ShinyHunters Vulnera Canvas LMS: 275 Millones de Estudiantes Expuestos en 8.800 Universidades

ShinyHunters ha vulnerado Canvas LMS de Instructure —la plataforma utilizada por 8.809 universidades, colegios y ministerios de educación en todo el mundo— robando 3,65 TB de datos que afectan a 275 millones de usuarios. El dataset exfiltrado incluye nombres, correos electrónicos institucionales, números de identificación estudiantil, registros de cursos y mensajes privados entre estudiantes e instructores. Esta es ahora la mayor vulneración confirmada de una plataforma educativa en la historia por número de registros.

El vector de ataque fue engañosamente simple. Los atacantes explotaron el proceso de creación de cuentas gratuitas para docentes de Instructure para obtener acceso autenticado, y desde ahí escalaron privilegios hasta los almacenes de datos de producción. Canvas opera como sistema de gestión de aprendizaje en instituciones como Cornell, Yale, la Universidad de Colorado y cientos de distritos de educación primaria y secundaria a nivel mundial. Para muchos de esos 275 millones de usuarios, su historial académico completo —calificaciones, entregas, comunicaciones con instructores— quedó expuesto.

Lo que fue robado: nombres, correos electrónicos institucionales, IDs estudiantiles, datos de matrícula, contenido de cursos y entregas, mensajes directos. Para las instituciones que integraron Canvas con SSO, los datos de tokens de sesión también podrían estar comprometidos.

La Segunda Brecha Cambia el Análisis

El 6 de mayo, Instructure creyó haber contenido el incidente. Al día siguiente, ShinyHunters regresó con una segunda intrusión y fijó un nuevo plazo de rescate para el 12 de mayo. Instructure terminó pagando. La empresa no ha revelado el monto del rescate.

Una vulneración es un incidente. Ser comprometido dos veces en 24 horas por el mismo actor amenaza señala que la remediación inicial de Instructure fue superficial —credenciales rotadas sin comprender el alcance total del acceso que el atacante había mantenido. La segunda intrusión fue posible porque la primera respuesta nunca eliminó el punto de apoyo del atacante.

ShinyHunters es el mismo grupo responsable de la ola de vulneraciones de Snowflake en 2024 (Ticketmaster, AT&T, Advance Auto Parts) y la brecha de Coinbase en 2025. Su metodología —explotar un punto de entrada con privilegios bajos, moverse lateralmente, establecer persistencia, exigir rescate antes de publicar— es consistente aquí.

Qué Deben Hacer las Instituciones Ahora

• Auditar todas las integraciones API de Canvas en busca de patrones de acceso anómalos desde finales de abril
• Forzar el restablecimiento de contraseñas e invalidación de sesiones para todas las cuentas afectadas
• Revisar tokens SSO y concesiones OAuth que pasen por Canvas
• Informar a estudiantes y profesores que los mensajes privados deben considerarse comprometidos
• Para instituciones con usuarios en la UE: el RGPD exige notificar a las autoridades supervisoras en 72 horas desde el descubrimiento. La fecha del 6 de mayo ya situó a la mayoría de instituciones fuera de ese plazo antes de que se confirmara la segunda brecha

El resultado de la doble vulneración plantea una pregunta estructural más difícil: la respuesta de Instructure a la primera intrusión le dio a ShinyHunters una segunda ventana limpia. Los equipos de seguridad deben presionar a cada gran proveedor SaaS para que aporte evidencia de un reimagen completo del entorno —no solo rotación de credenciales— tras cualquier brecha confirmada.

Para las instituciones que gestionan simultáneamente obligaciones bajo FERPA y el RGPD, esto supone una pesadilla de notificación y responsabilidad legal. FERPA exige notificación en un “plazo razonable”. La acumulación de dos fechas de brecha en 24 horas hace ese argumento de plazo razonable significativamente más difícil de sostener.