ShinyHunters infringe el LMS Instructure Canvas, afirman tener 275 millones de usuarios y 3.65 TB de datos de estudiantes de 9,000 escuelas, incluyendo 44 instituciones neerlandesas.

      TL;DRShinyHunters violó el sistema de gestión de aprendizaje Canvas de Instructure, reclamando 3.65 terabytes de datos de 275 millones de usuarios en 9,000 instituciones de todo el mundo, incluidos mensajes privados entre estudiantes y profesores. Cuarenta y cuatro universidades y escuelas holandesas están confirmadas como afectadas, y la violación, la segunda en Instructure en ocho meses, expone el riesgo estructural de la concentración de proveedores en la tecnología educativa.

      La mayor violación de datos educativos en la historia no fue un ataque a una escuela. Fue un ataque a un proveedor. El 30 de abril, los hackers explotaron una vulnerabilidad en los sistemas de Instructure, la empresa que desarrolla Canvas, el sistema de gestión de aprendizaje utilizado por el 41 por ciento de las instituciones de educación superior en América del Norte.

      El grupo criminal ShinyHunters, que anteriormente orquestó los ataques a la cadena de suministro Snowflake que comprometieron a Ticketmaster y AT&T, afirma haber robado 3.65 terabytes de datos que afectan a 275 millones de usuarios en casi 9,000 instituciones educativas en todo el mundo, incluidos mensajes privados entre estudiantes, profesores y personal.

      En los Países Bajos, 44 universidades y escuelas están confirmadas como afectadas, desde la Universidad de Ámsterdam y la Vrije Universiteit hasta la Universidad de Ciencias Aplicadas de La Haya. Las autoridades holandesas han advertido a estudiantes y personal que estén alerta. Los hackers han dicho a Instructure que pague antes del 8 de mayo o los datos se harán públicos.

      Y la violación expone una vulnerabilidad estructural en la forma en que se ha digitalizado la educación: las escuelas no eligieron ser atacadas, y no pudieron haberlo prevenido, porque la decisión de confiar los datos de los estudiantes a un solo proveedor se tomó hace años, y la seguridad del proveedor nunca fue de su control.

      La empresa

      Instructure fue fundada en 2008 y construyó Canvas como la plataforma de gestión de aprendizaje dominante en los Estados Unidos, superando a Blackboard para reclamar el 31 por ciento del mercado de LMS de educación superior en América del Norte para 2018. La empresa salió a bolsa en 2015, fue adquirida por Thoma Bravo en un acuerdo de dos mil millones de dólares en 2020, y fue vendida nuevamente a KKR y Dragoneer Investment Group en noviembre de 2024 por 4.8 mil millones de dólares.

      La empresa ahora opera como una entidad privada propiedad de uno de los mayores gestores de activos alternativos del mundo, sirviendo aproximadamente a 200 millones de estudiantes en más de 100 países. Sus productos incluyen Canvas LMS, Canvas Studio para aprendizaje basado en video, y Mastery Assessment para seguimiento de competencias. La plataforma está integrada en la vida académica diaria de los estudiantes desde la escuela secundaria hasta programas de posgrado, manejando materiales de curso, entregas de tareas, calificaciones y, críticamente, mensajes directos entre estudiantes y educadores.

      Esta es la segunda violación confirmada de Instructure en aproximadamente ocho meses. En septiembre de 2025, ShinyHunters explotó un ataque de ingeniería social contra el entorno de Salesforce de la empresa. El ataque de abril de 2026 explotó una vulnerabilidad en los sistemas de producción de Instructure, que la empresa dice que desde entonces ha sido parcheada. El director de seguridad de la información de Instructure, Steve Proud, notificó a los clientes el 1 de mayo que la empresa había experimentado un incidente de ciberseguridad, confirmando que los datos expuestos pueden incluir nombres, direcciones de correo electrónico, números de identificación de estudiantes y mensajes de Canvas Inbox y Discussion.

      La empresa dice que no hay indicios de que se hayan comprometido fechas de nacimiento, identificadores gubernamentales, información financiera o contraseñas. Pero la inclusión de mensajes privados, que podrían contener números de teléfono, direcciones de casa e información personal compartida con la expectativa de privacidad, hace que la violación sea cualitativamente diferente de una filtración típica de datos de correos electrónicos y nombres.

      Los atacantes

      ShinyHunters es un grupo criminal de hacking y extorsión que ha estado activo desde 2020 y se ha convertido en uno de los ladrones de datos más prolíficos del mundo. Se cree que el grupo está compuesto por un pequeño número de miembros centrales con sede en Canadá y Francia, y se especializa en atacar empresas que brindan servicios a múltiples organizaciones, lo que permite que una sola violación se propague a miles de víctimas.

