La empresa de tecnología educativa Instructure ha confirmado una brecha de datos que afecta a sus sistemas, después de que el grupo de cibercrimen ShinyHunters asumiera la responsabilidad y amenazara con filtrar datos robados.
La empresa, conocida principalmente por su sistema de gestión de aprendizaje Canvas utilizado por escuelas y universidades de todo el mundo, reveló que los atacantes obtuvieron acceso no autorizado a sistemas internos y exfiltraron datos de usuarios.
Según Instructure, la información comprometida incluye nombres, direcciones de correo electrónico y números de identificación de estudiantes, junto con contenido generado por los usuarios, como mensajes intercambiados dentro de la plataforma. La empresa afirmó que no ha encontrado pruebas de que se hayan expuesto contraseñas, datos financieros o identificadores emitidos por el gobierno.
La brecha provocó interrupciones en el servicio, lo que llevó a Instructure a revocar los tokens de acceso, desactivar los sistemas afectados y desplegar controles adicionales de monitorización y seguridad durante la investigación del incidente.
El grupo ShinyHunters ha afirmado un impacto significativamente mayor del que se ha confirmado públicamente. Según los atacantes, es posible que se accediera a datos de hasta 275 millones de personas y casi 9.000 instituciones educativas, incluidas comunicaciones privadas entre estudiantes y educadores. Estas cifras no han sido verificadas de forma independiente.
El incidente parece formar parte de una campaña más amplia dirigida a plataformas basadas en la nube y SaaS. Los analistas de seguridad señalan que los ataques atribuidos a ShinyHunters a menudo dependen del robo de credenciales, la ingeniería social o el secuestro de tokens para acceder a sistemas empresariales en lugar de explotar directamente vulnerabilidades de software.
No es la primera vez que Instructure se enfrenta a un incidente de seguridad. La empresa ya había revelado previamente una brecha vinculada a ataques de ingeniería social en 2025, también asociada al mismo grupo de amenaza, destacando los riesgos continuos para las plataformas que manejan grandes volúmenes de datos educativos.
Los expertos advierten que incluso conjuntos de datos limitados, como nombres, correos electrónicos y comunicaciones internas, pueden aprovecharse para campañas de phishing, suplantación y ingeniería social dirigida. La inclusión de contenido de mensajes aumenta aún más la exposición potencial al proporcionar contexto que los atacantes pueden explotar.
La investigación sigue en curso, con Instructure evaluando el alcance de la brecha y monitorizando cualquier signo de uso indebido o publicación de datos.