La filtración de datos de Instructure/Canvas, que ha acaparado la atención de los medios especializados en ciberseguridad en los últimos tiempos, ha entrado en una nueva fase.
A millones de estudiantes les han robado datos personales; el grupo de extorsión ShinyHunters se ha atribuido la responsabilidad de la filtración de datos y ha intensificado la presión para exigir el rescate acosando directamente a los usuarios de Canvas.
Al parecer, ha merecido la pena. En la página web de Instructure sobre la reciente filtración de datos, una actualización de estado con fecha del 11 de mayo de 2026 dice:
«Sabemos que la preocupación por la posible publicación de datos relacionados con este incidente sigue siendo una de las principales inquietudes de muchos clientes. Entendemos lo inquietantes que pueden resultar situaciones como esta, y la protección de nuestra comunidad sigue siendo nuestra máxima prioridad.
«Teniendo en cuenta esa responsabilidad, Instructure llegó a un acuerdo con la persona no autorizada implicada en este incidente».
Esto implica que Instructure ha pagado a ShinyHunters. Es casi seguro que al menos parte de ese dinero se destinará a financiar futuras operaciones de ciberdelincuencia. Si las empresas deberían pagar o no las demandas de ransomware o extorsión sigue siendo un tema controvertido, y no es un debate que quiera reavivar aquí.
Lo que no entiendo es la siguiente frase de la actualización:
«Nos devolvieron los datos».
Aunque quizá la intención sea que suene tranquilizador, en materia de ciberseguridad, los datos no son como un portátil prestado o una carpeta extraviada. Una vez copiados, pueden volver a copiarse una y otra vez.
Esto es importante porque el incidente no se limitó a un acceso temporal. Instructure ha informado de que el acceso no autorizado afectó a nombres de usuario, direcciones de correo electrónico, nombres de cursos, información de matriculación y mensajes.
Los datos no se pueden «devolver» sin más
Por lo tanto, cuando una empresa afirma que los datos fueron «devueltos» y que se facilitaron«registros de destrucción », la verdadera cuestión no es si los atacantes siguen en posesión de los archivos originales, sino si se hicieron copias, si esas copias se compartieron y con quién. En esencia, se trata de saber si realmente se han eliminado los riesgos derivados de la filtración. Aunque este tipo de ciberdelincuentes suelen actuar basándose en la confianza, los datos digitales no cuentan con una función de recuperación garantizada.
La buena noticia es que, según Instructure, no se vieron afectados contraseñas, fechas de nacimiento, identificadores oficiales ni información financiera. Sin embargo, los nombres, las direcciones de correo electrónico, los detalles de los cursos y los mensajes privados siguen siendo suficientes para alimentar ataques de phishing y de ingeniería social muy selectivos, incluso mucho después de que los titulares hayan pasado a un segundo plano.
Para los estudiantes y sus familias, los consejos prácticos de nuestroblogoriginal siguen siendo válidos:
- Restablecer las contraseñas relacionadas con Canvas
- Activa la autenticación multifactorial siempre que sea posible
- Controla la actividad financiera y crediticia a medida que los hijos crecen
- Ten cuidado con los intentos de phishing muy personalizados que hacen referencia a centros educativos, cursos o profesores reales
Probablemente tu nombre, dirección y número de teléfono ya estén a la venta.
Las empresas de venta de datos recopilan y venden tus datos personales a cualquiera que esté dispuesto a pagar por ellos. Malwarebytes Personal Data Remover losPersonal Data Remover y elimina tu información, y luego se encarga de vigilar que todo siga así.
