ShinyHunters violó Instructure Canvas LMS, reclamando 275 millones de usuarios y 3,65 TB de datos de estudiantes de 9.000 escuelas, incluidas 44 instituciones holandesas.

La mayor filtración de datos educativos de la historia no fue un ataque escolar. Fue un ataque a un vendedor. El 30 de abril, los piratas informáticos explotaron una vulnerabilidad en Systems of Infrastructure, la empresa que fabrica Canvas, el sistema de gestión del aprendizaje utilizado por el 41 por ciento de las instituciones de educación superior en América del Norte.

El grupo criminal ShinyHunters, que anteriormente orquestó el ataque a la cadena de suministro Snowflake que comprometió a Ticketmaster y AT&T, afirmó haber robado 3,65 terabytes de datos que afectan a 275 millones de usuarios en casi 9.000 instituciones educativas en todo el mundo, incluidos mensajes privados entre estudiantes, profesores y personal.

en los países bajos, Se ha confirmado que un total de 44 universidades y escuelas están afectadas, desde la Universidad de Ámsterdam y la Universidad de Vrij hasta la Universidad de Ciencias Aplicadas de La Haya.. Las autoridades holandesas han pedido a los estudiantes y al personal que estén atentos. Los piratas informáticos pidieron a Infrastructure que pagara el dinero antes del 8 de mayo o la información se haría pública.

Y la brecha expone debilidades estructurales en la forma en que se digitaliza la educación: las escuelas no eligieron ser atacadas y no pudieron evitarlo, porque la decisión de confiar los datos de los estudiantes a un solo proveedor se tomó hace años, y la seguridad del proveedor nunca estuvo bajo su control.

Compañía

Instructur se fundó en 2008 y convirtió a Canvas en la plataforma de gestión de aprendizaje dominante en los EE. UU., superando a Blackboard para reclamar el 31 por ciento del mercado LMS de educación superior de América del Norte en 2018. La compañía salió a bolsa en 2015, Thomas Bravo la hizo privada en un acuerdo de $ 2 mil millones en 2020 y KR20 la invirtió en noviembre de 2020. Por $ 4.8 mil millones.

La empresa ahora opera como una entidad privada propiedad del administrador de activos alternativos más grande del mundo y presta servicios a casi 200 millones de estudiantes en más de 100 países. Sus productos incluyen Canvas LMS, Canvas Studio para aprendizaje basado en video y Mastery Assessment para seguimiento de habilidades. La plataforma está integrada en la vida académica cotidiana de los estudiantes, desde la escuela secundaria hasta los programas de posgrado, administrando materiales del curso, enviando tareas, calificaciones y, fundamentalmente, mensajes directos entre estudiantes y educadores.

Esta es la segunda infracción confirmada de Infraestructura en unos ocho meses. En septiembre de 2025, ShinyHunters aprovechó un ataque de ingeniería social contra el entorno Salesforce de la empresa. El ataque de abril de 2026 aprovechó una vulnerabilidad en el sistema de producción de Infraestructura, que según la compañía ya ha sido parcheada. El director de seguridad de la información de Instruct, Steve Proud, informó a los clientes el 1 de mayo que la empresa había experimentado un incidente de ciberseguridad y confirmó que los datos expuestos pueden haber incluido nombres, direcciones de correo electrónico, números de identificación de estudiantes y mensajes de discusión y bandeja de entrada de Canvas.

La compañía dijo que no hay indicios de que las fechas de nacimiento, los identificadores gubernamentales, la información financiera o las contraseñas hayan sido comprometidos. Pero la inclusión de mensajes privados, que pueden contener números de teléfono, direcciones particulares e información personal compartida con una expectativa de privacidad, hace que la violación sea cualitativamente diferente de una simple filtración de datos de nombres y correos electrónicos.

Atacantes

ShinyHunters es un grupo criminal de piratería y extorsión activo desde 2020 y se ha convertido en uno de los mejores ladrones de datos del mundo. El grupo, que se cree que está formado por un pequeño número de miembros principales con sede en Canadá y Francia, se especializa en apuntar a empresas que brindan servicios a múltiples organizaciones, permitiendo que una sola infracción se convierta en una cascada de miles de víctimas.

En 2024, ShinyHunters llevó a cabo la campaña de la cadena de suministro Snowflake, comprometiendo a aproximadamente 165 organizaciones, incluidas Ticketmaster, donde se expusieron 560 millones de registros, y AT&T, donde se robaron 110 millones de datos de clientes. AT&T pagó un rescate de 370.000 dólares para eliminar los datos. En marzo de 2026, ShinyHunters violó la Comisión Europea y filtró 350 GB de datos de 42 clientes internos y al menos 29 entidades de la UE. El enfoque del grupo es consistente: identificar un proveedor o plataforma con acceso a grandes cantidades de datos, explotar una vulnerabilidad o un vector de ingeniería social, extraer los datos y exigir el pago bajo amenaza de divulgación pública.

Las violaciones de infraestructura siguen precisamente este patrón. ShinyHunters publicó su afirmación en un foro de la web oscura el 2 de mayo, enumerando un número récord de 8.809 distritos escolares, universidades e instituciones por plataforma de educación en línea. El partido ha alertado a la directiva de "Toma la decisión correcta"antes del 6 de mayo, luego ampliado hasta el 8 de mayo, o enfrentar la publicación del conjunto de datos completo con lo que se describe como "Algunos problemas digitales molestos" Los piratas informáticos afirman tener acceso a miles de millones de mensajes privados.

