Deutsch
English
Español
Français
Nederlands
Português
Instructure, la empresa matriz de Canvas, confirmó un acuerdo con ShinyHunters tras el robo de datos de 275 millones de usuarios. Los datos fueron devueltos y destruidos, sin revelar si se pagó rescate. La violación de datos de Canvas 2026 afectó exámenes finales en universidades como Harvard y Columbia.
¿Qué pasó?
El 3 de mayo, ShinyHunters explotó una vulnerabilidad en el sistema 'Free-For-Teacher' para acceder a nombres, correos, IDs estudiantiles y mensajes de 275M usuarios en 8.800 instituciones. Tras los parches de seguridad, el 7 de mayo desfiguraron paneles de inicio de sesión exigiendo rescate antes del 12 de mayo.
¿Quiénes son ShinyHunters?
Activos desde 2019, han atacado Microsoft, Tokopedia y Odido. En el caso Odido, que fue la mayor violación de datos en la historia de los Países Bajos, filtraron 6,2M cuentas tras no recibir pago. Usan modelo de 'paga o filtra'. Entre sus métodos: configuraciones en la nube incorrectas y robo de tokens. Víctimas incluyen Mathway (25M) y Wishbone. Un miembro fue sentenciado en 2022, pero el grupo continúa activo.
Respuesta de Instructure
Inicialmente firme, Instructure aplicó parches sin comunicarse. El CEO Steve Daly admitió: 'Priorizamos los parches sobre la comunicación, y fue un error'. Ante la presión de universidades cercanas a la fecha límite, negociaron directamente. Comunicado: 'Los datos nos fueron devueltos y destruidos. Ningún cliente está siendo extorsionado'.
Impacto
Decenas de universidades desconectaron Canvas durante exámenes finales, incluido el sistema de California State University (460K estudiantes). Se aconsejó a estudiantes contactar profesores por correo. Expertos advierten mayor riesgo de phishing. Las preocupaciones de privacidad de datos estudiantiles han impulsado llamados a regulaciones más estrictas.
Datos robados
- Nombres completos y correos
- IDs estudiantiles y afiliación institucional
- Mensajes internos y comunicaciones de cursos
- Fechas de creación y último inicio de sesión
No se incluyeron datos financieros ni contraseñas. El volumen (3,65 TB) lo convierte en una de las mayores violaciones educativas.
Comparativa: Odido vs. Canvas
| Objetivo | Registros | ¿Rescate pagado? | ¿Datos publicados? |
|---|---|---|---|
| Odido (2025) | 6,2M | No | Sí |
| Canvas (2026) | 275M | No revelado | No (destruidos) |
FAQ
¿Mis datos fueron robados?
Si eres estudiante o educador, tu nombre, correo e ID pudieron estar expuestos. Consulta con tu escuela.
¿Instructure pagó?
No confirmado, pero analistas creen que sí, dado que los datos fueron devueltos.
¿Qué hacer?
Ten cuidado con phishing, activa 2FA, cambia tu contraseña de Canvas.
¿Es seguro usar Canvas ahora?
Sí, pero con precaución. Instructure cerró el programa vulnerable y añadió medidas.
¿Quién es responsable?
ShinyHunters. El FBI investiga.
Follow Discussion