TL;DR:

Instructure, dueña de Canvas, dijo que llegó a un acuerdo con los hackers ligados al ataque contra su plataforma educativa.

El grupo ShinyHunters afirmó haber accedido a datos de 275 millones de usuarios en casi 9,000 escuelas; la cifra no ha sido verificada de forma independiente.

La compañía asegura que recibió la devolución de los datos y “shred logs”, pero no reveló si pagó un rescate.

Instructure, la empresa detrás de Canvas, dijo que alcanzó un acuerdo con los hackers responsables del reciente ataque contra su plataforma educativa para recuperar los datos robados y recibir confirmación digital de su destrucción. El caso importa porque Canvas se usa en miles de escuelas y universidades, y porque la información comprometida incluye datos de cuentas, cursos, inscripciones y mensajes entre usuarios. La compañía no reveló qué entregó a cambio ni confirmó si pagó un rescate.

Canvas LMS es una plataforma de gestión de aprendizaje que escuelas y universidades usan para organizar cursos, tareas, calificaciones, materiales y comunicación entre estudiantes y docentes.

El acuerdo llega después de varios días de tensión para instituciones educativas que dependen de Canvas, particularmente durante periodos de exámenes y entregas finales. ShinyHunters, el grupo que se atribuyó el ataque, aseguró haber obtenido información de más de 275 millones de usuarios en casi 9,000 escuelas en el mundo. Esa cifra proviene de los propios atacantes y no ha sido confirmada por Instructure.

La compañía publicó el 11 de mayo de 2026 que el acuerdo cubre a todos los clientes impactados y que las instituciones no necesitan negociar por separado con los hackers.

Instructure también dijo que fue informada de que ningún cliente será extorsionado públicamente o por otros canales a raíz del incidente. Aun así, la propia empresa reconoció el límite central de este tipo de acuerdos: cuando se negocia con criminales, no existe garantía total.

Qué datos quedaron expuestos en el ataque a Canvas

Instructure detectó actividad no autorizada en Canvas el 29 de abril de 2026 y volvió a identificar actividad adicional el 7 de mayo de 2026. Ese segundo episodio incluyó cambios en páginas que algunos estudiantes y docentes veían al iniciar sesión.

La compañía explicó que el acceso se relacionó con un problema en cuentas de Free-For-Teacher, una modalidad de Canvas que fue desactivada temporalmente mientras avanza la revisión de seguridad.

Según Instructure, los campos de datos involucrados incluyen:

• nombres de usuario
• correos electrónicos
• nombres de cursos
• información de inscripción
• mensajes dentro de la plataforma

La empresa sostiene que los datos centrales de aprendizaje no fueron comprometidos. En esa categoría incluye contenido de cursos, entregas, credenciales y otros elementos académicos clave. También dijo que, hasta ahora, no encontró evidencia de que se hayan robado datos durante la actividad del 7 de mayo.

Canvas ya está de regreso en línea y la compañía asegura que la plataforma es segura para usarse. También afirmó que revocó credenciales privilegiadas, rotó llaves internas, restringió rutas de creación de tokens y agregó monitoreo adicional.

El punto incómodo: ¿hubo pago de rescate?

Instructure no dijo qué ofreció a cambio de la devolución de los datos. Esa omisión deja abierta la pregunta más delicada del caso.

The Record reportó que Instructure pagó un rescate a ShinyHunters, mientras que TechCrunch señaló que la desaparición del listado del grupo en su sitio de filtraciones sugería que pudo haber existido un pago. La compañía, sin embargo, no confirmó el monto ni caracterizó públicamente el acuerdo como rescate.

El caso también prendió alertas políticas en Estados Unidos. El representante Andrew Garbarino, presidente del Comité de Seguridad Nacional de la Cámara de Representantes, pidió a Instructure una sesión informativa antes del 21 de mayo de 2026 para explicar la naturaleza de las intrusiones, el volumen de datos expuestos y la coordinación con autoridades federales.

La empresa dijo que notificó a agencias de seguridad, incluido el FBI, la CISA y socios internacionales de aplicación de la ley.

El dilema es conocido en incidentes de extorsión digital: pagar o pactar puede reducir el riesgo inmediato de filtración, pero también puede alimentar el negocio criminal. El FBI recomienda no pagar rescates porque no garantiza la recuperación o destrucción de datos y puede incentivar nuevos ataques.

Para estudiantes, docentes y escuelas, el mensaje práctico es menos dramático pero más útil: esperar comunicación directa de su institución, vigilar correos sospechosos y reportar cualquier mensaje extraño relacionado con el incidente. El dato crítico no es solo si los archivos fueron borrados, sino si las instituciones podrán recuperar confianza después de que una plataforma tan central quedara expuesta.

Fuentes: 1, 2, 3, 4, 5, 6