En 2025, sólo el 19% de las víctimas de extorsión no cifrada pagaron, según Coveware. Instructure acaba de unirse a esta minoría. El 11 de mayo de 2026, el editor de Canvas (un sistema de gestión del aprendizaje) confirmó que había llegado a un «acuerdo» con ShinyHunters para evitar la publicación de los datos robados de su plataforma, utilizada por más de 30 millones de profesores y estudiantes en más de 8.000 instituciones de todo el mundo. La empresa pagó un rescate no revelado, pero fuentes no confirmadas sitúan la cifra en torno a los diez millones de dólares para un caso de exfiltración pura y dura. Es la segunda vez en dieciocho meses que un importante editor de software educativo paga tras una exfiltración pura. PowerSchool hizo lo propio en diciembre de 2024, antes de que sus clientes fueran extorsionados de nuevo con datos supuestamente destruidos.
Dos intrusiones, un fallo XSS nunca cerrado
La intrusión inicial se detectó el 29 de abril de 2026. Agentes no identificados penetraron en el entorno Canvas a través del servicio gratuito Free-for-Teacher, una versión ligera diseñada para profesores individuales. El vector, confirmado por BleepingComputer, se basaba en vulnerabilidades XSS (cross-site scripting) en las funciones de contenido generado por el usuario: se inyectaba JavaScript malicioso para capturar sesiones de administrador autenticadas y luego ejecutar acciones privilegiadas desde estas cuentas. ShinyHunters no reivindicó la autoría del ataque en su sitio filtrado hasta el 3 de mayo.
El 7 de mayo, cinco días después, los mismos actores volvieron por la misma puerta, que había permanecido abierta. Esta vez, el objetivo ya no era la exfiltración, sino la presión: ShinyHunters modificó las páginas de acceso a Canvas que se mostraban a determinados usuarios para mostrar un mensaje de extorsión en el que se pedía a Instructure y a las instituciones que entablaran negociaciones antes del 12 de mayo. Alrededor de 330 portales de acceso fueron desfigurados, entre ellos el de la Universidad de Texas en San Antonio, cuya captura difundida por BleepingComputer se ha convertido en la imagen emblemática del incidente. Instructure pasó el lienzo a mantenimiento el mismo día, detectando y neutralizando este segundo ataque en 10 minutos gracias a la vigilancia reforzada desplegada tras el primer acceso.
Es precisamente este enorme agujero entre las dos intrusiones el centro de las críticas del Comité del Congreso. El representante Andrew Garbarino (republicano de Nueva York), presidente del Comité de Seguridad Nacional de la Cámara de Representantes, escribió directamente al consejero delegado Steve Daly: «la repetición de una intrusión en los días siguientes a la revelación inicial, y la aparente incapacidad de Instructure para remediar completamente las vulnerabilidades subyacentes durante esta ventana, plantean serias dudas sobre las capacidades de respuesta a incidentes de la compañía «.
3,65 TB de datos robados, pero sin copias ni contraseñas
ShinyHunters afirma haber robado 3,65 TB de datos sin comprimir, es decir, unos 275 millones de registros pertenecientes a estudiantes, profesores y personal de 8.809 organizaciones educativas. Instructure ha confirmado que los campos exfiltrados incluyen nombres de usuario, direcciones de correo electrónico, títulos de cursos, información de inscripción y mensajes intercambiados en la plataforma. La empresa también fue explícita sobre lo que se les escapó a los atacantes: el contenido de los cursos, las tareas y las contraseñas permanecieron intactos.
Este matiz calibra el riesgo real para los usuarios. Como resumió Halcyon, los datos exfiltrados «proporcionan a los actores de amenazas suficiente contexto personal para llevar a cabo campañas de phishing dirigidas contra el personal, los estudiantes y las familias «. Un atacante que conozca la dirección de correo electrónico de un estudiante, su universidad, sus cursos y los nombres de sus profesores puede fabricar señuelos muy creíbles: un falso servicio informático, una falsa ayuda financiera, la suplantación de un profesor. Para las instituciones afectadas, sus miembros se convierten en objetivos prioritarios del spear-phishing en los próximos meses. Instructure ha publicado una hoja de incidentes con medidas de concienciación para los usuarios, en la que se detallan los escenarios de phishing más probables tras esta filtración.
