A principios de este mes, ShinyHunters violó la plataforma Canvas de Instructure dos veces en una sola semana – robando 3,65 terabytes de datos de aproximadamente 275 millones de usuarios en más de 8.000 instituciones. El grupo desfiguró páginas de inicio de sesión en cientos de escuelas durante los períodos de exámenes finales, obligó a Canvas a desconectarse y obtuvo el pago de un rescate antes de que el Congreso abriera una investigación formal. El ataque no requirió malware exótico ni exploits de día cero. Los atacantes ingresaron a través de cuentas comprometidas «Free-For-Teacher», escalaron rápidamente y exfiltraron datos confidenciales a escala antes de que Instructure pudiera contenerlos.

Esa secuencia (entrada a través de controles de identidad débiles, movimiento lateral rápido, exfiltración masiva, extorsión, disrupción) es ahora el manual estándar. Volverá a suceder, a menos que la prioridad para los líderes de seguridad y tecnología sea reducir el radio de explosión de cada intrusión antes de que suceda.

El problema de cómo piensan las empresas sobre el riesgo de SaaS

Las organizaciones modernas han consolidado operaciones críticas dentro de plataformas SaaS compartidas, creando enormes concentraciones de riesgo en puntos únicos de falla. Cuando Canvas dejó de funcionar, miles de estudiantes no pudieron acceder a los trabajos del curso, los profesores perdieron el contacto con sus clases y los administradores se apresuraron a posponer los exámenes. La magnitud de la disrupción provino de cuán profundamente dependían las instituciones de Canvas, no solo de la vulnerabilidad.

Esa asimetría es la característica definitoria del riesgo de SaaS en 2026. Una sola cuenta comprometida en una plataforma compartida puede desencadenar fallas operativas en todo el sector. Sin embargo, la mayoría de los marcos de seguridad empresarial todavía tratan las plataformas SaaS principalmente como problemas de disponibilidad, medidos por el tiempo de actividad, los objetivos de tiempo de recuperación y los planes de continuidad del negocio. Canvas expuso la brecha en ese pensamiento. La disponibilidad no significa nada cuando la plataforma está operativa pero los datos que contiene ya han sido robados.

La resiliencia en entornos SaaS requiere una premisa más dura y honesta: tratar el compromiso como algo continuo y esperado. Los atacantes llegarán a los sistemas críticos. La verdadera prueba es cuánto pueden soportar, qué tan lejos pueden moverse y cuánto tiempo pueden persistir antes de ser detectados y contenidos.

La identidad es el perímetro ahora

El ataque a Canvas siguió un patrón que se ha repetido en todos los sectores durante años. Al comprometer cuentas legítimas con privilegios excesivos, los atacantes se movieron lateralmente a través de la infraestructura de Canvas, mantuvieron la persistencia y exfiltraron datos a una escala que tomó días cuantificar.

Demasiadas organizaciones todavía operan con controles de identidad fragmentados, administración de privilegios inconsistente y visibilidad limitada de cómo interactúan las cuentas en las integraciones de SaaS. Cuando los atacantes comprometen una cuenta legítima, heredan cualquier acceso que tenga esa cuenta y, en la mayoría de los entornos, ese acceso excede con creces lo que el usuario realmente necesita. El resultado es que la identidad se ha convertido en la superficie de ataque más confiable en la empresa moderna y la mayoría de las organizaciones todavía la tratan como una preocupación secundaria.

Las contraseñas seguras y la autenticación multifactor son necesarias, pero ya no son suficientes. Las empresas necesitan una verificación de identidad continua, privilegios de alcance estricto, una gobernanza agresiva sobre las integraciones de terceros y visibilidad en tiempo real de los patrones de acceso anómalos en los sistemas SaaS. El gobierno de la identidad no puede ser una casilla de verificación de cumplimiento. En entornos nativos de la nube, debería ser el control principal el que determine qué tan lejos puede viajar un atacante si logra ingresar.

La protección de datos no puede detenerse en la capa de aplicación

Incluso las organizaciones con fuertes controles de identidad enfrentan un segundo problema subestimado: los datos almacenados dentro de las plataformas SaaS a menudo están mucho menos protegidos que las credenciales utilizadas para acceder a ellos.

