Hackeo de Canvas: Instructure dice que recuperó los datos robados de 275 millones de usuarios
Instructure llegó a un acuerdo con los hackers de ShinyHunters y afirma que los datos robados del hackeo a Canvas fueron devueltos y destruidos. AISD usa BLEND, basado en Canvas.
Instructure, la empresa propietaria de Canvas, anunció el lunes que llegó a un acuerdo con el grupo de hackers ShinyHunters y que los datos robados en el ciberataque global fueron "devueltos y destruidos". La compañía realiza hoy miércoles un webinar para detallar lo ocurrido y las medidas de seguridad implementadas.
La actualización es relevante para familias de AISD, cuyo sistema de aprendizaje en línea BLEND opera sobre la plataforma Canvas. Aunque Canvas está oficialmente de vuelta en línea, algunos usuarios reportaban problemas técnicos hasta ayer martes.
El hackeo más grande en la historia de la educación digital
El ataque, considerado la mayor brecha de seguridad educativa registrada, afectó a unas 8.800 instituciones en todo el mundo, incluyendo universidades y escuelas K-12. ShinyHunters afirmó haber robado 3,65 terabytes de datos de aproximadamente 275 millones de usuarios, incluyendo nombres, correos electrónicos, números de identificación estudiantil y mensajes privados entre estudiantes y profesores.
El incidente comenzó el 29 de abril cuando Instructure detectó actividad no autorizada. El 7 de mayo, los hackers volvieron a atacar y reemplazaron la página de inicio de Canvas con un mensaje de rescate que daba plazo hasta el 12 de mayo (ayer martes) para que las escuelas "negociaran un acuerdo".
El acuerdo y lo que falta por saber
En su comunicado del 11 de mayo, Instructure pidió disculpas por la falta de transparencia durante la crisis. La empresa confirmó que trabaja con CrowdStrike para investigar la brecha y reforzar la seguridad del sistema. El FBI también movilizó recursos en varios estados para asistir a las víctimas del hackeo.
Sin embargo, expertos en ciberseguridad advirtieron contra negociar con hackers, señalando que no hay garantía de que los datos hayan sido realmente destruidos. El caso de PowerSchool en 2025, donde una empresa educativa pagó un rescate y meses después los datos volvieron a circular, es un precedente preocupante.
"Muchos de ustedes enfrentaron una disrupción real. Estrés en sus equipos. Momentos perdidos en el aula. Preguntas que no pudieron ser respondidas. Merecían una comunicación más consistente de nuestra parte, y no la entregamos".
Instructure, en comunicado publicado el 11 de mayo en su página de actualización del incidente
Qué deben hacer las familias de AISD
AISD comunicó previamente que BLEND funciona sobre Canvas y que el distrito estaba monitoreando la situación. Con Canvas oficialmente de vuelta en línea, las clases y tareas deberían funcionar con normalidad, pero algunas herramientas dentro de la plataforma podrían seguir con interrupciones menores.
Las familias deben estar atentas a correos electrónicos sospechosos que mencionen el hackeo, ya que los datos expuestos podrían ser utilizados para intentos de phishing (correos fraudulentos). No hacer clic en enlaces de mensajes no solicitados y reportar cualquier comunicación inusual al distrito escolar.
La información expuesta incluye nombres, correos electrónicos, números de identificación estudiantil y contenido de mensajes dentro de Canvas. Instructure asegura que no se comprometieron contraseñas, fechas de nacimiento, identificaciones gubernamentales ni información financiera.
El webinar de Instructure está programado para hoy miércoles en varios horarios. Más información en instructure.com/incident_update.