Pagar por la exfiltración, a contracorriente del mercado
Lo que hace que merezca la pena analizar este incidente, más allá de su cronología, es que Instructure pagó sin que se cifrara ningún sistema ni se hiciera inaccesible ningún dato. La dinámica de la extorsión pura es muy diferente de la del ransomware tradicional. En el tercer trimestre de 2025, la tasa de pago por ataques sin cifrado cayó al 19%, según Coveware. La tasa para todas las categorías combinadas fue del 28%, según Chainalysis, un mínimo histórico, en comparación con el 37% en el cuarto trimestre de 2022 en un informe de Coveware. Esta caída forma parte de un descenso estructural en el pago de rescates en 2025, impulsado tanto por la mejora de las capacidades de respuesta a incidentes como por la acción coordinada de las fuerzas de seguridad contra los operadores y sus infraestructuras.
El precedente de PowerSchool ofrece la ilustración más clara de esto. En diciembre de 2024, el editor del software de gestión escolar pagó para que se borraran los datos robados. En mayo de 2025, sin embargo, varios clientes de distritos escolares recibieron mensajes de extorsión basados en los mismos datos supuestamente destruidos. El pago no sirvió para evitarlo.
Instructure defiende su decisión en términos comedidos: «Aunque nunca hay certeza absoluta cuando se trata con ciberdelincuentes, nos pareció importante tomar todas las medidas a nuestro alcance para ofrecer a nuestros clientes una tranquilidad adicional, siempre que fuera posible. » A cambio, la empresa afirma haber recuperado los datos, obtenido confirmación digital de la destrucción en forma de registros de destrucción y garantías de que ninguno de sus clientes será extorsionado por separado. El sitio de filtraciones ShinyHunters eliminó efectivamente la entrada de Instructure, en línea con el comportamiento habitual del grupo tras el pago.
El límite del acuerdo puede resumirse en una frase de Rebecca Moody, responsable de investigación de datos de Comparitech: «ShinyHunters son ciberdelincuentes. Incluso pagando esta petición de rescate, Instructure no puede garantizar la eliminación de los datos » . Michael Klein, director senior del Instituto de Seguridad y Tecnología, va más allá: en su opinión, el tipo de datos en cuestión, a diferencia de los datos médicos que podrían causar daños físicos, no justificaba el pago en términos de los criterios que suelen constituir la base de una excepción al consenso contra el pago de rescates.
ShinyHunters, tapadera de una alianza mafiosa
La cuestión de la atribución debe plantearse con precisión. Desde 2020, el nombre de ShinyHunters se asocia a operaciones masivas de robo y monetización de bases de datos, con Ticketmaster, AT&T y Santander entre las víctimas más conocidas. Pero Allison Nixon, Directora de Investigación de Unit 221b, que sigue de cerca al grupo, advierte de que no hay que hacer demasiadas lecturas: la constelación de actores que operan bajo los estandartes de ShinyHunters, Lapsus$ o Scattered Spider se ha ido reconstituyendo con el tiempo. La actividad de Canvas parece formar parte de lo que algunos investigadores denominan Scattered Lapsus$ Hunters, una alianza que ha unido a estos grupos bajo una identidad común desde agosto de 2025.
Allison Nixon describe tácticas de presión que van mucho más allá de la extorsión digital: durante las negociaciones, los grupos asociados recurren a ataques DDoS, campañas de spam y, en los casos más graves, amenazas directas contra los líderes y sus familias. «Estas tácticas de presión empiezan a parecerse más a una mafia violenta que a algo parecido a un hacking cualificado «, resume. La derrota del 7 de mayo fue exactamente eso: una demostración de fuerza, no otra exfiltración.
