que al negociar con criminales no existe certeza total sobre el destino final de la información, informa TechCrunch.

La historia es especialmente delicada por el tipo de datos afectados. Entre los registros robados figuran nombres de estudiantes, correos electrónicos personales y mensajes intercambiados entre profesores y alumnos, incluidos contenidos privados y personales, según reportó TechCrunch.

Un ataque con alcance masivo en el sector educativo

ShinyHunters, un grupo conocido por operar con fines financieros, se atribuyó la filtración del 29 de abril. Los atacantes afirmaron haber robado información de estudiantes y personal de un total de 275 millones de personas, en un incidente que habría impactado el ecosistema de Canvas, utilizado por casi 9.000 escuelas.

La semana pasada, la presión sobre la empresa aumentó con una segunda intrusión. En esa ocasión, los hackers desfiguraron páginas de inicio de sesión de Canvas en sitios web de escuelas, en lo que pareció un intento directo de forzar el pago de un rescate.

Instructure sostuvo en su página del incidente, actualizada a última hora del lunes, que los dos accesos no autorizados fueron eventos distintos y comprometieron sistemas diferentes. La compañía agregó que la investigación seguía en marcha y que aún validaba sus hallazgos internos.

Ese matiz importa porque apunta a problemas de seguridad más amplios o, al menos, a una superficie de ataque significativa. Cuando una empresa es vulnerada en más de una ocasión en un período corto, la discusión deja de centrarse solo en un incidente puntual y pasa a examinar controles, segmentación, respuesta y gobierno de ciberseguridad.

Un acuerdo bajo sospecha y sin cifras públicas

Instructure no reveló los términos financieros del acuerdo ni explicó cuánto dinero habría pagado a los atacantes. Brian Watkins, portavoz de la empresa, no respondió a una solicitud de comentarios ni contestó preguntas específicas sobre el pacto cuando fue contactado el martes.

En el sitio de filtraciones de ShinyHunters, al que el medio original tuvo acceso, el grupo amenazaba con publicar los datos robados si la compañía no atendía su demanda de extorsión. Para el martes, la entrada ya había sido eliminada, un gesto que suele interpretarse como señal de que pudo haberse concretado un pago.

Un representante del grupo dijo que “los datos han sido eliminados, desaparecieron” y añadió que la empresa y sus clientes no volverían a ser objetivo ni serían contactados por ellos para exigir dinero. Sin embargo, esa promesa no puede verificarse de manera independiente con plena certeza.

Ese es precisamente el dilema central en este tipo de incidentes. Las víctimas pueden ganar tiempo o reducir presión inmediata mediante un acuerdo, pero a cambio quedan sujetas a la palabra de una organización criminal que ya demostró capacidad para entrar, robar y presionar.

Las advertencias oficiales y el precedente de PowerSchool

Gobiernos como el de Estados Unidos han insistido durante años en que las víctimas de ransomware o extorsión digital no deben pagar. La razón es simple: cada pago fortalece el modelo económico del cibercrimen y puede financiar nuevas operaciones contra otras organizaciones.

El FBI dijo la semana pasada que estaba “al tanto” de la interrupción de sistemas que afecta a escuelas e instituciones educativas en todo Estados Unidos. Aunque el aviso no mencionó a Canvas por su nombre, sí recomendó de forma expresa no enviar pagos ni responder a las exigencias de los ciberdelincuentes.

Investigadores de seguridad han advertido además que no siempre se puede confiar en la palabra de los atacantes. En varios casos, grupos criminales aseguraron haber borrado la información robada, pero luego conservaron copias para continuar con la extorsión o vender los datos a terceros.

El caso de Instructure recuerda lo ocurrido con PowerSchool en 2024. Esa empresa, también dedicada al software de información escolar, sufrió una filtración masiva que afectó a 70 millones de estudiantes y personal. Según el antecedente citado, PowerSchool pagó a los hackers para recuperar los datos robados, pero varios de sus clientes terminaron siendo extorsionados después por otro grupo criminal que exhibió información que supuestamente ya había sido destruida.

Qué se sabe sobre los datos expuestos y la respuesta de la empresa

Parte de los datos extraídos en el ataque a Instructure fue revisada por el medio original. Entre ellos había nombres de estudiantes, direcciones de correo electrónico personales y mensajes entre docentes y alumnos, con contenido sensible de naturaleza privada. Eso eleva el potencial impacto reputacional y legal del incidente.