Las empresas acumulan vastos depósitos de información confidencial dentro de entornos SaaS (mensajes privados, solicitudes de adaptación, registros financieros, divulgaciones personales) mientras dependen casi por completo de los controles de acceso a nivel de aplicación para protegerla. Cuando esos controles fallan, como sucedió en Canvas, los datos se pueden leer, buscar y monetizar de inmediato.

Los atacantes no necesitan descifrar nada. Simplemente lo aceptan.

Las protecciones criptográficas, incluidas las estrategias de cifrado que preservan el control organizacional sobre los datos confidenciales incluso después de que abandonan la plataforma, reducen directamente el valor de una exfiltración exitosa. Los datos robados que no se pueden leer ni utilizar son mucho menos valiosos como instrumento de extorsión. Esa distinción es muy importante en el entorno de amenazas actual, donde la ventaja que los atacantes extraen de los datos robados a menudo dura más que la propia infracción.

La amenaza no caduca cuando finaliza el incidente.

El “acuerdo” entre la empresa matriz de Canvas y los atacantes ilustra un riesgo que la mayoría de las organizaciones aún no han valorado por completo. Si bien Instructure recibió la confirmación digital de que los datos robados fueron destruidos, el Congreso abrió una investigación de todos modos. El director ejecutivo de Instructure ha sido llamado a testificar ante el Comité de Seguridad Nacional de la Cámara de Representantes. Las instituciones afectadas, muchas de las cuales no tenían visibilidad de la postura de seguridad de Instructure ni de las capacidades de respuesta a incidentes, siguen siendo responsables de proteger los datos de los estudiantes que ya no pueden controlar.

Esa brecha de rendición de cuentas no se cerrará una vez que el Congreso concluya su investigación. Los datos confidenciales robados durante incidentes como Canvas conservan su valor mucho después de la infracción. Hoy en día, los adversarios recopilan cada vez más datos cifrados con la expectativa de que puedan descifrarse más adelante a medida que los estándares criptográficos envejezcan o las capacidades de la computación cuántica maduren. Este enfoque de “cosechar ahora, descifrar después” significa que el cifrado que protege los datos sólo en el presente todavía deja a las organizaciones expuestas en el futuro.

Por lo tanto, una fuerte protección criptográfica debe ir acompañada de criptoagilidad y preparación poscuántica. Los líderes de seguridad deben asumir que cualquier información confidencial extraída durante una violación de SaaS puede seguir siendo un objetivo durante años, no días. Si los datos robados siguen siendo utilizables inmediatamente, los atacantes conservan su influencia indefinidamente. Si no es así, la economía de la extorsión cambiará.

Lo que realmente exige la infracción de Canvas

La lección de Canvas no es que las plataformas SaaS sean inherentemente inseguras. Siguen siendo fundamentales para el funcionamiento y escalamiento de las organizaciones modernas. La lección es que los supuestos subyacentes a la mayoría de las estrategias de seguridad empresarial (que la prevención es el objetivo principal, que los controles de acceso son una protección suficiente de los datos, que la recuperación significa restaurar el tiempo de actividad) ya no coinciden con las realidades del entorno de amenazas actual.

Los atacantes ya lo han interiorizado. Se dirigen a las plataformas SaaS precisamente porque la concentración de datos y la dependencia operativa las convierte en objetivos de valor extraordinariamente alto. Explotan las debilidades de identidad porque esas debilidades son generalizadas y confiables. Aplican presión de extorsión porque los datos robados conservan su influencia mucho después de la remediación técnica.

Las organizaciones que cierren esta brecha (tratando la gobernanza de la identidad como una infraestructura de misión crítica, implementando protecciones criptográficas que sobrevivan la exfiltración, desarrollando una disciplina de recuperación junto con la prevención y planificando la exposición poscuántica) estarán significativamente mejor posicionadas cuando llegue la próxima infracción. Y llegará. La única variable es cuánto cuesta.

