Empresa detrás de Canvas paga a ciberdelincuentes para eliminar datos robados de millones de estudiantes

Instructure, la empresa con sede en Salt Lake City que opera Canvas, anunció que alcanzó un acuerdo con los responsables del ciberataque que la semana pasada causó interrupciones masivas en miles de universidades y colegios durante el período de exámenes finales, según informó la compañía en su sitio web.

El ataque cibernético afectó a aproximadamente 9,000 instituciones educativas en Estados Unidos, Canadá, Australia y Reino Unido, según reportó la BBC. Los hackers amenazaron con publicar 3.5 terabytes de datos de estudiantes y universidades robados durante la brecha de seguridad.

Instructure confirmó que "llegó a un acuerdo" con los hackers, quienes dijeron haber eliminado los datos y prometieron no extorsionar a estudiantes o instituciones, según el comunicado de la empresa. La compañía no especificó los términos del acuerdo ni confirmó si hubo un pago monetario involucrado.

El director ejecutivo de Instructure, Steve Daly, publicó una disculpa sobre el ataque. "Merecían una comunicación más consistente de nuestra parte, y no la entregamos", dijo Daly, según CBS News. "Lo siento por eso".

**Advertencias sobre pagar a ciberdelincuentes**

Pagar a criminales cibernéticos va en contra de las recomendaciones de agencias policiales alrededor del mundo, ya que puede alimentar futuros ataques y no ofrece garantía de que los datos hayan sido eliminados, según reportó la BBC.

En casos anteriores, los criminales han aceptado pagos de rescate pero mintieron sobre la destrucción de datos robados, manteniéndolos para reventa. Por ejemplo, cuando el grupo de ransomware LockBit fue hackeado por la Agencia Nacional del Crimen británica, la policía encontró que los datos robados no habían sido eliminados incluso después de que se realizaran los pagos, según la BBC.

Cliff Steinhauer, director de seguridad de la información y compromiso de la Alianza Nacional de Ciberseguridad, advirtió que el acuerdo podría crear un "ciclo de retroalimentación peligroso" que muestra a los actores maliciosos que los hackeos exitosos serán recompensados, según KQED.

"Incluso si las organizaciones creen que están 'resolviendo' la crisis inmediata, refuerza la estructura de incentivos económicos detrás de la extorsión cibernética y señala a los actores de amenazas que atacar grandes plataformas educativas, o cualquier servicio crítico, puede ser rentable", dijo Steinhauer, según KQED. También señaló que normaliza el pago como estrategia de respuesta a hackeos, lo que puede alimentar más incidentes.

Instructure dijo en un comunicado en su sitio web que proteger los datos de estudiantes y personal educativo era su motivación principal. "Si bien nunca hay certeza completa cuando se trata con criminales cibernéticos, creemos que era importante tomar cada paso dentro de nuestro control para dar a los clientes tranquilidad adicional, en la medida de lo posible", dijo la compañía, según la BBC.

**Términos del acuerdo**

Instructure no detalló los términos del acuerdo pero dijo que significaba que los datos fueron devueltos a la compañía, recibió "confirmación digital de destrucción de datos", fue informada de que ningún cliente de Instructure sería extorsionado como resultado del incidente, y el acuerdo cubre a todos los clientes afectados, sin necesidad de que individuos se involucren con los hackers, según la BBC.

Ni los hackers ni la compañía están diciendo explícitamente que se intercambió dinero, pero grupos de extorsión cibernética como Shiny Hunters operan forzando a sus víctimas a enviar dinero en bitcoin después de una negociación a través de un servicio de chat encriptado, según la BBC.

Instructure dijo el lunes que como resultado de su acuerdo, había recibido confirmación digital de que los datos habían sido destruidos, en forma de "registros de destrucción", según CBS News. La compañía reconoció que no había forma de estar segura de que los datos fueron borrados definitivamente, y dijo que tomó acción debido a preocupaciones sobre la potencial publicación de los datos.

Steinhauer dijo que no hay forma confiable de verificar que los datos hayan sido eliminados, según KQED. "La historia muestra que los datos a menudo se retienen, revenden o usan en futuros intentos de extorsión", dijo. Si ese es el caso, agregó Steinhauer, la compañía podría encontrarse en riesgo de un problema de exposición a largo plazo, "sin apalancamiento adicional para prevenirlo".

**Detalles del ataque**

La brecha fue descubierta el 29 de abril y fue reclamada en línea por el prolífico grupo de extorsión Shiny Hunters, según la BBC. El grupo de hackers de sombrero negro Shiny Hunters ha asumido públicamente el crédito por el incidente, según KQED.

El 7 de mayo, Instructure desconectó Canvas durante horas después de que un grupo que afirmaba ser Shiny Hunters publicara mensajes emergentes vistos por muchos estudiantes y profesores que intentaron acceder al programa, según KQED.

La compañía dijo que los hackers habían explotado un problema relacionado con su programa "Free-for-Teacher", un programa de demostración para educadores cuyas escuelas no son usuarios de Canvas, según KQED. Ese programa ha sido suspendido temporalmente mientras la compañía realiza una revisión de seguridad completa.

