**Instructure** ha admitido haber pagado un rescate a un grupo descentralizado de extorsión cibercriminal tras una brecha en su red. La empresa, conocida por su sistema de gestión de aprendizaje **Canvas**, hizo este anuncio después de que los atacantes amenazaran con filtrar datos robados de miles de escuelas y universidades. ### Pago de Rescate Confirmado En un comunicado emitido el lunes, la empresa con sede en Utah declaró que "llegó a un acuerdo con el actor no autorizado involucrado en este incidente", citando preocupaciones sobre la posible publicación de datos. La decisión de pagar el rescate, una medida controvertida, se tomó para evitar una filtración, y el acuerdo cubre a todos los clientes afectados. **Instructure** afirma que los datos robados fueron devueltos y confirmados digitalmente como destruidos. La empresa también declaró que se les informó que ningún cliente sería extorsionado por separado como resultado del hackeo. "Si bien nunca hay certeza completa al tratar con ciberdelincuentes, creemos que fue importante tomar todas las medidas a nuestro alcance para brindar tranquilidad adicional a los clientes, en la medida de lo posible", afirmó **Instructure**. ### Análisis Forense y Mejoras de Seguridad La empresa está colaborando con proveedores expertos para apoyar el análisis forense, mejorar sus defensas de ciberseguridad y realizar una revisión exhaustiva de los datos comprometidos. ### ShinyHunters Reclama Responsabilidad La brecha se origina en un ataque del grupo de extorsión **ShinyHunters**, que tuvo como objetivo **Canvas** el mes pasado, lo que llevó al robo de 3.65 TB de datos. Este incidente afectó a casi 9,000 organizaciones. Aunque inicialmente se creía que la brecha estaba contenida, se produjo una segunda ola de actividad no autorizada el 7 de mayo de 2026, que mostró mensajes de extorsión en los portales de inicio de sesión de **Canvas** en aproximadamente 330 instituciones, estableciendo una fecha límite del 12 de mayo de 2026 para que **Instructure** negociara. ### Explotación de Vulnerabilidad Según se informa, los atacantes explotaron una vulnerabilidad no especificada relacionada con tickets de soporte dentro del entorno Free-for-Teacher para obtener acceso inicial. Esto les permitió sustraer aproximadamente 275 millones de registros que contenían nombres de usuario, direcciones de correo electrónico, nombres de cursos, información de inscripción y mensajes. **Instructure** enfatiza que el contenido del curso, las entregas y las credenciales no se vieron comprometidos. ### Pasos de Remediación Tras la brecha, **Instructure** cerró temporalmente las cuentas de Free-For-Teacher. Si bien la empresa no ha revelado la naturaleza específica de la vulnerabilidad, ha revocado las credenciales privilegiadas y los tokens de acceso para los sistemas afectados, rotó las claves internas, restringió las vías de creación de tokens e implementó controles de seguridad adicionales. ### Riesgo de Phishing "Los datos exfiltrados proporcionan a los actores de amenazas suficiente contexto personal para llevar a cabo campañas de phishing dirigidas contra el personal, los estudiantes y los padres por igual", advirtió **Halcyon**. "Los registros filtrados pueden usarse para suplantar a administradores escolares, soporte de TI u oficinas de ayuda financiera en ataques de seguimiento. Se debe considerar a los estudiantes, padres y personal de las instituciones afectadas, y las instituciones deben emitir avisos de phishing y comunicaciones directas de inmediato."