Si trabajas en seguridad informática educativa, Noticias sobre Canvas El impacto fue diferente. Instructure, la empresa detrás del sistema de gestión del aprendizaje utilizado por más de 8,000 universidades y escuelas, sufrió una importante brecha de seguridad, y según informes, hasta 275 millones de usuarios podrían verse afectados. Se trata de una de las mayores brechas de seguridad en la historia de la educación.
Ya he visto este patrón antes. Y comprendo perfectamente a los equipos que ahora mismo están recibiendo llamadas de directivos, padres y prensa al mismo tiempo.
Si bien los informes iniciales se centraron en el acceso mediante credenciales a través del entorno Salesforce de Instructure, el panorama completo revela una cadena de ataque más compleja. La brecha de seguridad de abril de 2026 explotó las cuentas gratuitas para profesores —un programa que Instructure ha clausurado definitivamente— como punto de entrada principal. Esto difiere de la brecha de seguridad de septiembre de 2025, que implicó ingeniería social dirigida a la instancia de Salesforce de Instructure.
Cuando Instructure fue atacada anteriormente en septiembre de 2025, ShinyHunters utilizó ingeniería social para vulnerar el entorno empresarial de Salesforce de Instructure, accediendo a la información de contacto empresarial, pero No datos de estudiantes o clientes de la plataforma Canvas. Sin embargo, la filtración de abril de 2026 es categóricamente diferente: tuvo como objetivo Canvas. sistemas de producción El ataque comprometió directamente mensajes privados, nombres, direcciones de correo electrónico y números de identificación estudiantil de hasta 275 millones de usuarios. Sistemas diferentes. Impacto diferente. El mismo atacante. Esto demuestra que ShinyHunters considera a Instructure un objetivo de alto valor que merece ser revisado, y cualquier institución que dependa de Canvas debería asumir que el mismo ataque podría repetirse.
Para muchas instituciones, Canvas está conectado a Salesforce.Lo mismo ocurre con la mayoría de las plataformas de tecnología educativa modernas.
La pregunta que toda institución debería hacerse no es simplemente "¿Estaban nuestros datos estudiantiles en los sistemas de Instructure?", sino "¿A qué tienen acceso nuestros proveedores de SaaS en nuestro entorno, a través de integraciones que quizás ni siquiera estemos supervisando?".
Cronología: Cómo se desarrolló la brecha de seguridad
Para las instituciones afectadas, esto significaba exámenes finales pospuestosLos sistemas administrativos estaban bloqueados y los equipos de seguridad trabajaban las 24 horas del día, a menudo con información incompleta.
Entendiendo el ataque Canvas de ShinyHunters: las integraciones SaaS también son identidad.
Grupos como ShinyHunters y Scattered Spider, cuyas tácticas hemos analizado en profundidad, rara vez necesitan encontrar una vulnerabilidad técnica cuando pueden usar una credencial válida. Buscan el camino de menor resistencia: un token OAuth con un alcance excesivo, una cuenta de servicio con privilegios permanentes o una brecha en la autenticación multifactor (MFA) en un sistema heredado.
Cómo ShinyHunters elude la autenticación multifactor: AiTM y phishing de códigos de dispositivos
Investigadores de seguridad han documentado tres técnicas principales que utiliza ShinyHunters:
Phishing de vishing + AiTM (Adversary-in-the-Middle)
Un atacante, haciéndose pasar por un técnico de soporte informático, llama a un empleado objetivo y lo redirige a una página de phishing con la marca de la víctima. A medida que el usuario introduce sus credenciales y códigos MFA, la página los transmite en tiempo real al proveedor de identidad legítimo, que detecta un inicio de sesión normal y aprueba el acceso. Se elude la autenticación multifactor tradicional.