Instructure dijo que se dio cuenta por primera vez de actividad no autorizada en Canvas el 29 de abril y revocó el acceso de la parte no autorizada. La semana siguiente, se dio cuenta de actividades adicionales vinculadas al mismo incidente que permitieron al grupo de hackers hacer cambios en las páginas que aparecían cuando algunos estudiantes y profesores abrían la aplicación, según KQED.

Muchos abrieron sus aplicaciones de Canvas para encontrar un mensaje supuestamente de Shiny Hunters, diciendo que Instructure tenía hasta el martes para prevenir la liberación de datos comprometidos. "Por favor consulte con una firma de asesoría cibernética y contáctenos en privado... para negociar un acuerdo", decía el mensaje, publicado por varias publicaciones universitarias, según KQED. "Tienen hasta el final del día del 12 de mayo de 2026 antes de que todo se filtre".

**Datos comprometidos**

La brecha de datos pareció involucrar números de identificación de estudiantes, direcciones de correo electrónico, nombres y mensajes en la plataforma Canvas, dijo Steve Proud, director de seguridad de la información de Instructure, a principios de este mes, según CBS News. La compañía no encontró evidencia de que contraseñas, fechas de nacimiento, identificación gubernamental o información financiera fueran comprometidas, dijo.

La compañía dijo que descubrió que los hackers pudieron acceder a nombres de usuario, direcciones de correo electrónico, nombres de cursos, información de inscripción y mensajes de los clientes del programa, según KQED. Lo que llama "datos centrales de aprendizaje", como credenciales, contenido de cursos y envíos de tareas, no fue comprometido, dijo en un comunicado.

**Impacto en estudiantes**

La interrupción causó pánico la semana pasada entre estudiantes y miembros del profesorado cuando fueron bloqueados de una plataforma en la que confían para gestionar calificaciones y acceder a notas de cursos y tareas, según CBS News.

Escuelas y universidades usan Canvas para gestionar casi todos los aspectos de la instrucción. La plataforma actúa como un libro de calificaciones, un centro para conferencias digitales y materiales de curso, un tablero de discusión para proyectos de clase y una plataforma de mensajería entre estudiantes e instructores, según CBS News. Algunos cursos también dan cuestionarios y exámenes en la plataforma, o la usan como portal donde se envían proyectos finales y trabajos en fecha límite.

Estudiantes que realizaban exámenes en Estados Unidos fueron particularmente afectados, perdiendo acceso a Canvas para revisión y, en algunos casos, teniendo exámenes en línea interrumpidos, según la BBC.

Aubrey Palmer, estudiante de meteorología en la Universidad Estatal de Mississippi, dijo a la BBC que ellos y otros estudiantes acababan de terminar de escribir un ensayo de examen de 2,900 palabras cuando un mensaje de rescate apareció repentinamente en sus pantallas.

La nota decía: "Shiny Hunters ha violado Instructure (de nuevo)", según la BBC. Amenazaba con liberar datos robados a menos que se pagara un rescate en bitcoin por Canvas o universidades afectadas.

"Mi reacción instintiva fue que yo mismo había sido hackeado, porque eso es lo que parecía", dijo Aubrey, según la BBC. "Pero luego realmente leí la nota de rescate y vi que era Canvas el que había sido hackeado".

Aubrey agregó que docenas de estudiantes recibieron el mismo mensaje, y hubo confusión en la sala de examen sobre si su trabajo había sido guardado, según la BBC. La Universidad Estatal de Mississippi anunció posteriormente que algunos exámenes serían pospuestos para permitir a los estudiantes recuperar cualquier trabajo perdido.

**Historial del grupo Shiny Hunters**

Shiny Hunters es conocido por hackear organizaciones, robar datos y luego presionar públicamente a las víctimas para que paguen rescates en bitcoin, según la BBC. El grupo ha sido vinculado a otras brechas, incluyendo ataques a Jaguar Land Rover y Gucci. Los criminales hablan inglés y se cree que son jóvenes.

En mensajes de Telegram intercambiados con la BBC, Shiny Hunters dijo que había hackeado Canvas dos veces antes del ataque del jueves pasado. Instructure reveló una brecha en septiembre de 2025 en una publicación en su blog, según la BBC. Shiny Hunters también ha afirmado que violó la compañía nuevamente en abril de 2026, antes del ataque del 29 de abril.

Cuando se le preguntó cómo se sentía sobre el estrés y la interrupción causados a estudiantes como Aubrey Palmer, el grupo dijo: "No tenemos comentarios sobre eso", según la BBC. No diría cuánto le había pagado Instructure.

**Transparencia inusual**

Es inusual que víctimas de ataques cibernéticos reconozcan públicamente pagar a hackers, pero Instructure ha mantenido un alto nivel de transparencia, proporcionando actualizaciones regulares en su sitio web, según la BBC. Esa apertura puede ser en parte porque el ataque fue altamente visible y afectó a estudiantes directamente.

La compañía dijo que estaba trabajando con "proveedores expertos" para hacer un análisis forense, "endurecer aún más" sus sistemas y llevar a cabo una "revisión integral de los datos involucrados", según CBS News.