Rishi Kaushal es el CIO de Entrust, una empresa que ayuda a las organizaciones a combatir el fraude y las amenazas cibernéticas con seguridad centrada en la identidad.

La presión sobre Instructure, la compañía detrás de Canvas, está aumentando, ya que los ciberdelincuentes amenazan con filtrar una gran cantidad de datos confidenciales que, según afirman, fueron robados durante un ciberataque prolongado a la plataforma de tecnología educativa ampliamente utilizada.

Las interrupciones generalizadas dejaron a las escuelas, estudiantes y maestros temporalmente sin poder acceder a datos críticos a fines de la semana pasada después de que la compañía desconectara Canvas luego de una actividad maliciosa adicional, incluida una desfiguración de la página de inicio de sesión de la plataforma. El viernes, la compañía dijo que Canvas, un centro central para cursos, exámenes, calificaciones y comunicación desde K-12 y universitarios, estaba nuevamente en línea y en pleno funcionamiento.

ShinyHunters, un grupo descentralizado de prolíficos ciberdelincuentes afiliados a The Com, se atribuyó la responsabilidad del ataque a su sitio de filtración de datos y está intentando extorsionar a la empresa por un monto de rescate desconocido. Instructure no ha confirmado la existencia de una demanda de rescate y se negó a responder preguntas sobre su respuesta.

El grupo de amenazas inicialmente fijó como fecha límite el 6 de mayo, cuatro días después de que Instructure dijera anteriormente que el incidente fue contenido poco después de revelar el ataque, afirmando que robó 3,65 terabytes de datos que abarcaban 275 millones de registros en 8.809 sistemas escolares.

Cuando esa fecha límite pasó sin pago, ShinyHunters aumentó su presión sobre la compañía al «inyectar un mensaje de extorsión directamente en las páginas de inicio de sesión de Canvas de aproximadamente 330 instituciones, y pasó a la extorsión escuela por escuela con una fecha límite actual del 12 de mayo», dijo a CyberScoop Cynthia Kaiser, vicepresidenta senior del Centro de Investigación de Ransomware de Halcyon.

«El alcance hace que ésta sea una de las mayores exposiciones del sector educativo que hemos rastreado», añadió.

La presión pública adicional llevó a Infrastructure a desconectar Canvas, lo que interrumpió el trabajo escolar y el acceso a sistemas críticos en todo el país.

Inestructura El director ejecutivo Steve Daly se disculpó durante el fin de semana por la comunicación inconsistente de la compañía y la respuesta pública deficiente al ciberataque.

«En los últimos días, muchos de ustedes enfrentaron verdaderas interrupciones. Estrés en sus equipos. Momentos perdidos en el aula. Preguntas que no pudieron obtener respuesta. Merecían una comunicación más consistente de nuestra parte y no la entregamos. Lo siento por eso», dijo en un comunicado.

Daly reconoció que el ataque, que sigue bajo investigación con la ayuda de CrowdStrike, expuso nombres de usuario, direcciones de correo electrónico, nombres de cursos, información de inscripción y mensajes. Insistió en que el contenido del curso, las presentaciones y las credenciales no se vieron comprometidos.

La interrupción temporal pero generalizada causada ha generado una gran preocupación en todo el sector educativo a medida que los expertos en ransomware y los cazadores de amenazas continúan siguiendo los avances. El ciberataque también llamó la atención de los legisladores en el Capitolio.

El Comité de Seguridad Nacional de la Cámara de Representantes el lunes publicó una carta a Daly en busca de una reunión informativa con él o un líder senior de Instructure antes del 21 de mayo.

«La recurrencia de una intrusión a los pocos días de la divulgación inicial de una infracción, y el aparente fracaso de Instructure para remediar completamente las vulnerabilidades subyacentes durante ese período, plantean serias dudas sobre las capacidades de respuesta a incidentes de la compañía y sus obligaciones para con las instituciones e individuos cuyos datos posee», escribió el presidente de Seguridad Nacional de la Cámara, Andrew Garbarino, RN.Y., en la carta a Daly.