Vishing + phishing de código de dispositivo
Los atacantes engañan a los usuarios para que introduzcan un código en la página de verificación legítima de Microsoft (o de otro proveedor de identidad). Esto otorga directamente un token OAuth, no una contraseña ni un código MFA. Esta técnica vulnera todas las formas de MFA, incluidas las claves de acceso, ya que ataca la capa de autorización en lugar del flujo de inicio de sesión.
explotación de la cadena de suministro de OAuth
En lugar de atacar directamente a una institución, los atacantes comprometen los tokens OAuth de un proveedor de SaaS y luego los utilizan para acceder al entorno de destino. Este es precisamente el patrón que observamos en la brecha de seguridad de Salesloft Drift, y parece relevante en este caso.
El denominador común: el comportamiento posterior a la autenticación es el nuevo campo de batalla. Si tus herramientas de seguridad solo detectan el inicio de sesión inicial, pasarás por alto los movimientos laterales que se producen posteriormente.
Los entornos educativos modernos están profundamente integrados. Por ejemplo, su LMS puede conectarse a su CRM de Salesforce, que a su vez se conecta a su sistema de información estudiantil, el cual se conecta a su proveedor de identidad. Cada una de estas integraciones implica un token OAuth, una clave API o una credencial de cuenta de servicio. Cada una representa una identidad no humana (NHI). En la mayoría de los entornos, estas identidades tienen acceso amplio, carecen de autenticación multifactor (MFA), reciben una supervisión mínima y no existe una responsabilidad clara sobre su seguridad.
Una vez que los atacantes acceden con credenciales válidas, se mueven lateralmente, de forma silenciosa y rápida. Para cuando se activa la alerta, a menudo ya llevan días en el sistema.
Qué puedes hacer ahora para protegerte contra futuros intentos de violación de identidad.
Audite sus credenciales de integración SaaS
¿Cuáles de sus proveedores tienen tokens OAuth o credenciales API con acceso a su entorno de Salesforce, su proveedor de identidad (IdP) o sus sistemas de datos estudiantiles? Se trata de información de salud no confidencial (NHI) y deben tratarse con el mismo rigor que cualquier cuenta humana privilegiada: con un alcance limitado, supervisión y rotación rigurosas. La mayoría de las instituciones con las que hablamos desconocen la respuesta completa y carecen de visibilidad sobre el acceso a su entorno. Eso es lo primero que hay que arreglar.
Obtenga visibilidad de sus cuentas de servicio
Cuentas de servicio En su entorno local e híbrido, las cuentas suelen tener privilegios permanentes, carecen de autenticación multifactor (MFA) y cuentan con poca supervisión. Comience por comprender qué hay en su entorno, no solo las cuentas que conoce, sino también aquellas que han acumulado acceso silenciosamente a lo largo de los años debido a los cambios en el sistema. No puedes proteger lo que no puedes ver.
Implementar la autenticación multifactor en todas partes, especialmente donde sea más difícil.
La mayoría de las instituciones implementan la autenticación multifactor (MFA) en aplicaciones en la nube y VPN. Sin embargo, los atacantes no utilizan la puerta de entrada. Emplean protocolos obsoletos (como NTLM, Kerberos y LDAPS) que eluden por completo los controles modernos. Ampliar la MFA para que cubra estos protocolos sin interrumpir las operaciones es una de las medidas más efectivas que se pueden tomar.
Prepárese para ataques de phishing dirigidos que utilizan datos robados.
La naturaleza de los datos robados aumenta significativamente el riesgo. Dado que la información expuesta incluye mensajes privados que hacen referencia a cursos reales, nombres de estudiantes, detalles de instructores y relaciones institucionales, los atacantes pueden crear comunicaciones de phishing altamente personalizadas que hacen referencia a cursos y conversaciones reales. La capacitación genérica sobre phishing no es suficiente. Capacite a los usuarios para que pasen el cursor sobre los enlaces, verifiquen las solicitudes a través de canales fuera de banda y examinen con especial atención cualquier comunicación que haga referencia a cursos específicos de Canvas. Además, supervise los nuevos dominios de phishing que suplantan la marca Canvas.
