La plataforma educativa Instructure, responsable del popular sistema de gestión del aprendizaje Canvas, ha confirmado que ha sufrido un ciberataque que ha expuesto datos personales de usuarios. El incidente, ya bajo investigación, ha sido reivindicado por el conocido grupo de ciberdelincuencia ShinyHunters, especializado en ataques de extorsión y filtración masiva de información.
La compañía, con sede en Estados Unidos y presencia global en miles de centros educativos, reconoció el viernes que había sido víctima de un incidente de ciberseguridad. Un día después, actualizó su comunicado para confirmar que los atacantes lograron acceder a información personal de usuarios pertenecientes a instituciones afectadas.
Según la propia Instructure, los datos expuestos incluyen información identificativa básica: nombres, direcciones de correo electrónico, números de identificación de estudiantes y mensajes intercambiados dentro de la plataforma.
Aunque en esta fase preliminar no hay evidencias de que se hayan visto comprometidos datos especialmente sensibles —como contraseñas, fechas de nacimiento, identificadores gubernamentales o información financiera—, la filtración sigue siendo significativa. En el contexto educativo, este tipo de datos puede facilitar ataques dirigidos como phishing, ingeniería social o suplantación de identidad.
Además, el acceso a mensajes privados entre alumnos y profesores introduce un componente adicional de riesgo, al tratarse de comunicaciones potencialmente sensibles desde el punto de vista académico y personal.
La versión de los atacantes: cifras mucho mayores
Mientras Instructure mantiene una postura prudente y limitada en sus comunicaciones, el grupo ShinyHunters ha elevado considerablemente el alcance del incidente. En su portal de filtraciones, los ciberdelincuentes aseguran haber accedido a datos de hasta 275 millones de personas, incluyendo estudiantes, profesores y personal administrativo.
Según sus afirmaciones, el conjunto de datos robado contendría:más de 240 millones de registros individuales, información académica como cursos matriculados, miles de millones de mensajes privadosu y datos procedentes de sistemas integrados, como instancias de Salesforce
También aseguran que la brecha afectaría a cerca de 15.000 instituciones educativas distribuidas en distintas regiones del mundo, incluyendo Europa, América del Norte y Asia-Pacífico.
Por el momento, estas cifras no han podido ser verificadas de forma independiente, y la propia Instructure no ha confirmado ni desmentido estos detalles.
Un fallo explotado y ya corregido
El grupo atacante sostiene que el acceso a los sistemas de Instructure se produjo a través de una vulnerabilidad que ya ha sido parcheada. Este patrón es habitual en campañas de extorsión: los atacantes explotan fallos de seguridad conocidos o zero-day, extraen datos y posteriormente presionan a la empresa afectada con la amenaza de publicación.
Como parte de su respuesta al incidente, Instructure ha desplegado parches de seguridad, ha reforzado la monitorización de sus sistemas y ha rotado claves de aplicación. Esta última medida obliga a los clientes a volver a autorizar el acceso a la API de la plataforma, un paso crítico para evitar accesos persistentes no autorizados.
La compañía también ha indicado que está colaborando con expertos externos en ciberseguridad y con las fuerzas del orden, aunque no ha aclarado si está siendo objeto de un intento de extorsión directa.
En los últimos años, el sector edtech se ha convertido en un objetivo prioritario para grupos de ransomware y extorsión de datos. Plataformas como Canvas concentran grandes volúmenes de información personal de usuarios jóvenes, a menudo con medidas de seguridad desiguales dependiendo de la institución.
Ataques recientes a proveedores como PowerSchool o Infinite Campus —también vinculados en algunos casos a ShinyHunters— evidencian una tendencia clara: los ciberdelincuentes están explotando la superficie de ataque ampliada de la educación digital.
El modelo de negocio de estas plataformas, basado en servicios cloud y múltiples integraciones, incrementa la complejidad de la seguridad. Un único punto vulnerable puede comprometer a miles de organizaciones simultáneamente.
