L’atac contra Instructure va començar el 30 d’abril de 2026, quan el grup de cibercrim ShinyHunters va accedir a l’entorn cloud de la companyia explotant una vulnerabilitat en la seva infraestructura. Instructure, l’empresa matriu de Canvas LMS — la plataforma de gestió de l’aprenentatge més estesa en educació superior a nivell global — es va veure obligada a tancar parts del seu servei, incloent-hi Canvas Data 2 i Canvas Beta. Aquesta setmana, el grup escala la pressió amb un segon atac i un missatge d’extorsió publicat directament en les pantalles d’inici de sessió de les institucions afectades. El termini per pagar o veure les dades publicades venç el 12 de maig.

Què ha passat amb Canvas i Instructure?

Els fets confirmats i reconstruïts a partir de fonts com Malwarebytes, TechCrunch, DataBreaches.net, Hackread i Escudo Digital són els següents:

  • Primera bretxa (30 abril — 1 maig): ShinyHunters va comprometre 3,65 TB de dades d’Instructure. El grup afirma haver robat aproximadament 275 milions de registres vinculats a estudiants, professors i personal, amb una llista de 8.809 institucions educatives les instàncies de Canvas de les quals haurien estat compromeses.
  • Dades compromeses: noms, adreces de correu electrònic institucionals, IDs estudiantils i missatges privats dins de la plataforma. Instructure va indicar que no va trobar indicis que contrasenyes, dates de naixement, identificadors governamentals o informació financera haguessin estat compromesos.
  • Segona bretxa (7 maig — avui): ShinyHunters va desfigurar les pàgines d’inici de sessió de Canvas en diversos centres educatius, injectant un missatge d’extorsió directament en les pantalles d’accés d’estudiants i docents. TechCrunch va confirmar la desfiguració en almenys tres centres diferents.
  • L’ultimàtum: ShinyHunters ha donat termini fins a l’EOD del 12 de maig de 2026 perquè Instructure o les institucions afectades contactin el grup per negociar. Passat aquest termini, amenacen amb publicar totes les dades robades.
  • Escala global: Hackread va obtenir la llista completa d’institucions, amb presència massiva al Regne Unit, Europa i els Estats Units, amb un total d’unes 15.000 institucions. La llista de BleepingComputer xifra en 8.809 els centres amb dades compromeses.
  • Canvas a Espanya: tot i que no hi ha confirmació pública de quines universitats espanyoles figuren a la llista, Canvas és la plataforma principal en institucions com la Universitat Autònoma de Madrid, la Universitat del País Basc, la Universitat de Salamanca o la Universitat Carlos III. Donat l’abàst europeu confirmat de la bretxa, qualsevol institució espanyola que faci servir Canvas ha d’assumir un risc potencial i verificar el seu estat amb Instructure de manera urgent.

Per què el sector educatiu és objectiu prioritari

L’atac contra Instructure torna a posar sobre la taula el creixent interès dels grups criminals pel sector educatiu. Durant els últims anys, universitats, escoles i plataformes acadèmiques s’han convertit en objectius prioritaris. Hi ha quatre raons estructurals que expliquen aquest patró:

  1. Volum de dades d’alta sensibilitat. Les plataformes educatives emmagatzemen no només dades identificatives sinó també missatges privats, rendiment acadèmic, dades econòmiques de beques i, en molts casos, dades de menors. Un perfil d’estudiant val més al mercat negre que un simple registre de correu electrònic.
  2. Infraestructures complexes i fragmentades. Moltes institucions educatives operen amb xarxes distribuïdes entre campus, dispositius personals i plataformes externes, la qual cosa dificulta enormement la protecció total davant amenaces avançades.
  3. Alta dependència de proveïdors SaaS centralitzats. La concentració de milions d’usuaris en una única plataforma converteix cada vulnerabilitat del proveïdor en una amenaça massiva per a totes les institucions clients de manera simultània.
  4. Restriccions pressupostàries en ciberseguretat. El sector educatiu històricament inverteix menys en seguretat que el financer o el sanitàri, malgrat gestionar volums de dades comparables.

Com opera ShinyHunters: extorsió sense xifratge

ShinyHunters no segueix el model ransomware clàssic. En lloc de xifrar sistemes, extreu dades massivament i les filtra públicament per exercir pressió — el que els experts anomenen “industrialització de l’extorsió basada en dades”, evitant el xifratge per reduir la detecció primerenca. El seu historial recent inclou atacs a Ticketmaster, AT&T, Rockstar Games i Vercel.

El patró d’aquest atac concret segueix tres fases:

  1. Accés silenciós: ShinyHunters va explotar una vulnerabilitat en la infraestructura d’Instructure, va extreure 3,65 TB de dades i va esperar abans de revelar l’accés. L’organització víctima no va detectar la intrusió durant dies.
  2. Extorsió directa: un cop amb les dades, el grup va publicar la seva demanda en un lloc de filtracions i va contactar directament Instructure, amençant amb publicar milers de milions de missatges privats entre estudiants i professors si l’empresa no cedia.
  3. Escalada pública: en no rebre una resposta satisfactòria, ShinyHunters va desfigurar les pantalles d’inici de sessió de Canvas per visibilitzar l’atac davant d’estudiants i docents, multiplicant la pressió mediàtica sobre Instructure i les institucions afectades.