Para escuelas, universidades y administradores de tecnología, la gravedad no se mide solo por la cantidad de registros comprometidos. También pesa el carácter de la información, la edad de muchos de los afectados y el hecho de que una plataforma educativa suele concentrar actividades cotidianas esenciales para miles de instituciones.

Instructure dijo que los clientes de Canvas no deberían tener que interactuar con los hackers. La afirmación sugiere que la compañía busca contener el riesgo de extorsiones secundarias contra escuelas individuales, aunque el historial reciente del sector muestra que esa protección no siempre puede garantizarse a largo plazo.

La empresa tampoco aclaró quién supervisa o asume la responsabilidad directa de la ciberseguridad, más allá de su director ejecutivo, Steve Daly. Al ser consultada, no quiso decir si Daly contempla renunciar tras las filtraciones de datos.

Ese silencio deja preguntas abiertas sobre la gobernanza interna de la seguridad en Instructure. En incidentes de esta escala, inversionistas, clientes institucionales y autoridades suelen observar no solo el ataque en sí, sino también la claridad del mando, la transparencia de la respuesta y la rendición de cuentas posterior.

Por ahora, el acuerdo con ShinyHunters puede haber reducido la amenaza inmediata de publicación o extorsión directa. Pero el episodio vuelve a exponer una debilidad crítica en la infraestructura digital del sector educativo: cuando plataformas con alcance masivo fallan, el daño no se limita a una empresa, sino que se extiende a escuelas, docentes, estudiantes y familias enteras.

Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público.

Este artículo fue escrito por un redactor de contenido de IA y revisado por un editor humano para garantizar calidad y precisión.

ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.

Suscríbete a nuestro boletín

𝕏

USDT	Tether USDt	0,0%	$73,61 mmd
BTC	Bitcoin	-0,65%	$31,3 mmd
ETH	Ethereum	-2,07%	$15,79 mmd
USDC	USDC	-0,02%	$11,3 mmd
SOL	Solana	-0,41%	$4,77 mmd
XRP	XRP	-1,56%	$2,52 mmd
BNB	BNB	0,78%	$1,67 mmd
DOGE	Dogecoin	-1,06%	$1,29 mmd
SUI	Sui	-1,59%	$1,01 mmd
ZEC	Zcash	-2,83%	$0,798 812 mmd

B	BUILDon	48,57%	$0,641 831
SKYAI	SKYAI	31,34%	$0,562 619
H	Humanity	20,76%	$0,278 803
STABLE	Stable	14,86%	$0,039 706
INJ	Injective	11,63%	$4,89
CRV	Curve DAO Token	7,12%	$0,284 209
CC	Canton	3,99%	$0,159 316
WLFI	World Liberty Financial	3,45%	$0,067 697
XDC	XDC Network	2,82%	$0,033 018
CRO	Cronos	2,8%	$0,080 448

AERO	Aerodrome Finance	-8,96%	$0,478 296
ENA	Ethena	-6,1%	$0,121 949
ICP	Internet Computer	-6,06%	$3,25
JUP	Jupiter	-5,46%	$0,230 011
VIRTUAL	Virtuals Protocol	-4,78%	$0,824 248
PUMP	Pump.fun	-4,75%	$0,001 988
SEI	Sei	-4,74%	$0,071 165
APT	Aptos	-4,28%	$1,07
BONK	Bonk	-4,21%	$0,000 007
ARB	Arbitrum	-4,05%	$0,136 931

Instructure logra acuerdo con hackers tras dos ataques a Canvas y robo masivo de datos

Un ataque con alcance masivo en el sector educativo

Un acuerdo bajo sospecha y sin cifras públicas

Las advertencias oficiales y el precedente de PowerSchool

Qué se sabe sobre los datos expuestos y la respuesta de la empresa

Suscríbete a nuestro boletín

Artículos Relacionados

Elliptic recauda USD $120 millones con apoyo de Nasdaq y Deutsche Bank

TD Cowen mantiene visión alcista sobre acciones de Sharplink y ve potencial más allá del 100%

TikTok lanza nueva función para hacer reservas de viajes dentro de la app

Startup Samsara usa IA y camiones conectados para detectar baches en las vías públicas