El comité quiere aprender más sobre las «circunstancias de ambas intrusiones, la naturaleza y el volumen de los datos a los que se accede, las medidas que Instructure ha tomado y está tomando para contener la amenaza y notificar a las instituciones afectadas, y la idoneidad de la coordinación de la compañía con las autoridades federales y la Agencia de Seguridad de Infraestructura y Ciberseguridad», añadió.

CISA no describió el alcance de su participación en la respuesta de Instructure. «CISA es consciente de un posible incidente cibernético que afecta a Canvas. Como agencia de defensa cibernética del país, brindamos apoyo voluntario y servicios de ciberseguridad a las organizaciones para responder y recuperarse de incidentes», dijo Chris Butera, subdirector ejecutivo interino de ciberseguridad de la agencia, en un comunicado.

La cronología del ataque de Instructure ha cambiado y sigue incompleta. La compañía dijo que detectó por primera vez actividad no autorizada en Canvas el 29 de abril e inmediatamente revocó el acceso del atacante e inició una respuesta al incidente. Los investigadores que no participaron directamente en la investigación formal dijeron que ShinyHunters obtuvo acceso a Canvas al menos unos días antes.

La siguiente actividad maliciosa el 7 de mayo (la desfiguración de páginas de inicio de sesión públicas) estuvo relacionada con el mismo incidente, dijo la compañía.

«Desde entonces, hemos confirmado que el actor no autorizado llevó a cabo esta actividad explotando un problema relacionado con nuestras cuentas de Free-For-Teacher. Este es el mismo problema que provocó el acceso no autorizado la semana anterior. Como resultado, hemos tomado la difícil decisión de cerrar temporalmente las cuentas de Free-For-Teacher», dijo la compañía en una publicación actualizada sobre el incidente.

Instructure no respondió preguntas sobre la vulnerabilidad ni explicó cómo los atacantes invadieron sus sistemas. La compañía dijo que también revocó credenciales privilegiadas y tokens de acceso para los sistemas afectados, rotó claves internas, restringió las vías de creación de tokens e implementó controles y monitoreo de seguridad adicionales.

Canvas está completamente operativo y es seguro de usar, dijo la compañía, y agregó que CrowdStrike revisó indicadores conocidos de compromiso y «no encontró evidencia de que el actor de amenazas tenga actualmente acceso a la plataforma».

El acceso sigue siendo irregular y no está disponible para algunos usuarios de Canvas, ya que los distritos escolares restauran la plataforma en fases después de realizar sus propias comprobaciones internas.

Halcyon publicó un alerta sobre el ataque viernes, incluida una captura de pantalla del mensaje que encontraron algunos miembros del personal de la escuela, tutores y estudiantes antes de que Instructure desconectara el sistema de gestión del aprendizaje.

ShinyHunters amenazó a Instructure y a todas las escuelas afectadas para que se comunicaran con el grupo de amenazas y llegaran a una resolución al final del día del martes. El grupo de cibercrimen, que tiene un “patrón conocido de eliminar las entradas de las víctimas una vez que han comenzado las comunicaciones y negociaciones”, eliminó Instructure de su sitio de filtración de datos después de que desfigurara las páginas de inicio de sesión de Canvas, dijo Halcyon.

ShinyHunters es un notorio grupo de extorsión por robo de datos que anteriormente afectó a las principales plataformas en la nube, incluidas Salesforce y Snowflake, mediante phishing de voz, robo de credenciales y ataques a la cadena de suministro.

«Históricamente, sus afirmaciones de compromiso suelen mantenerse, pero a menudo exageran el impacto, la escala y el tipo de datos robados», dijo Kaiser.

La educación es un objetivo recurrente y constante para los ciberdelincuentes. Los investigadores de Halcyon rastrearon más de 250 ataques de ransomware en instituciones educativas en todo el mundo el año pasado. Sin embargo, el ataque a Canvas se distingue de la mayoría de estos ataques debido a su uso generalizado y su impacto posterior.

«Se trata de datos de estudiantes, padres y personal, incluidos menores, lo que crea un riesgo de suplantación de identidad y phishing posterior que durará más que el incidente inmediato», dijo Kaiser.

