NARCO OBSERVATORIO
🛡 VULNERABILIDADES 🛡

La filtración de Canvas interrumpe escuelas y universidades a nivel nacional.

🛡CyberObservatorio
La filtración de Canvas interrumpe escuelas y universidades a nivel nacional.
Idioma
◢ VULNERABILIDADES ◣

La filtración de Canvas interrumpe escuelas y universidades a nivel nacional.

⟫ 08/05/2026 ⟫ BrianKrebs
Fuente: Krebs on Security
La filtración de Canvas interrumpe escuelas y universidades a nivel nacional.

Un ataque en curso de extorsión de datos está afectando a la plataforma de tecnología educativa Canvas, la cual es ampliamente utilizada en escuelas y universidades de Estados Unidos, interrumpiendo clases y actividades académicas. Este ataque ha sido llevado a cabo por un grupo de ciberdelincuencia que ha desfigurado la página de inicio de sesión del servicio con un mensaje de rescate, amenazando con filtrar datos de aproximadamente 275 millones de estudiantes y personal docente de cerca de 9,000 instituciones educativas.

Una captura de pantalla compartida por un lector muestra el mensaje de extorsión que apareció en la página de inicio de sesión de Canvas hoy. La empresa matriz de Canvas, Instructure, reaccionó ante estos ataques desfigurando la plataforma, que es utilizada por miles de escuelas, universidades y empresas para gestionar tareas y comunicarse con los estudiantes.

Instructure había reconocido previamente una violación de datos a principios de esta semana, cuando el grupo de ciberdelincuencia conocido como ShinyHunters asumió la responsabilidad, afirmando que filtrarían información sobre decenas de millones de estudiantes y personal docente a menos que se pagara un rescate. La fecha límite para el pago se estableció inicialmente para el 6 de mayo, pero posteriormente fue postergada hasta el 12 de mayo.

En un comunicado emitido el 6 de mayo, Instructure indicó que la investigación hasta ese momento mostraba que la información robada incluía “cierta información identificativa de los usuarios de las instituciones afectadas, como nombres, direcciones de correo electrónico y números de identificación estudiantil, así como mensajes entre los usuarios”. La empresa también afirmó que no había encontrado evidencia de que los datos comprometidos incluyeran información más sensible, como contraseñas, fechas de nacimiento, identificadores gubernamentales o información financiera.

A pesar de que el 6 de mayo se comunicó que Canvas estaba completamente operativo y que Instructure no observaba actividad no autorizada en su plataforma, la situación cambió drásticamente. A media jornada del 7 de mayo, tanto estudiantes como docentes de numerosas instituciones comenzaron a inundar las redes sociales con comentarios que indicaban que la página de inicio de sesión de Canvas había sido reemplazada por el mensaje de rescate de ShinyHunters. Como respuesta, Instructure decidió retirar Canvas de línea y sustituir el portal por un mensaje que indicaba: “Canvas está actualmente en mantenimiento programado. Vuelva a consultar pronto”.

El mensaje que recibieron innumerables usuarios de Canvas hoy aconsejaba a las instituciones afectadas negociar sus propios pagos de rescate para evitar la publicación de sus datos, independientemente de si Instructure decidía pagar o no. "ShinyHunters ha vulnerado Instructure (de nuevo)", decía el mensaje de extorsión. "En lugar de contactarnos para resolverlo, nos ignoraron y hicieron unos 'parches de seguridad'".

Una fuente cercana a la investigación, que no estaba autorizada a hablar con la prensa, reveló a KrebsOnSecurity que varias universidades ya habían contactado al grupo de ciberdelincuencia para discutir el pago del rescate. Esta misma fuente también señaló que el blog de filtraciones de ShinyHunters ya no incluía a Instructure entre sus víctimas actuales, y que las muestras de datos robados de los clientes de Canvas habían sido eliminadas. Es habitual que grupos de extorsión de datos, como ShinyHunters, solo eliminen a las víctimas de sus sitios de filtraciones tras recibir un pago de extorsión o después de que una víctima acepte negociar.