Aquest model és especialment eficaç en el sector educatiu: el dany reputacional de filtrar converses privades entre menors i docents és suficient per forçar negociacions fins i tot quan l’impacte tècnic és limitat.

Lliçons clau per a universitats i institucions educatives espanyoles

El cas Canvas-Instructure deixa ensenyaments directament aplicables a qualsevol institució educativa espanyola que operi amb plataformes SaaS de tercers:

  • Verificar l’estat amb Instructure de manera urgent. Si la teva institució fa servir Canvas, contacta amb el teu gestor de compte per confirmar si apareixes a la llista d’institucions afectades i quines dades específiques podrien haver estat compromeses, abans del 12 de maig.
  • Revisar els logs d’accés a Canvas dels últims 30 dies. Activitat inusual en exportacions de dades, accessos des d’IPs no reconegudes o errors d’autenticació massius poden ser indicadors de comproms previ.
  • Comunicar proactivament a estudiants i personal. Si es confirma afectació, la comunicació ràpida i transparent redueix el dany reputacional. La gestió tardana d’Instructure està sent àmpliament criticada i empitjora la percepció de l’incident.
  • Avaluar la postura de seguretat del proveïdor abans de renovar contractes. No és el primer atac a Instructure. Un proveïdor amb historial d’incidents recurrents requereix una avaluació de risc formal i garanties contractuals millorades.
  • El termini del 12 de maig és real. Si la teva institució és a la llista i no ha pres mesures, el risc de filtració pública de dades d’estudiants augmenta significativament a partir d’aquella data.

La ciberseguretat com a prioritat estratègica

L’atac a Canvas confirma una tendència que el sector educatiu no pot continuar ignorant: els proveïdors SaaS centralitzats són vectors d’atac de primer ordre. Una sola vulnerabilitat a Instructure compromet simultàniament milers d’institucions a tot el món — exactament el mateix patró que hem vist a SolarWinds, als paquets SAP de npm, a Trellix o a Naturgy aquesta mateixa setmana.

Per a les universitats i institucions educatives espanyoles, el missatge és clar: la seguretat de les dades d’estudiants i docents no es pot delegar íntegrament al proveïdor. Requereix avaluació contínua de la postura de seguretat dels tercers amb accés a aquestes dades, monitoratge actiu dels entorns cloud associats i plans de resposta a incidents que contemplin explícitament l’escenari de bretxa en un proveïdor SaaS crític.

Apolo Cybersecurity: protegint les institucions que formen el futur

A Apolo Cybersecurity ajudem universitats, centres de formació i empreses del sector EdTech a avaluar la seva exposició real davant d’atacs com el que ha patit Instructure. Treballem en auditoria de proveïdors SaaS crítics, anàlisi de cadena de subministrament tecnològica, avaluació d’APIs i fluxos d’exportació de dades, monitoratge d’accessos i resposta a incidents de tercers.

Si la teva institució fa servir Canvas o altres plataformes LMS al núvol i no tens visibilitat sobre quines dades d’estudiants i docents estan exposades en cas de bretxa en el proveïdor, l’incident d’aquesta setmana és el senyal per actuar. El termini del 12 de maig no pot esperar.

__wf_reserved_inherit
Prev Post
Next Post

Tens dubtes? Estem encantats d'ajudar!

POSEU-VOS EN CONTACTE AMB NOSALTRES AVUI MATEIX!
info@apolocybersecurity.com
Responsable: Apolo Analytics S.L.
Finalitat: Respondre al teu missatge i emmagatzemar-lo en una base de dades per gestionar la teva sol·licitud.
Legitimació: Consentiment de l'interessat a l'hora de presentar el formulari.
Destinataris: Les dades no seran cedides a tercers, llevat que s'exigeixi legalment.
Drets: Pot exercir els seus drets d'accés, rectificació i supressió, entre d'altres, enviant un correu electrònic a secretaria@apolocybersecurity.Com.
Informació addicional: Podeu consultar la informació completa al nostre Política de privacitat.

Gràcies!

El vostre missatge ha estat rebut correctament.
Ups! Alguna cosa va sortir malament en enviar el formulari.
T'esperem!
Programar una trucada
Project photo
Envia'ns un correu electrònic
Project photo
+34 937948378
Project photo
Carrer de Sant Joan de la Salle 42, Barcelona, Espanya
Project photo
PREGUNTES FREQÜENTScontacteTERMES I CONDICIONSTreballa amb nosaltres
Accelerada per:
Certificacions:
Light Eyes forma part de la ciberseguretat Apollo
Renúnciapolítica de privacitatCookiespolítica de seguretat de la informació
Privacy Settings
Copyright © 2025 Apollo Cybersecurity