«Al comprometer una plataforma compartida utilizada en miles de escuelas, ShinyHunters afectó a todo el sector educativo en un solo movimiento, que es el mismo manual que Clop utilizó contra los clientes de Oracle EBS el otoño pasado», añadió. «Entre los incidentes de 2026 contra infraestructuras críticas, este se encuentra en el nivel más alto o cerca de su impacto en el sector educativo, y destaca una tendencia de que los proveedores de software de terceros ahora formen parte de una superficie de ataque y causen efectos en cascada en todo un sector».

Los profesionales de la ciberseguridad centrados en el ransomware y la extorsión por robo de datos alientan constantemente a las víctimas a no pagar rescates, pero a menudo también reconocen que las empresas tienen que tomar decisiones difíciles basadas en sus propios intereses y la seguridad de sus clientes o usuarios atrapados en las consecuencias.

Allison Nixon, directora de investigación de la Unidad 221B, dijo que no se debe confiar en el grupo de amenazas que se atribuye la responsabilidad del ataque.

«Afirman que eliminarán los datos después de que les paguen, y si no les pagan, los filtrarán», dijo a CyberScoop. «Esto está en línea con las estafas de extorsión de datos pasadas realizadas por los mismos actores de Com y otros relacionados, que han hecho declaraciones falsas a las víctimas y al público en el pasado».

Instructure no ha indicado qué planea hacer como parte de cualquier esfuerzo para evitar la filtración de datos robados.

Daly, un veterano ejecutivo de seguridad que anteriormente fue director ejecutivo de Ivanti, terminó su mea culpa con la promesa de mejorar las comunicaciones y proporcionar pronto un resumen de un informe forense.

«La semana pasada, hicimos un llamado para conocer los hechos correctamente antes de hablar públicamente. Ese instinto no está mal, pero nos equivocamos en el equilibrio. Nos concentramos en la investigación de hechos y guardamos silencio cuando se necesitaban actualizaciones consistentes. Ustedes han sido claros al respecto, y es una retroalimentación justa. Cambiaremos eso en el futuro», dijo.

«Reconstruir la confianza lleva tiempo», añadió Daly. «Vamos a recuperarlo mediante una acción constante y una comunicación honesta».

ShinyHunters, el prolífico grupo criminal de hackers y extorsión, proporcionó el jueves detalles adicionales sobre su reciente violación de Canvas, el sistema de gestión de aprendizaje desarrollado por Instructure, con la esperanza de obtener pagos de algunas de las casi 9.000 instituciones educativas que, según afirma, están afectadas.

Después de anunciar el 1 de mayo que había extraído varios terabytes de datos que contenían información personal de 275 millones de usuarios, anunció como fecha límite el jueves antes de que «todo se filtre y no habrá ninguna posibilidad de negociación para nadie. Instructure ni siquiera se ha molestado en hablar con nosotros para comprender la situación o negociar con nosotros para evitar la divulgación de estos datos. Nuestra demanda no era ni siquiera tan alta como se podría pensar».

El jueves, el grupo presentó a los usuarios de Canvas un segundo mensaje y extendió el plazo de pago hasta el 12 de mayo. «ShinyHunters ha violado Instructure (nuevamente). En lugar de contactarnos para resolverlo, nos ignoraron e hicieron algunos 'parches de seguridad'», se lee en la nota. El grupo aconsejó a las escuelas afectadas que consultaran a profesionales de seguridad y utilizaran el protocolo de mensajería Tox para negociar un “acuerdo”.

La lista adjunta de instituciones afectadas incluye muchos distritos escolares, junto con universidades de renombre, incluidas Cambridge, Columbia, Cornell, Georgetown, Harvard, MIT y UC Berkeley.

Hay informes contradictorios sobre exactamente qué organizaciones se ven afectadas y qué tipo de datos se incluyen en la infracción. Radar tecnológico informó que los datos afectados incluyen nombres, direcciones de correo electrónico, números de identificación de estudiantes y comunicaciones de usuarios, pero que las contraseñas, fechas de nacimiento e información financiera no estaban involucradas.