Dipan Mann, fundador y director ejecutivo de la firma de seguridad Cloudskope, criticó a Instructure por referirse a la interrupción de hoy como un evento de "mantenimiento programado" en su página de estado. Mann sostuvo que ShinyHunters demostró por primera vez que había vulnerado Instructure el 1 de mayo, lo que llevó al Director de Seguridad de la Información de la compañía, Steve Proud, a declarar al día siguiente que el incidente había sido contenido. Sin embargo, Mann afirmó que el ataque de hoy es al menos el tercero en los últimos ocho meses en el que ShinyHunters ha logrado vulnerar la seguridad de Instructure.

En una entrada de blog publicada hoy, Mann recordó que en septiembre de 2025, ShinyHunters filtró miles de archivos internos de la Universidad de Pensilvania —registros de donantes, memorandos internos y otros materiales confidenciales— a través de lo que el Daily Pennsylvanian y otros medios determinaron, en parte, como un acceso mediado por Canvas/Instructure. "Pensilvania fue la víctima nombrada", escribió Mann. "Instructure fue el mecanismo. El incidente fue tratado como un caso específico de Pensilvania por la mayoría de la prensa nacional y manejado de manera discreta por Instructure como un asunto específico de un cliente. Esa interpretación fue errónea entonces. Es dramáticamente más errónea a la luz de los eventos de mayo de 2026, que ahora parecen la escalada planificada de un patrón de ataque que ShinyHunters ha estado trabajando contra el entorno de Instructure durante al menos ocho meses. La violación de Pensilvania en septiembre de 2025 fue la prueba de concepto. El incidente del 1 de mayo de 2026 fue la ejecución. La recompromiso del 7 de mayo de 2026 fue ShinyHunters demostrando públicamente que el 'contenimiento' del 2 de mayo no se llevó a cabo".

En febrero, un portavoz de ShinyHunters declaró al Daily Pennsylvanian que la Universidad de Pensilvania no logró pagar un rescate de 1 millón de dólares. El 5 de marzo, ShinyHunters publicó 461 megabytes de datos robados de Pensilvania, incluidos miles de archivos como registros de donantes y memorandos internos.

ShinyHunters es un grupo de ciberdelincuencia prolífico y ágil que se especializa en el robo de datos y extorsión. Suelen obtener acceso a las empresas a través de ataques de phishing por voz y técnicas de ingeniería social que a menudo implican hacerse pasar por personal de TI u otros miembros de confianza de la organización objetivo.

El mes pasado, el grupo de cibercriminales conocido como ShinyHunters logró exfiltrar información personal de 5,5 millones de clientes de la gigante de la seguridad doméstica, ADT. Este grupo de extorsión comunicó a BleepingComputer que su acceso a la compañía se facilitó mediante la vulneración de una cuenta de inicio de sesión único de Okta perteneciente a un empleado, a través de un ataque de phishing de voz. Este acceso les permitió infiltrarse en la instancia de Salesforce de ADT. Según informa BleepingComputer, ShinyHunters ha reivindicado recientemente una serie de ataques de extorsión dirigidos a organizaciones de gran renombre, entre las que se incluyen Medtronic, Rockstar Games, McGraw Hill, 7-Eleven y la operadora de cruceros Carnival.

El ataque a los clientes de Canvas es solo uno de los múltiples y significativos esfuerzos delictivos cibernéticos que está llevando a cabo actualmente ShinyHunters. Charles Carmakal, director de tecnología de Mandiant Consulting, una empresa propiedad de Google, subrayó que existen múltiples campañas de intrusión y extorsión de ShinyHunters que se están ejecutando de manera concurrente y discreta en este momento. Aunque Carmakal se abstuvo de comentar específicamente sobre la brecha de Canvas, su declaración pone de manifiesto la creciente preocupación por la actividad de este grupo de hackers.

Por su parte, Mann de Cloudskope indicó que el desenlace de esta situación depende en gran medida de la respuesta de los clientes de Instructure, que comprenden universidades, distritos educativos de K-12 y ministerios de educación que utilizan Canvas. Estos usuarios podrían optar por ejercer presión sobre la empresa o bien optar por absorber la brecha de forma sigilosa. Mann concluyó que “la historia de incidentes con proveedores educativos sugiere que el camino de menor resistencia es el segundo”.