Tampoco Canvas fue un incidente aislado. En marzo de 2026, el grupo reivindicó el pirateo de la Comisión Europea, publicando un archivo inicial de 90 GB y amenazando con distribuirlo todo. En enero de 2026, una campaña masiva de vishing dirigida a las cuentas SSO de empresas de todo el mundo reveló el auge de las técnicas de ingeniería social que combinan llamadas fraudulentas y kits de phishing capaces de eludir la autenticación multifactor. El ataque Canvas prolonga esta trayectoria de escalada.
El Congreso investiga a un sector educativo desarmado
La decisión de pagar se produjo el mismo día en que el Comité de Seguridad Nacional de la Cámara de Representantes anunció la apertura de una investigación. Garbarino pidió una reunión informativa antes del 21 de mayo con el consejero delegado o un alto ejecutivo de Instructure, en la que se trataran las circunstancias de las dos intrusiones, la naturaleza y el volumen de los datos a los que se accedió y la coordinación con las fuerzas de seguridad federales y la CISA. Por su parte, la Oficina de Política de Privacidad del Estudiante del Departamento de Educación solicitó información para evaluar el cumplimiento de la FERPA (Family Educational Rights and Privacy Act, la ley federal que regula la protección de los datos educativos de los estudiantes en Estados Unidos).
Pero, por encima de todo, el incidente pone de manifiesto un déficit estructural en la ciberseguridad educativa de Estados Unidos, agravado por recientes decisiones políticas federales. Michael Klein, ex asesor principal de ciberseguridad del Departamento de Educación, recuerda que durante el incidente de PowerSchool en diciembre de 2024, pudo reunir a 41 estados en cuestión de días a través del Consejo Asesor de Asociaciones de Infraestructuras Críticas (CIPAC) para compartir información y coordinar la respuesta. Este mecanismo ha desaparecido: el Departamento de Seguridad Nacional abolió la autoridad de este consejo hace poco más de un año, y el MS-ISAC (Multi-State Information Sharing and Analysis Center), que proporcionaba a los distritos escolares acceso gratuito a inteligencia sobre amenazas y respuesta a incidentes, perdió su financiación federal de 48,5 millones de dólares a partir de septiembre de 2025, tras un recorte inicial de unos 11 millones de dólares en la primavera de 2025. Desde su puesto en el Instituto de Seguridad y Tecnología, Michael Klein sólo pudo coordinar a 22 estados en respuesta al incidente de Canvas.
El 12 de mayo, la Asociación de la Industria del Software y la Información escribió a ambas cámaras del Congreso para solicitar 36 millones de dólares en el presupuesto del año fiscal 2027: 20 millones para refinanciar MS-ISAC, 10 millones para restablecer un centro de apoyo dedicado a la gestión de incidentes cibernéticos K-12 y 6 millones para restaurar el papel coordinador del Departamento de Educación. El sector admite ahora públicamente que, en el espacio de dieciocho meses, ha perdido las capacidades colectivas de respuesta a incidentes que una vez tuvo.
Demandas colectivas, FERPA y RGPD en el ámbito jurídico
Ya se han presentado varias demandas colectivas en los tribunales federales de distrito. Una de las demandantes alega que el cierre de Canvas la privó de acceso a los materiales de su curso en vísperas de un examen final previsto para el 8 de mayo, el día después del cierre. El marco jurídico es complejo: la FERPA no concede a los particulares ningún derecho de acción directa contra las empresas, lo que significa que el recurso se limita a las leyes estatales de protección del consumidor y a las teorías de negligencia. Es probable que la responsabilidad de Instructure por el fallo XSS que quedó abierto entre las dos intrusiones esté en el centro de estos procedimientos.