GUÍA PRÁCTICA
Extender el enfoque de alfabetización digital a todas partes
Cómo cerrar las brechas de autenticación heredadas y locales
Esté atento al movimiento lateral en tiempo real.
El lapso entre el daño inicial y el daño significativo suele ser de horas. Detección y respuesta a amenazas de identidad (ITDR) Le brinda a su SOC visibilidad sobre comportamientos de autenticación anómalos, como tiempos de acceso inusuales, discrepancias de protocolo, cuentas que acceden a sistemas a los que nunca antes han accedido, para que pueda Actúa antes de que aumente el radio de la explosión..
Considere sus obligaciones regulatorias
Más allá de la respuesta técnica, las instituciones afectadas se enfrentan a importantes requisitos de cumplimiento. Dado que Canvas presta servicios a distritos escolares de primaria y secundaria, colegios, universidades y ministerios de educación, la brecha de seguridad implica lo siguiente:
- FERPA (Ley de Derechos Educativos y Privacidad de la Familia): Traslada la responsabilidad de la notificación a la institución, no al proveedor.
- COPPA (Ley de Protección de la Privacidad Infantil en Internet): Relevante para los distritos escolares de primaria y secundaria que manejan datos sobre menores.
- Aproximadamente 130 leyes estatales sobre la privacidad de los estudiantes. con diferentes plazos y requisitos de notificación
Las instituciones que demoren su respuesta podrían enfrentar no solo daños a su reputación, sino también consecuencias legales y regulatorias. Ya se están investigando demandas colectivas contra Instructure, lo que significa que su institución también podría enfrentar litigios. Consulte con su equipo legal ahora mismo sobre los requisitos de notificación y las obligaciones de documentación.
¿Qué considerar a continuación?: Reducir la superficie de ataque a su identidad.
Una vez que haya abordado la vulnerabilidad más urgente, el trabajo a largo plazo consiste en reducir sistemáticamente la superficie de ataque a su identidad. Dos capacidades son clave en este caso.
Gestión de la postura de seguridad de la identidad (ISPM) Revela los riesgos acumulados a lo largo de los años: cuentas obsoletas, políticas de autenticación multifactor mal configuradas, uso de protocolos antiguos y cuentas de servicio con privilegios excesivos. Proporciona a su equipo una visión continua y priorizada de qué corregir y en qué orden. Esa es la diferencia entre reaccionar ante las brechas de seguridad y reducir las condiciones que las hacen posibles.
Inteligencia de acceso Va más allá, mapeando cada ruta de acceso en su entorno y revelando la dispersión de privilegios, los derechos no utilizados y las rutas ocultas que las herramientas tradicionales de IAM pasan por alto. Para los entornos educativos con años de derechos de acceso acumulados entre el personal, el profesorado y docenas de sistemas integrados, esta visibilidad es lo que hace que el principio de mínimo privilegio sea práctico en lugar de teórico.
Las instituciones que desarrollan esta disciplina en cuanto a la seguridad son las que no acaban en los titulares la próxima vez que un proveedor sufre una brecha de seguridad.
Una nota sobre qué Silverfort ha visto
Silverfort trabaja con instituciones incluidas Colegio Pembroke, Cambridge Universidad del Pacífico precisamente en estos desafíos. También hemos construido y ejecutado manuales de respuesta a incidentes de identidad contra ShinyHunters y Scattered Spider en tiempo real… no como teoría, sino durante activo ataques.
Si te preguntas cuál es la situación de tu institución, hablemos de ello. Reserva una llamada con nuestro equipo hoy mismo..
¿Quieres saber más sobre seguridad de identidad para la educación?
Lea estudios de caso y aprenda cómo Silverfort Te ayuda a proteger todas las dimensiones de tu identidad.
