Avui, 12 de maig de 2026, el termini que ShinyHunters havia fixat a Instructure per pagar o veure filtrades les dades de 275 milions d'estudiants i docents ha arribat al seu fi. I el final no és el que molts esperaven: Instructure ha anunciat un acord amb els atacants perquè les dades no siguin publicades. The Register, que ha cobert el cas en temps real, interpreta el comunicat del CEO com una confirmació implícita del pagament del rescat. Simultàniament, l'empresa ha revelat que no hi va haver un sinó dos incidents de seguretat separats, vinculats a la mateixa vulnerabilitat en els seus comptes graïts per a docents. Vàrem publicar la primera anàlisi el 7 de maig. Avui, amb el tancament de l'ultimàtum i les noves revelacions, completem el quadre.

Què ha passat en les últimes hores?

Hores abans del venciment del termini, el CEO d'Instructure, Steve Daly, va publicar una actualització al blog de la companyia amb una frase que ha concentrat tota l'atenció: “Se'ns ha informat que cap client d'Instructure serà extorsionat com a resultat d'aquest incident, públicament ni d'una altra manera.” La declaració, estudiadament ambiguà, és el més proper a una confirmació del pagament del rescat que una empresa pot fer sense admetre-ho explícitament. The Register i Cyber Daily ho interpreten sense ambigüitat com a pagament.

Els fets confirmats a data d'avui:

  • Canvas està completament operatiu des de l'11 de maig. Instructure va confirmar que “tots els entorns de Canvas estan disponibles” a les 10:21 UTC de l'11 de maig.
  • Instructure va confirmar dues bretxes separades: la primera detectada el 29 d'abril de 2026, la segona identificada el 7 de maig de 2026, totes dues vinculades a la mateixa vulnerabilitat.
  • Vector confirmat: error en el sistema de comptes graïts Free-for-Teacher de Canvas.
  • ShinyHunters va desfigurar ~330 portals d'inici de sessió d'universitats el 7 de maig abans que Instructure portés Canvas a mode de manteniment.
  • És la tercera vegada que ShinyHunters compromet Instructure en menys d'un any (anterior: entorn de Salesforce al setembre de 2025).
  • Dades compromeses confirmades per Instructure: noms d'usuari, adreces de correu electrònic i IDs estudiantils. ShinyHunters afirma haver robat 3,65 TB amb ~275 milions de registres de ~8.800 institucions, incloent-hi missatges privats.

Les dues bretxes confirmades: més greu del que es va comunicar inicialment

  • Primera bretxa (29 abril): Instructure va detectar activitat no autoritzada a Canvas, va revocar l'accés de l'intruso i va iniciar investigació. En aquell moment l'empresa va indicar que no hi havia evidències que s'haguessin comprometès contrasenyes, dates de naixement, identificadors governamentals o informació financera.
  • Segona bretxa (7 maig): Instructure va identificar activitat no autoritzada addicional vinculada al mateix incident. Aquesta segona intrusió va provocar la caiguda de Canvas i la desfiguració massiva de portals. Entre les dues intrusions, ShinyHunters havia tingut temps d'exfiltrar el gruix de les dades i planificar l'escalada.

La presentació inicial d'Instructure com a incident únic i contingut no reflectia la realitat operativa de l'atacant.

El vector Free-for-Teacher: l'eslabó feble que ningú vigilava

La revelació tècnica més important del dia és el vector d'entrada confirmat: una vulnerabilitat en el programa Free-for-Teacher de Canvas, que permet a qualsevol docent registrar un compte graït per explorar la plataforma sense estar adscrit a una institució.

  1. Accés fora del perímetre institucional. Els comptes Free-for-Teacher no estan vinculats als controls de seguretat de cada institució (SSO, MFA corporatiu, polítiques d'accés). Qualsevol persona en pot crear un.
  2. Invisibles per als equips de seguretat universitaris. Els CISOs i equips IT de les universitats no tenen visibilitat sobre els comptes Free-for-Teacher. El vector d'atac era una superfície que els defensors institucionals no podien monitoritzar.
  3. Accés a la infraestructura subjacent. La vulnerabilitat en aquest programa va donar a ShinyHunters accés a la infraestructura central de Canvas des de la qual es van assolir les dades de les ~8.800 institucions clients.

