**Instructure**, el desarrollador de **Canvas**, un sistema de gestión de aprendizaje (LMS) ampliamente utilizado, se enfrenta a las consecuencias de un reciente ciberataque. El incidente involucró múltiples vulnerabilidades de scripting entre sitios (XSS), permitiendo a los atacantes obtener sesiones de administrador autenticadas. **Brecha Inicial e Intento de Extorsión** Según **Instructure**, la brecha inicial ocurrió el 29 de abril. La empresa detectó acceso no autorizado, revocó inmediatamente el acceso, lanzó una investigación y contrató a expertos forenses externos. Unos días después, los datos robados fueron publicados en el sitio de filtración de datos de **ShinyHunters**. Los actores de la amenaza afirmaron haber robado más de 3.6 terabytes de datos sin comprimir. **Defacement de Canvas y Mensaje de Extorsión** El 7 de mayo, **ShinyHunters** utilizó la misma vulnerabilidad para reingresar a los sistemas de **Instructure** e inyectar JavaScript malicioso, explotando los bugs XSS dentro de las funciones de contenido generado por el usuario. Esto les dio acceso a sesiones de administrador autenticadas y les permitió realizar acciones privilegiadas. Los atacantes luego modificaron los portales de inicio de sesión de **Canvas**, dejando un mensaje advirtiendo a **Instructure** y a las escuelas que usan la plataforma que los contactaran antes del 12 de mayo para negociar un rescate. **Impacto en Cuentas Free-for-Teacher** **Instructure** confirmó que el problema de seguridad explotado afectó el entorno Free-for-Teacher, la versión gratuita y limitada del LMS **Canvas** para educadores individuales. "El actor no autorizado realizó cambios en las páginas que aparecían cuando algunos estudiantes y profesores iniciaban sesión a través de **Canvas**", declaró **Instructure** en una actualización del incidente. **Instructure** puso **Canvas** temporalmente fuera de línea para prevenir la actividad maliciosa, determinar la causa e implementar salvaguardias adicionales. La plataforma se ha restaurado desde el 9 de mayo, pero las cuentas Free-For-Teacher permanecen fuera de línea hasta que se resuelvan los problemas.  **Datos en Riesgo** Si bien la modificación de los portales de inicio de sesión de **Canvas** no comprometió directamente los datos, los datos exfiltrados durante la brecha inicial probablemente incluyen nombres de usuario, direcciones de correo electrónico, nombres de cursos, información de inscripción y mensajes. **Escala de la Brecha** **ShinyHunters** afirma que la brecha afecta a 8,809 organizaciones educativas y que robaron 275 millones de registros pertenecientes a estudiantes, profesores y otros miembros del personal.  ## El 99% de lo que Mythos encontró sigue sin parchear. La IA encadenó cuatro zero-days en un solo exploit que eludió los sandboxes del renderizador y del sistema operativo. Se avecina una ola de nuevos exploits. En la Cumbre de Validación Autónoma (12 y 14 de mayo), vea cómo la validación autónoma y rica en contexto encuentra lo que es explotable, demuestra que los controles se mantienen y cierra el ciclo de remediación. [Reclama tu Lugar](https://hubs.li/Q04crVgD0)