Para las instituciones europeas que utilizan Canvas, las obligaciones del RGPD se suman al panorama. Los datos personales de los usuarios europeos, incluidas las direcciones de correo electrónico, los identificadores y los mensajes, entran en el ámbito de aplicación del reglamento, que exige la notificación a las autoridades supervisoras en un plazo de 72 horas desde que se tiene conocimiento de una violación.
Un acuerdo con delincuentes, sin garantías para los usuarios
Instructure ha anunciado el despliegue de la herramienta Falcon EDR de CrowdStrike en toda su red, la revocación de los tokens y claves de acceso comprometidos, la rotación de las claves internas y la restricción de los mecanismos de creación de tokens. La plataforma Parchment, que es independiente de Canvas, no se vio afectada, ya que un escaneo dirigido a los indicadores de compromiso del incidente no reveló ninguna actividad anormal en ella.
Sin embargo, pagar por datos que ya han sido filtrados no elimina el riesgo posterior. El FBI ha insistido en este punto: un portavoz del FBI que habló con The Record advierte de que un mensaje de ShinyHunters «no significa necesariamente que su información personal se haya visto comprometida » y desaconseja encarecidamente cualquier pago o respuesta a las solicitudes. Las instituciones y los usuarios deben asumir que los datos exfiltrados pueden circular independientemente del acuerdo entre Instructure y sus extorsionadores.
Un acuerdo con un grupo delictivo no vincula a sus propios miembros ni a terceros a los que puedan haberse transmitido copias antes de la supuesta destrucción. Esta es la lección del caso anterior de PowerSchool. En un momento en que la tasa de pago de rescates está en mínimos históricos, la decisión de Instructure actúa como una contra-señal. Como dice Cliff Steinhauer (National Cybersecurity Alliance) en Inside Higher Ed, este tipo de pago«refuerza la estructura de incentivos económicos que hay detrás de la ciberextorsión » y corre el riesgo de «normalizar el pago como estrategia de respuesta a incidentes, que las fuerzas de seguridad desaconsejan sistemáticamente porque alimenta nuevos ataques «.
A corto plazo, pues, la alerta está del lado de las entidades, no de Instructure. La respuesta práctica puede resumirse en unos sencillos pasos: emitir inmediatamente avisos de phishing personalizados a estudiantes, profesores y personal administrativo, especificando los datos que han quedado expuestos y los tipos de suplantación de identidad a los que hay que estar atentos: mensajes falsos de la administración, enlaces para restablecer contraseñas fraudulentas, solicitudes que imitan servicios financieros relacionados con las tasas de matrícula. El personal cuyas direcciones de correo electrónico aparezcan en la filtración debería comprobar sus cuentas en busca de actividad sospechosa y reforzar su autenticación multifactor. Aunque el pago ha permitido a Instructure cerrar el archivo de medios, no ha cerrado el archivo de datos: los próximos meses, y no la confirmación de la destrucción de ShinyHunters, dirán si la filtración ha sido realmente contenida.
Fuentes
- Instructure: Actualización del incidente de seguridad y preguntas frecuentes
- BleepingComputer: Instructure llega a un «acuerdo» con ShinyHunters para detener la fuga de datos
- BleepingComputer: Instructure confirma que los hackers utilizaron el fallo de Canvas para desfigurar los portales
- The Record: Instructure paga un rescate tras el incidente de Canvas mientras el Congreso anuncia una investigación
- The Hacker News: Instructure llega a un acuerdo de rescate con ShinyHunters para detener la fuga de 3,65 TB de Canvas
- DataBreaches : PowerSchool pagó la extorsión de un hacker, pero ahora los clientes de los distritos escolares están siendo extorsionados de todos modos
- Higher Ed Dive: El propietario de Canvas llega a un «acuerdo» con los autores de la amenaza tras la filtración de datos
- KrebsOnSecurity: Por favor, no alimenten a los dispersos Lapsus ShinyHunters
- Inside Higher Ed: Instructure paga el rescate a los piratas informáticos de Canvas