El 8 de mayo, Instructure publicó una página de actualización sobre el incidente, en la que se ofreció información adicional sobre la brecha. La compañía anunció que su portal Canvas ha vuelto a funcionar con normalidad y que los atacantes explotaron un problema relacionado con las cuentas “Free-for-Teacher”. Instructure explicó: “Este es el mismo problema que condujo al acceso no autorizado la semana anterior. Como resultado, hemos tomado la difícil decisión de cerrar temporalmente las cuentas Free-for-Teacher. Estas cuentas han sido una parte fundamental de nuestra plataforma, y estamos comprometidos a resolver los problemas asociados a estas cuentas”.

Instructure notificó a las organizaciones afectadas el 6 de mayo, añadiendo en su actualización que “si su organización se ve afectada, Instructure se pondrá en contacto directamente con los contactos principales de su organización”. Además, se advirtió que “no se debe confiar en listas de terceros o publicaciones en redes sociales que mencionen organizaciones potencialmente afectadas, ya que esas listas no están verificadas. Instructure confirmará la información validada a través de contacto directo con todas las organizaciones afectadas”. Esta situación destaca la importancia de una comunicación efectiva y transparente en la gestión de incidentes de ciberseguridad, así como la necesidad de que las organizaciones afectadas respondan de manera proactiva para salvaguardar la confianza de sus usuarios.

◢ VULNERABILIDADES ◣

Canvas Breach Disrupts Schools & Colleges Nationwide

⟫ 08/05/2026 ⟫ BrianKrebs
Source: Krebs on Security
La filtración de Canvas interrumpe escuelas y universidades a nivel nacional.

