Ciberataque provoca cierre de Canvas; Ticketmaster y Microsoft ya han sido víctimas

Por: Hannah Ziegler

Canvas, una plataforma utilizada por más de 8000 universidades y centros de enseñanza primaria y secundaria para sitios web de cursos, tareas y comunicación, dejó de funcionar el jueves durante varias horas. Un grupo de piratas cibernéticos llamados ShinyHunters se atribuyó la responsabilidad de una vulneración de datos que afectó a la empresa propietaria de la plataforma y puso en peligro los datos personales de millones de estudiantes y profesores.

Instructure, que provee Canvas a aproximadamente la mitad de las universidades de Norteamérica, dijo la noche del jueves en una alerta publicada en su sitio web que el software estaba disponible para la mayoría de los usuarios. Pero la empresa añadió que dos servicios independientes, Canvas Beta y Canvas Test, seguían en modo de mantenimiento.

Varias universidades importantes, como la Universidad de Míchigan y Harvard, alertaron a los estudiantes previamente el jueves que Canvas no estaba disponible. En todo el país, los estudiantes se han estado preparando para los exámenes finales, o ya los están realizando.

Instructure, que no respondió inmediatamente a una solicitud de comentarios, dijo anteriormente que estaba investigando por qué el software no estaba disponible.

ShinyHunters, el grupo de hackers que dijo ser responsable de la vulneración de los datos de Instructure, dijo que había accedido a los datos de más de 275 millones de personas de casi 9000 centros educativos, según una carta de secuestro compartida el 3 de mayo por Ransomware.live, que rastrea a los grupos de secuestro de datos.

Un correo electrónico compartido con estudiantes del Barnard College de Nueva York decía que la interrupción había parecido ser “el resultado de un ciberataque anterior contra Instructure”.

Instructure reveló el 1 de mayo que había sufrido un “incidente de ciberseguridad perpetrado por un actor criminal amenazador”. Steve Proud, director de seguridad de información de Instructure, dijo que la empresa había recurrido a expertos forenses para minimizar el impacto de la vulneración.

En una actualización compartida al día siguiente, Proud dijo que la información vulnerada incluía datos de identificación personal como nombres, direcciones de correo electrónico, números de identificación de estudiantes y mensajes de Canvas.

La empresa no encontró pruebas de que se hubieran violado contraseñas, fechas de nacimiento, identificadores gubernamentales o información financiera, dijo. La vulneración estaba “contenida” desde el 2 de mayo, añadió Proud.

“Canvas está plenamente operativo y no observamos ninguna actividad no autorizada en curso”, dijo la empresa en su sitio web el miércoles.

ShinyHunters, que se cree que se formó alrededor de 2020, se atribuyó la responsabilidad de la vulneración el jueves en un mensaje que apareció en las páginas de Canvas de los estudiantes y que fue obtenido por The New York Times.

El grupo dijo que había accedido a Instructure “de nuevo” después de que la empresa no se pusiera en contacto con él para resolver su problema de seguridad. En su lugar, el grupo afirmó que Instructure “nos ignoró e hizo algunos ‘parches de seguridad’”.

ShinyHunters dijo en su mensaje que filtraría una cantidad indeterminada de datos el 12 de mayo si no recibía noticias de Instructure. En su nota de secuestro del 3 de mayo, el grupo amenazaba con filtrar “varios miles de millones de mensajes privados entre alumnos y profesores”.

El grupo también animaba a las escuelas afectadas, entre las que se encuentran la Universidad de Duke y la Universidad de Maryland, a consultar con expertos en ciberseguridad y a ponerse en contacto “para negociar un acuerdo”.

Algunos estudiantes vieron más tarde que el mensaje de ShinyHunters cambiaba a una alerta que decía que Canvas estaba “actualmente en mantenimiento programado”. La interrupción parecía estar activa a las 8 p. m.

No se sabe mucho sobre ShinyHunters, pero su objetivo parece ser obtener registros personales y venderlos. El grupo de piratas informáticos ya ha atacado a Ticketmaster, Microsoft, AT&T y a decenas de empresas en Estados Unidos y otros países.

Recientemente, el grupo también ha apuntado a empresas de educación, como Infinite Campus, un sistema de información para estudiantes de primaria y secundaria, y McGraw Hill, una importante editorial de libros de texto.

c. 2026 The New York Times Company