      En 2024, ShinyHunters orquestó la campaña de cadena de suministro Snowflake, comprometiendo aproximadamente 165 organizaciones, incluida Ticketmaster, donde se expusieron 560 millones de registros, y AT&T, donde se robaron datos de 110 millones de clientes. AT&T pagó un rescate de 370,000 dólares para que se borraran los datos. En marzo de 2026, ShinyHunters violó la Comisión Europea, filtrando 350 gigabytes de datos de 42 clientes internos y al menos 29 entidades de la UE. El método del grupo es consistente: identificar un proveedor o plataforma con acceso a grandes volúmenes de datos, explotar una vulnerabilidad o vector de ingeniería social, exfiltrar los datos y exigir un pago bajo la amenaza de liberación pública.

      La violación de Instructure sigue este patrón con precisión. ShinyHunters publicó su reclamación en un foro de la dark web el 2 de mayo, enumerando 8,809 distritos escolares, universidades y plataformas de educación en línea con recuentos de registros por institución. El grupo advirtió a Instructure que “tomara la decisión correcta” antes del 6 de mayo, que luego se extendió al 8 de mayo, o enfrentaría la liberación del conjunto completo de datos junto con lo que describió como “varios problemas digitales molestos”. Los hackers afirman poseer miles de millones de mensajes privados.

      La industria de la ciberseguridad ha estado prediciendo que 2026 sería el año de la IA de seguridad gobernada, con sistemas automatizados de detección y respuesta a amenazas alcanzando madurez operativa. La violación de Instructure sugiere que la brecha de gobernanza entre la postura de seguridad empresarial y la capacidad del atacante sigue siendo amplia, y que las organizaciones más vulnerables no son las que tienen la seguridad más débil, sino las que tienen proveedores con el mayor radio de explosión.

      La vulnerabilidad

      El problema estructural que expone la violación es la concentración de proveedores. Canvas domina su mercado porque es bueno: la plataforma está bien diseñada, es confiable y está profundamente integrada en los flujos de trabajo institucionales. Pero el dominio significa que un solo fallo de seguridad en una sola empresa puede comprometer los registros académicos y las comunicaciones privadas de los estudiantes en 9,000 instituciones en docenas de países simultáneamente. Las escuelas y universidades afectadas por la violación no tuvieron ningún papel en las decisiones de seguridad que permitieron que ocurriera. No fueron consultadas sobre la vulnerabilidad que fue explotada.

      No pueden auditar de forma independiente la seguridad de los sistemas que contienen los datos de sus estudiantes. Están, en el lenguaje de la ciberseguridad, aguas abajo. Europa ha estado desmantelando y reescribiendo su propio libro de reglas regulatorias en un intento de equilibrar la innovación y la seguridad, pero la violación de Canvas demuestra que el sector educativo se encuentra en una brecha regulatoria: las escuelas están sujetas a obligaciones de protección de datos bajo el GDPR y, en los Países Bajos, la nueva Ley de Ciberseguridad que transpone NIS2, sin embargo, su capacidad para cumplir con esas obligaciones depende de las prácticas de seguridad de una empresa privada propiedad de una firma de capital privado en otro continente.

      Las luchas en curso de la UE para finalizar sus enmiendas a la Ley de IA ilustran el desafío más amplio: la regulación consistentemente se queda atrás de la velocidad a la que la tecnología concentra datos y la velocidad a la que los atacantes explotan esa concentración. NIS2 impone requisitos de informes de violaciones y multas de hasta 10 millones de euros o el dos por ciento de la facturación global por incumplimiento, y la Ley de Resiliencia Cibernética, que comenzará a aplicarse en septiembre de 2026, exigirá informes de vulnerabilidades para productos con elementos digitales.

      Pero la dependencia del sector educativo de un pequeño número de plataformas dominantes significa que el cumplimiento a nivel institucional no puede prevenir una violación a nivel de proveedor. Las 44 instituciones holandesas afectadas por la violación de Canvas pueden haber estado completamente en cumplimiento con cada regulación aplicable y aún así no tener capacidad para prevenir o mitigar el ataque.

      El patrón

      La violación de Instructure es la más reciente en una serie de ataques a proveedores de tecnología educativa que demuestran colectivamente el estatus del sector como uno de los objetivos más blandos en la economía global. En diciembre de 2024, PowerSchool, que proporciona software administrativo a escuelas K-12, fue violado, y el atacante exigió 2.85 millones de dólares en rescate, que la empresa pagó.

      Las plataformas de tecnología educativa se han convertido en algunas de las aplicaciones de consumo más utilizadas en el mundo, con empresas como Duolingo reportando 56