An ongoing data extortion attack targeting the widely-used education technology platformCanvasdisrupted classes and coursework at school districts and universities across the United States today, after a cybercrime group defaced the service’s login page with a ransom demand that threatened to leak data from 275 million students and faculty across nearly 9,000 educational institutions. A screenshot shared by a reader showing the extortion message that was shown on the Canvas login page today. Canvas parent firmInstructureresponded to today’s defacement attacks by disabling the platform, which is used by thousands of schools, universities and businesses to manage coursework and assignments, and to communicate with students. Instructure acknowledged a data breach earlier this week, after the cybercrime groupShinyHuntersclaimed responsibility and said they would leak data on tens of millions of students and faculty unless paid a ransom. The stated deadline for payment was initially set at May 6, but it was later pushed back to May 12. Ina statementon May 6, Instructure said the investigation so far shows the stolen information includes “certain identifying information of users at affected institutions, such as names, email addresses, and student ID numbers, as well as as messages among users.” The company said it found no evidence the breached data included more sensitive information, such as passwords, dates of birth, government identifiers or financial information. The May 6 update stated that Canvas was fully operational, and that Instructure was not seeing any ongoing unauthorized activity on their platform. “At this stage, we believe the incident has been contained,” Instructure wrote. However, by mid-day on Thursday, May 7, students and faculty at dozens of schools and universities were flooding social media sites with comments saying that a ransom demand from ShinyHunters had replaced the usual Canvas login page. Instructure responded by pulling Canvas offline and replacing the portal with the message, “Canvas is currently undergoing scheduled maintenance. Check back soon.” “We anticipate being up soon, and will provide updates as soon as possible,” reads the current message on Instructure’sstatus page. While the data stolen by ShinyHunters may or may not contain particularly sensitive information (ShinyHunters claims it includes several billion private messages among students and teachers, as well as names, phone numbers and email addresses), this attack could hardly have come at a worse time for Instructure: Many of the affected schools and universities are in the middle of final exams, and a prolonged outage could be highly damaging for the company. The extortion message that greeted countless Canvas users today advised the affected schools to negotiate their own ransom payments to prevent the publication of their data — regardless of whether Instructure decides to pay. “ShinyHunters has breached Instructure (again),” the extortion message read. “Instead of contacting us to resolve it they ignored us and did some ‘security patches.'” A source close to the investigation who was not authorized to speak to the press told KrebsOnSecurity that a number of universities have already approached the cybercrime group about paying. The same source also pointed out that the ShinyHunters data leak blog no longer lists Instructure among its current extortion victims, and that the samples of data stolen from Canvas customers were removed as well. Data extortion groups like ShinyHunters will typically only remove victims from their leak sites after receiving an extortion payment or after a victim agrees to negotiate. Dipan Mann, founder and CEO of the security firmCloudskope, slammed Instructure for referring to today’s outage as a “scheduled maintenance” event on its status page. Mann said Shiny Hunters first demonstrated they’d breached Instructure on May 1, prompting Instructure’s Chief Information Security OfficerSteve Proudto declare the following day that the incident had been contained. But Mann said today’s attack is at least the third time in the past eight months that Instructure has been breached by ShinyHunters. In a blog post today, Mann noted that in September 2025, ShinyHunters released thousands of internal University of Pennsylvania files — donor records, internal memos, and other confidential materials — through what the Daily Pennsylvanian and other outlets later determined was, in part, a Canvas/Instructure-mediated access path. “Penn was the named victim,” Mannwrote. “Instructure was the mechanism. The incident was treated as a Penn-specific story by most of the national press and quietly handled by Instructure as a customer-specific matter. That framing was wrong then. It is dramatically more wrong in light of the May 2026 events, which now look like the planned escalation of an attack pattern that ShinyHunters had been working against Instructure’s environment for at least eight months prior. The September 2025 Penn breach was the proof of concept. The May 1, 2026 incident was the production run. The May 7, 2026 recompromise was ShinyHunters demonstrating publicly that the May 2 ‘containment’ did not happen.” In February, a ShinyHunters spokesperson toldThe Daily Pennsylvanianthat Pennfailed to pay a $1 million ransom demand. On March 5, ShinyHunters published 461 megabytes worth of data stolen from Penn, including thousands of files such as donor records and internal memos. ShinyHunters is a prolific and fluid cybercriminal group that specializes in data theft and extortion. They typically gain access to companies through voice phishing and social engineering attacks that often involve impersonating IT personnel or other trusted members of a targeted organization. Last month, ShinyHunters relieved the home security giantADTof personal information on 5.5 million customers. The extortion grouptold BleepingComputerthey breached the company by compromising an employee’s Okta single sign-on account in a voice phishing attack that enabled access to ADT’s Salesforce instance. BleepingComputer says ShinyHunters recently has taken credit for a number of extortion attacks against high-profile organizations, including Medtronic, Rockstar Games, McGraw Hill, 7-Eleven and the cruise line operator Carnival. The attack on Canvas customers is just one of several major cybercrime campaigns being launched by ShinyHunters at the moment, saidCharles Carmakal, chief technology officer at the Google-ownedMandiant Consulting. Carmakal declined to comment specifically on the Canvas breach, but said “there are multiple concurrent and discrete ShinyHunters intrusion and extortion campaigns happening right now.” Cloudskope’s Mann said what happens next depends largely on whether Instructure’s customers — the universities, K-12 districts, and education ministries paying for Canvas — choose to apply pressure or absorb the breach quietly. “The history of education-vendor incidents suggests the path of least resistance is the second one,” he concluded. Update, May 8, 11:05 a.m. ET:Instructure has publishedan incident update pagethat includes more information about the breach. Instructure said its Canvas portal is functioning normally again, and that the hackers exploited an issue related to Free-for-Teacher accounts. “This is the same issue that led to the unauthorized access the prior week,” Instructure wrote. “As a result, we have made the difficult decision to temporarily shut down Free-for-Teacher accounts. These accounts have been a core part of our platform, and we’re committed to resolving the issues with these accounts.” Instructure said affected organizations were notified on May 6. “If your organization is affected, Instructure will contact your organization’s primary contacts directly,” the update states. “Please don’t rely on third-party lists or social media posts naming potentially affected organizations as those lists aren’t verified. Instructure will confirm validated information through direct outreach to all affected organizations.”

Compartir

𝐗 Twitterf Facebook WhatsApp Telegram
VOLVER A CIBERSEGURIDAD
La filtración de Canvas interrumpe escuelas y universidades a nivel nacional. | Ciberseguridad - NarcoObservatorio