La empresa estadounidense de tecnología educativa Instructure, la empresa matriz de Canvas, dijo que llegó a un «acuerdo» con un grupo descentralizado de extorsión cibercriminal después de que violara su red y amenazara con filtrar información robada de miles de escuelas y universidades.
En una actualización compartida el lunes, la firma con sede en Utah dijo que «llegó a un acuerdo con el actor no autorizado involucrado en este incidente», citando «preocupaciones sobre la posible publicación de datos».
Al tomar la controvertida decisión de pagar un rescate para evitar una filtración, la compañía dijo que el acuerdo cubre a todos sus clientes afectados y que los datos robados le fueron devueltos, junto con la confirmación digital de la destrucción de los datos. También dijo que se le informó que ninguno de los clientes de la compañía será extorsionado por separado como resultado del ataque.
«Si bien nunca hay una certeza total cuando se trata de ciberdelincuentes, creemos que era importante tomar todas las medidas que estuvieran bajo nuestro control para brindarles a los clientes tranquilidad adicional, en la medida de lo posible», dijo Instructure.
También dijo que está trabajando con proveedores expertos para respaldar su análisis forense, mejorar su postura de ciberseguridad y realizar una revisión exhaustiva de los datos involucrados.
La revelación se produce cuando el grupo de extorsión ShinyHunters lanzó un ataque digital contra Canvas, un popular sistema de gestión de aprendizaje basado en la web, a finales del mes pasado, lo que resultó en el robo de 3,65 TB de datos. El incidente afectó a casi 9.000 organizaciones.
Aunque inicialmente se asumió que la violación estaba contenida, el 7 de mayo de 2026 se detectó una segunda ola de actividad no autorizada vinculada al mismo incidente, que desfiguró los portales de inicio de sesión de Canvas con mensajes de extorsión en aproximadamente 330 instituciones y le dio a Instructure una fecha límite del 12 de mayo de 2026 para negociar un rescate o arriesgarse a una filtración de datos.
Se dice que los atacantes utilizaron como arma una vulnerabilidad no especificada «relacionada con los tickets de soporte» en su entorno Free-for-Teacher para obtener acceso inicial y desviar alrededor de 275 millones de registros que contienen nombres de usuario, direcciones de correo electrónico, nombres de cursos, información de inscripción y mensajes. Instructure ha enfatizado que el contenido del curso, las presentaciones y las credenciales no se vieron comprometidos.
A raíz de la infracción, Instructure cerró temporalmente las cuentas de Free-For-Teacher. La compañía no reveló la naturaleza de la vulnerabilidad, pero dijo que revocó credenciales privilegiadas y tokens de acceso para los sistemas afectados, rotó claves internas, restringió las vías de creación de tokens e implementó controles de seguridad adicionales.
«Los datos filtrados proporcionan a los actores de amenazas suficiente contexto personal para llevar a cabo campañas de phishing dirigidas contra el personal, los estudiantes y los padres por igual», dijo Halcyon.
«Los registros filtrados pueden usarse para hacerse pasar por administradores escolares, soporte de TI u oficinas de ayuda financiera en ataques posteriores. Se debe considerar a los estudiantes, padres y personal de las instituciones afectadas, y las instituciones deben emitir avisos de phishing y comunicaciones directas de inmediato».