Instructure va pagar el rescat: el que sabem i el que implica

La declaració del CEO Steve Daly és deliberadament opàca. The Register, Cyber Daily i diversos analistes de seguretat la interpreten com a confirmació del pagament del rescat. Si el pagament es confirma, té quatre implicacions directes:

  1. No garanteix la destrucció de les dades. ShinyHunters pot retenir còpies o vendre-les en mercats privats.
  2. No eximeix de les obligacions RGPD. El pagament d'un rescat no suspent el deure de notificació a les autoritats supervisores ni als interessats.
  3. Converteix Instructure en objectiu recurrent. Aquesta és la tercera bretxa en menys d'un any.
  4. Obre el debat ètic i regulatori. Les autoritats (FBI, EUROPOL, CCN-CERT a Espanya) no recomanen el pagament.

Llicçons clau per a universitats i institucions educatives espanyoles

Accions immediates:

  • Rotar totes les API keys de Canvas, tokens OAuth i credencials SSO.
  • Emetre avís de phishing a estudiants i personal docent.
  • Auditar els comptes Free-for-Teacher vinculats al vostre domini institucional.

Regulatori:

  • Avaluar amb el DPO si hi ha obligació de notificar la bretxa als interessats (estudiants, docents, personal) sota els Art. 33 i 34 RGPD.
  • Documentar l'anàlisi i la decisió presa per demostrar complet compliància proactiva.

Estratègic:

  • Revisar el nivell de diligència aplicat a Instructure com a proveïdor crític. Tres bretxes en menys d'un any és un senyal de risc del proveïdor.
  • Actualitzar el pla de continuïtat educativa per a una caiguda prolongada de Canvas durant exàmens finals.

La ciberseguretat com a prioritat estratègica

El cas Canvas-Instructure-ShinyHunters tanca avui amb més preguntes que respostes. El que sí queda clar és que l'educació superior té una nova línia vermella: els proveïdors SaaS crítics que gestionen la infraestructura educativa són objectius de primera fila per a l'extorsió.

Apolo Cybersecurity: gestió del risc de proveïdors SaaS crítics en educació

A Apolo Cybersecurity ajudem universitats i institucions educatives a avaluar i gestionar el risc dels seus proveïdors SaaS crítics: anàlisi de contractes i drets d'auditoria, avaluació de postura de seguretat del proveïdor, detecció de credencials compromeses, plans de resposta que integren els terminis RGPD i suport en la comunicació amb l'AEPD i els afectats.

Si la teva institució fa servir Canvas i no té certesa sobre les implicacions d'aquesta doble bretxa per a les seves obligacions regulatòries, ara és el moment de verificar-ho.

__wf_reserved_inherit
Prev Post
Next Post

Tens dubtes? Estem encantats d'ajudar!

POSEU-VOS EN CONTACTE AMB NOSALTRES AVUI MATEIX!
info@apolocybersecurity.com
Responsable: Apolo Analytics S.L.
Finalitat: Respondre al teu missatge i emmagatzemar-lo en una base de dades per gestionar la teva sol·licitud.
Legitimació: Consentiment de l'interessat a l'hora de presentar el formulari.
Destinataris: Les dades no seran cedides a tercers, llevat que s'exigeixi legalment.
Drets: Pot exercir els seus drets d'accés, rectificació i supressió, entre d'altres, enviant un correu electrònic a secretaria@apolocybersecurity.Com.
Informació addicional: Podeu consultar la informació completa al nostre Política de privacitat.

Gràcies!

El vostre missatge ha estat rebut correctament.
Ups! Alguna cosa va sortir malament en enviar el formulari.
T'esperem!
Programar una trucada
Project photo
Envia'ns un correu electrònic
Project photo
+34 937948378
Project photo
Carrer de Sant Joan de la Salle 42, Barcelona, Espanya
Project photo
PREGUNTES FREQÜENTScontacteTERMES I CONDICIONSTreballa amb nosaltres
Accelerada per:
Certificacions:
Light Eyes forma part de la ciberseguretat Apollo
Renúnciapolítica de privacitatCookiespolítica de seguretat de la informació
Privacy Settings
Copyright © 2025 Apollo Cybersecurity