La presión sobre Instructure, la compañía propietaria de Canvas, aumenta a medida que los ciberdelincuentes amenazan con filtrar un gran volumen de datos sensibles que, según afirman, fueron robados durante un prolongado ciberataque a esta plataforma educativa ampliamente utilizada.
El incidente provocó interrupciones generalizadas que dejaron a escuelas, estudiantes y profesores temporalmente sin acceso a información crítica a finales de la semana pasada. Instructure se vio obligada a desconectar Canvas tras detectar actividades maliciosas adicionales, como la defacement de la página de inicio de sesión. Para el viernes, la empresa confirmó que la plataforma —un centro neurálgico para la gestión de cursos, exámenes, calificaciones y comunicación en instituciones de educación primaria, secundaria y superior— volvía a estar operativa y al 100%.
ShinyHunters, un grupo de ciberdelincuentes descentralizado y conocido por sus ataques, se atribuyó la responsabilidad del incidente en su sitio de filtración de datos. El colectivo intenta extorsionar a la empresa con una cantidad de rescate aún no revelada. Instructure no ha confirmado la existencia de esta demanda ni ha respondido a las preguntas sobre su gestión del caso.
El grupo estableció inicialmente un plazo hasta el 6 de mayo —cuatro días después de que Instructure afirmara que el incidente estaba contenido— y aseguró haber sustraído 3,65 terabytes de datos que abarcan 275 millones de registros en 8.809 sistemas escolares. Al no cumplirse este ultimátum, ShinyHunters intensificó su presión inyectando un mensaje de extorsión directamente en las páginas de inicio de sesión de Canvas de aproximadamente 330 instituciones, y pasó a realizar extorsiones individuales a cada escuela con un nuevo plazo hasta el 12 de mayo, según explicó Cynthia Kaiser, vicepresidenta senior del Centro de Investigación de Ransomware de Halcyon, a CyberScoop.
«El alcance de este ataque lo convierte en una de las mayores filtraciones registradas en el sector educativo», añadió Kaiser.
La presión pública adicional llevó a Instructure a desconectar Canvas, lo que generó interrupciones en el trabajo escolar y el acceso a sistemas críticos en todo el país. El CEO de la empresa, Steve Daly, se disculpó este fin de semana por la comunicación inconsistente y la respuesta deficiente ante el ciberataque. «En los últimos días, muchos de vosotros habéis enfrentado una disrupción real. Estrés en vuestros equipos. Momentos perdidos en el aula. Preguntas sin respuesta. Merecíais una comunicación más constante por nuestra parte, y no la proporcionamos. Lo siento», declaró en un comunicado.
Daly reconoció que el ataque, aún en investigación con el apoyo de CrowdStrike, expuso nombres de usuario, direcciones de correo electrónico, nombres de cursos, información de matrículas y mensajes. Sin embargo, aseguró que el contenido de los cursos, las entregas y las credenciales no se vieron comprometidos.
La interrupción temporal, aunque generalizada, ha generado una amplia preocupación en el sector educativo. Expertos en ransomware y cazadores de amenazas siguen de cerca la evolución del caso, que también ha captado la atención de los legisladores en Washington. El Comité de Seguridad Nacional de la Cámara de Representantes publicó el lunes una carta dirigida a Daly en la que exige una reunión informativa con él o un alto directivo de Instructure antes del 21 de mayo. «La recurrencia de una intrusión días después de la divulgación inicial del ataque, y la aparente incapacidad de Instructure para remediar completamente las vulnerabilidades subyacentes en ese período, plantean serias dudas sobre las capacidades de respuesta de la empresa y sus obligaciones con las instituciones y personas cuyos datos custodia», escribió el presidente del comité, Andrew Garbarino (R-N.Y.), en la misiva.
El comité busca obtener más información sobre «las circunstancias de ambas intrusiones y la naturaleza de las vulnerabilidades explotadas», así como sobre las medidas adoptadas para proteger los datos de los usuarios.
Artículos relacionados
Cisco corrige grave vulnerabilidad zero-day explotada por grupo de amenazas persistente
Attackers returned once again to a common target with a massive user base by exploiting a max-severity zero-day vulnerability affecting Cisco Catalyst...
La IA avanzada redefine la guerra: el Pentágono advierte sobre su impacto revolucionario
Advanced artificial intelligence models will “fundamentally change warfare as we know it,” a top cyber official at the Defense Department said Thursda...
La identidad digital es clave: expertos advierten sobre su protección en la era de la IA
As AI becomes more integrated into federal IT (and attacker toolsets) government agencies will need to focus their resources on regulating and monitor...
Foxconn sufre ciberataque de grupo de ransomware Nitrogen: fábricas en Norteamérica afectadas
Foxconn, one of the world’s largest manufacturers of electronics sold by major tech vendors, is recovering from a cyberattack that disrupted some of t...
Una app de IA recopila 150.000 imágenes de heces humanas para vender su base de datos
A few weeks ago, I came across a wild post on Reddit’s r/DHExchange, a subreddit for trading large datasets: “I hoarded a large database of something...
Nuevos modelos de IA superan todos los récords en ciberseguridad autónoma
Two of the most advanced artificial intelligence models — Anthropic’s Claude Mythos Preview and OpenAI’s GPT-5.5 — have significantly surpassed the al...
La Cámara de Representantes investiga el modelo de IA Mythos de Anthropic por sus riesgos cibernéticos
The House Homeland Security Committee is digging into Anthropic’s AI model Mythos in a series of briefings and hearings, as questions proliferate on w...
Justicia de EE.UU. justifica recolección nacional de datos electorales pese a rechazo judicial
The Trump administration released a legal opinion outlining the legal rationale behind its nationwide voter data collection efforts, justifying an agg...