Un ataque de extorsión de datos en curso dirigido a la plataforma de tecnología educativa ampliamente utilizada **Canvas** interrumpió clases y trabajos escolares en distritos escolares y universidades de todo Estados Unidos hoy, después de que un grupo de ciberdelincuentes modificara la página de inicio de sesión del servicio con una demanda de rescate que amenazaba con filtrar datos de 275 millones de estudiantes y profesores en casi 9.000 instituciones educativas.  **Instructure**, la empresa matriz de Canvas, respondió a los ataques de defacement deshabilitando la plataforma. Canvas es utilizada por miles de escuelas, universidades y empresas para gestionar trabajos escolares, tareas y comunicación estudiantil. ### Brecha Inicial y Demanda de Rescate Instructure reconoció una brecha de datos a principios de la semana después de que **ShinyHunters** se atribuyera la responsabilidad, amenazando con filtrar datos de decenas de millones de estudiantes y profesores a menos que se pagara un rescate. La fecha límite inicial era el 6 de mayo, luego se extendió al 12 de mayo. En una declaración el 6 de mayo, Instructure afirmó que los datos robados incluían "cierta información de identificación de usuarios en las instituciones afectadas, como nombres, direcciones de correo electrónico y números de identificación de estudiante, así como mensajes entre usuarios". No encontraron evidencia de compromiso de datos más sensibles, como contraseñas o información financiera. La empresa inicialmente afirmó que el incidente estaba contenido. Sin embargo, para el 7 de mayo, los usuarios informaron haber visto la demanda de rescate de ShinyHunters en la página de inicio de sesión de Canvas, lo que llevó a Instructure a desconectar la plataforma. ### Tácticas de Extorsión e Impacto Potencial El mensaje de extorsión instó a las escuelas afectadas a negociar pagos de rescate para evitar la publicación de datos, independientemente de las acciones de Instructure. Una fuente cercana a la investigación indicó que algunas universidades ya se han puesto en contacto con ShinyHunters. El grupo también eliminó a Instructure de su blog de filtración de datos, lo que sugiere posibles negociaciones o pagos. ### Crítica de Cloudskope **Dipan Mann**, fundador y CEO de **Cloudskope**, criticó a Instructure por etiquetar la interrupción como "mantenimiento programado". Mann señaló que esta es al menos la tercera brecha de Instructure por parte de ShinyHunters en los últimos ocho meses. Señaló un incidente en septiembre de 2025 donde ShinyHunters publicó archivos de la Universidad de Pensilvania a través de una ruta de acceso mediada por Canvas/Instructure. Mann argumenta que el incidente anterior fue una prueba de concepto, y los eventos actuales representan una escalada del patrón de ataque. ### Modus Operandi de ShinyHunters ShinyHunters es conocido por el robo de datos y la extorsión, a menudo obteniendo acceso a través de phishing por voz e ingeniería social, haciéndose pasar por personal de TI. El mes pasado, atacaron a **ADT**, robando información personal de 5.5 millones de clientes al comprometer la cuenta de inicio de sesión único **Okta** de un empleado. También se han atribuido la responsabilidad de ataques contra **Medtronic**, **Rockstar Games**, **McGraw Hill**, **7-Eleven** y **Carnival**. ### Evaluación de Mandiant **Charles Carmakal**, CTO de **Mandiant Consulting**, señaló que ShinyHunters está ejecutando actualmente múltiples campañas de intrusión y extorsión concurrentes. ### Respuesta de Instructure e Implicaciones Futuras Mann de Cloudskope sugiere que el resultado depende de si los clientes de Instructure presionan a la empresa o absorben la brecha en silencio. **Actualización:** Instructure ha publicado desde entonces una actualización del incidente, declarando que Canvas está operativo nuevamente y que los hackers explotaron un problema relacionado con las cuentas "Free-for-Teacher". Han cerrado temporalmente estas cuentas y notificado a las organizaciones afectadas.