Instructure confirma una brecha de seguridad; millones de usuarios de Canvas podrían verse afectados

Instructure, la empresa detrás del sistema de gestión educativa Canvas, ha confirmado una brecha de seguridad después de que un conocido grupo de ciberdelincuentes afirmara haber robado datos vinculados a cientos de millones de usuarios.

Puntos clave

• El propietario de Canvas, Instructure, confirmó un incidente de seguridad tras las afirmaciones del grupo ShinyHunters.
• Hasta 275 millones de usuarios podrían verse afectados, con datos expuestos como nombres, correos electrónicos, identificadores y mensajes.
• Se recomienda a los usuarios estar atentos a estafas y mensajes sospechosos, incluso si no han recibido una notificación oficial.

El incidente de seguridad y los datos expuestos

Escuelas, universidades y otras organizaciones utilizan Canvas para gestionar cursos, comunicaciones y registros académicos, lo que lo convierte en un objetivo especialmente atractivo para los atacantes.

La brecha salió a la luz después de que el grupo de extorsión ShinyHunters incluyera a Instructure en su sitio de filtraciones, afirmando haber robado datos de los sistemas de la compañía. Según Bleeping Computer, el incidente podría afectar a hasta 275 millones de personas en casi 9.000 instituciones educativas en todo el mundo. Instructure confirmó el incidente de ciberseguridad el 2 de mayo en su sitio web oficial.

“Estamos proporcionando una actualización sobre el incidente de seguridad del que les informamos ayer. Mientras nuestra investigación continúa junto con expertos forenses externos, en esta etapa creemos que el incidente ha sido contenido”, señaló la compañía.

Hasta ahora, Instructure indica que la información expuesta incluye únicamente nombres, direcciones de correo electrónico, números de identificación de estudiantes y mensajes entre usuarios.

La empresa también afirmó que no hay evidencia, por el momento, de que se hayan comprometido datos altamente sensibles como contraseñas, información financiera o identificadores gubernamentales.

“Mientras continuamos investigando activamente, hasta ahora las indicaciones apuntan a que la información involucrada consiste en ciertos datos identificativos de usuarios en instituciones afectadas, como nombres, direcciones de correo electrónico y números de identificación de estudiantes, así como mensajes entre usuarios”, explicó Instructure.

“En este momento, no hemos encontrado evidencia de que se hayan visto comprometidas contraseñas, fechas de nacimiento, identificadores gubernamentales o información financiera. Si eso cambia, notificaremos a las instituciones afectadas.”

¿Qué ha hecho Instructure hasta ahora?

En respuesta al incidente, Instructure afirma que ha:

• Implementado parches de seguridad.
• Incrementado la monitorización de sistemas.
• Rotado claves de aplicaciones.
• Requerido a los clientes volver a autorizar el acceso a la API.

La compañía también está colaborando con expertos en ciberseguridad y autoridades mientras continúa la investigación.

¿Qué deben hacer ahora los usuarios?

Aunque el alcance total de la brecha aún no está completamente claro, tanto usuarios como instituciones deberían actuar con cautela y de forma proactiva.

Estos son algunos pasos inmediatos que conviene seguir:

Comprueba si tu institución ha emitido una notificación

Las universidades y escuelas suelen ser responsables de informar a los usuarios afectados.

Presta atención a mensajes sospechosos

Las direcciones de correo expuestas pueden utilizarse rápidamente en estafas dirigidas, con mensajes que aparentan provenir de tu escuela, profesores o compañeros.

Estos mensajes pueden hacer referencia a clases reales, conversaciones o fechas límite para resultar más convincentes. Desconfía de cualquier solicitud inesperada, especialmente si te pide hacer clic en enlaces, descargar archivos o compartir información sensible.

Si algo no te cuadra, verifícalo de forma independiente contactando con el remitente a través de un canal oficial, no respondiendo directamente al mensaje.

Además, puedes analizar estos mensajes con Bitdefender Scamio, nuestro detector gratuito de estafas. Para los enlaces, utiliza Bitdefender Link Checker y comprueba si una URL es segura antes de abrirla.

Actualiza tus contraseñas (aunque no se hayan filtrado)

Es una buena práctica, especialmente si reutilizas contraseñas en varias plataformas.

Supervisa tu huella digital

Servicios como Bitdefender Digital Identity Protection ayudan a comprobar si tus datos aparecen en filtraciones conocidas y te alertan de forma temprana si tu información queda expuesta.

Esta herramienta monitoriza continuamente tu huella digital, incluyendo direcciones de correo electrónico y otros datos personales, y te avisa si aparecen en nuevas bases de datos filtradas.

Este tipo de alerta temprana te permite actuar a tiempo, cambiar contraseñas, asegurar tus cuentas y reducir el riesgo de ataques posteriores como el phishing o el robo de identidad.