La industria de la ciberseguridad predice que 2026 será el año de la IA de seguridad regulada, a medida que los sistemas automatizados de detección y respuesta a amenazas alcancen la madurez operativa. Las violaciones de infraestructura sugieren que la brecha de gobernanza entre la postura de seguridad empresarial y las capacidades de los atacantes sigue siendo amplia, y que las organizaciones más vulnerables no son las que tienen la seguridad más débil sino aquellas cuyos proveedores tienen el mayor radio de explosión.

Debilidad

El problema estructural que revela la infracción es la concentración de proveedores. Canvas domina su mercado porque es bueno: la plataforma está bien diseñada, es confiable y profundamente integrada con los flujos de trabajo institucionales. Pero el dominio significa que una sola falla de seguridad en una sola empresa puede comprometer simultáneamente los expedientes académicos y las comunicaciones personales de los estudiantes de 9.000 instituciones en docenas de países. Las escuelas y universidades afectadas por la infracción no tuvieron ningún papel en las decisiones de seguridad que lo permitieron. No fueron consultados sobre la vulnerabilidad explotada.

No pueden auditar de forma independiente la seguridad de los sistemas que contienen la información de sus estudiantes. Están, en el lenguaje de la ciberseguridad, en sentido descendente. Europa está desmantelando y reescribiendo su propio código regulatorio en un esfuerzo por equilibrar la innovación y la seguridad, pero la violación de Canvas muestra que el sector educativo se encuentra en una brecha regulatoria: las escuelas están sujetas a obligaciones de protección de datos según GDPR y, en los Países Bajos, la nueva ley de ciberseguridad NIS2 transfiere, sin embargo, una empresa privada depende de una firma de capital privado en otro continente para cumplir con sus propias obligaciones de seguridad.

Las luchas en curso para finalizar las enmiendas a la ley de IA de la UE ilustran el desafío más grande: la regulación va constantemente por detrás de la velocidad a la que la tecnología concentra los datos y la velocidad a la que los atacantes explotan esa concentración. NIS2 impone requisitos de informes de infracciones y multas de hasta 10 millones de euros o el dos por ciento de la facturación global por incumplimiento, y la Ley de Resiliencia Cibernética, que entrará en vigor en septiembre de 2026, exigirá informes de vulnerabilidades para productos con componentes digitales.

Pero la dependencia del sector educativo de un pequeño número de plataformas dominantes significa que el cumplimiento a nivel institucional no puede evitar violaciones a nivel de proveedores. Las 44 instituciones holandesas afectadas por la violación de Canvas cumplían plenamente con todas las regulaciones aplicables y aún no tenían capacidad para prevenir o mitigar el ataque.

patrón

La violación de Instruct es el último de una serie de ataques a proveedores de tecnología educativa que demuestran colectivamente el estatus del sector como uno de los objetivos más fáciles de la economía global. En diciembre de 2024, PowerSchool, que proporciona software administrativo a escuelas K-12, fue vulnerada y el atacante exigió un rescate de 2,85 millones de dólares, que la empresa pagó.

Las plataformas de tecnología educativa se han convertido en algunas de las aplicaciones de consumo más utilizadas en el mundo; empresas como Duolingo reportan 56,5 millones de usuarios activos diarios; sin embargo, la madurez de la seguridad de la industria no ha seguido el ritmo del crecimiento de usuarios. El sector de la tecnología educativa recopila información confidencial sobre menores, almacena comunicaciones académicas personales y trabaja con una base de usuarios que tiene una capacidad limitada para protegerse. La combinación de alta calidad de datos, menor inversión en seguridad en comparación con otros sectores y una base de usuarios que incluye niños hace que la tecnología educativa sea un objetivo atractivo para los grupos criminales.

La cuestión de si la regulación digital europea puede ofrecer innovación y seguridad ya no es abstracta para las 44 instituciones holandesas que ahora aconsejan a los estudiantes que cambien sus contraseñas y controlen sus cuentas. El modelo de propiedad de capital privado que ha dado forma a la trayectoria de Infraestructura, desde la salida a bolsa de Thoma Bravo por $2 mil millones de dólares hasta la adquisición de KKR por $4.8 mil millones de dólares, optimiza el crecimiento de los ingresos, la eficiencia de costos y, en última instancia, la salida. Si esto optimiza la inversión en seguridad es una pregunta que la infracción respondió. Instruct’s Canvas es un producto en el que más de 200 millones de estudiantes confían diariamente.

La empresa propietaria ha sido violada dos veces en ocho meses por el mismo grupo criminal. Las escuelas no tenían voz en la arquitectura de seguridad del proveedor, ni visibilidad en su gestión de vulnerabilidades, ni capacidad para evitar el compromiso de los datos de sus estudiantes. Se pide a los estudiantes que tengan cuidado. Precaución, en este contexto, significa aceptar que la información ya no existe y esperar que no sea un arma. El modelo de proveedor que ha digitalizado el aprendizaje a escala también ha centralizado el riesgo a escala y el incumplimiento tiene un costo.