Te hackearon
mientras estudiabas
para los exámenes
ShinyHunters entró en Canvas, la plataforma que usan 30 millones de estudiantes en todo el mundo. 275 millones de registros robados. 9.000 universidades y colegios afectados. Y un ultimátum que vence el 12 de mayo.
El jueves 7 de mayo, millones de estudiantes de todo el mundo intentaron entrar en Canvas para estudiar para sus exámenes finales. En vez de sus apuntes y tareas, encontraron un mensaje del grupo de hackers ShinyHunters: habían hackeado Instructure, la empresa detrás de Canvas, y tenían los datos de 275 millones de personas. La plataforma o pagaba antes del 12 de mayo, o los datos se hacían públicos.
No es un incidente aislado. Es el segundo ataque en siete días al mismo sistema. Y es la demostración más clara hasta la fecha de por qué el sector educativo se ha convertido en el objetivo favorito del cibercrimen organizado.
La cronología de un ataque en dos actos
-
1 de mayo — Primer ataque
Instructure comunica que ha sufrido «un incidente de ciberseguridad perpetrado por un actor criminal». Afirma que la brecha quedó contenida al día siguiente. Datos expuestos: nombres de usuario, correos electrónicos, IDs de estudiantes y algunos mensajes privados.
-
3 de mayo — Ultimátum en la dark web
ShinyHunters publica en Ransomware.live que tiene acceso a 275 millones de registros y miles de millones de mensajes privados. Fija el 12 de mayo como fecha límite para negociar.
-
7 de mayo — Segundo ataque: escalada visible
ShinyHunters sustituye las páginas de inicio de sesión de miles de centros educativos con su mensaje de rescate. Estudiantes de todo el mundo son desconectados en plena semana de exámenes finales. Canvas entra en «modo mantenimiento». Harvard, Georgetown y decenas de universidades confirman la caída.
-
8 de mayo — Silencio oficial y contradicción
Instructure reporta «100% de uptime» en su panel de estado oficial mientras miles de usuarios reportan caídas en todo el mundo. La empresa no publica nada en redes sociales sobre el ataque.
-
9 de mayo — Hoy
Canvas está operativo «para la mayoría de usuarios». Varias universidades ya han ampliado plazos de entrega y modificado calendarios de exámenes. La investigación forense continúa. El ultimátum sigue activo: faltan 3 días.
Qué datos tienen y por qué importa cada uno
| Dato robado | Cómo puede usarse | Riesgo |
|---|---|---|
| Nombre + correo electrónico | Phishing dirigido simulando comunicaciones del centro educativo o de Instructure | Alto |
| ID de estudiante | Acceso a otros sistemas del campus vinculados al mismo identificador | Alto |
| Mensajes privados | Extorsión, exposición de información sensible, daño reputacional | Alto |
| Datos de matrícula y cursos | Contexto para ataques de ingeniería social ultra personalizados | Medio-Alto |
| Credenciales de acceso | Reutilización en otros servicios si el estudiante usa la misma contraseña | Alto |
Quiénes son ShinyHunters y por qué son tan peligrosos
ShinyHunters es un grupo informal de adolescentes y jóvenes adultos con base principalmente en Estados Unidos y Reino Unido. No son un estado-nación ni una organización criminal tradicional: son jóvenes con habilidades técnicas avanzadas y sin escrúpulos.
Su historial es largo: atacaron a Ticketmaster en 2024 intentando vender datos de usuarios en la dark web. Han sido vinculados a brechas en más de 60 empresas. El Departamento de Justicia de EEUU ya sentenció a un miembro del grupo ese mismo año.
Su método es siempre el mismo, documentado por Mandiant (Google): phishing de voz para robar credenciales de empleados y páginas de inicio de sesión falsas con la imagen corporativa de la víctima. Una vez dentro, exportan masivamente datos desde plataformas cloud.
Lo que hace este caso especialmente preocupante es la escala: nunca antes habían atacado a una plataforma con acceso a tantos menores de edad.
«Se trata de un incidente de ciberseguridad a nivel nacional.»
— Director de Tecnología de la Universidad de Iowa · 7 de mayo de 2026
El impacto real: exámenes cancelados, familias en pánico y el Senado de EEUU reaccionando
Los datos son una cosa. Lo que ocurrió en el mundo real el 7 de mayo es otra. Instituciones como Columbia, Harvard, Princeton y Georgetown tuvieron que cancelar o modificar sus actividades académicas mientras el ataque dejaba al descubierto el riesgo de la digitalización masiva en la educación.
Los estudiantes accedían al sistema de gestión de exámenes en el peor momento posible. Los profesores tuvieron que improvisar entregas alternativas de materiales en cuestión de horas. Melanie Topchyan, estudiante de último año en la Universidad de California en Riverside, perdió una prueba el jueves y expresó su preocupación por no poder mantener el ritmo académico. No fue la única.
También resultaron perjudicados distritos escolares de California, Florida, Georgia y Texas. No solo universidades de élite. En los Países Bajos, 44 instituciones educativas confirmaron estar afectadas. En Australia, el gobierno activó la Oficina Nacional de Ciberseguridad para coordinar la respuesta.
La reacción política fue inmediata. El líder demócrata del Senado estadounidense, Chuck Schumer, envió una carta a la administración Trump solicitando reforzar las defensas contra riesgos cibernéticos, en particular ante el avance de la inteligencia artificial. No es habitual que un ataque a una plataforma educativa llegue al Senado en menos de 48 horas. Que ocurriera dice mucho sobre la gravedad percibida del incidente.
Por qué este ataque importa más allá de los datos robados
La pregunta de fondo no es cuántos registros robó ShinyHunters. La pregunta es qué significa que una plataforma usada por el 41% de la educación superior norteamericana pueda ser comprometida dos veces en siete días, con un segundo ataque más grave que el primero.
Canvas aloja calificaciones, expedientes académicos, datos de contacto, direcciones IP de acceso y, en muchos casos, información financiera vinculada a las matrículas. No es una red social ni una app de ocio. Es la infraestructura sobre la que millones de personas construyen su futuro académico y profesional.
Es la filtración educativa más grande de la historia
275 millones de registros supera cualquier brecha anterior en el sector educativo. Para contexto: la filtración de Equifax en 2017, que sacudió el sistema financiero mundial, afectó a 147 millones de personas.
Afecta a menores de edad a escala masiva
Canvas no es solo para universitarios. Millones de estudiantes de colegios de primaria y secundaria usan la plataforma. Sus datos — incluyendo mensajes privados — están en manos de criminales. La legislación de protección de menores en muchos países convierte esto en un problema legal de primera magnitud.
El riesgo de inteligencia no es ciencia ficción
Los servicios de inteligencia ven en esta filtración una mina de oro para reclutamiento y operaciones encubiertas. En 2018, el FSB ruso utilizó datos académicos filtrados de estudiantes occidentales para alimentar campañas sofisticadas de reclutamiento. Los datos de perfil académico, intereses, contactos y comunicaciones privadas de millones de futuros profesionales en 40 países es exactamente el tipo de información que los actores estatales llevan años intentando conseguir.
Demuestra que el modelo de seguridad cloud tiene un problema estructural
Los LMS universitarios son un objetivo especialmente atractivo: acumulan datos de cientos de millones de personas, están a menudo subalimentados en presupuesto de seguridad respecto a su importancia real, y la presión pública durante semanas de exámenes añade un vector de coerción único. ShinyHunters no encontró una vulnerabilidad técnica exótica: aparentemente usó las propias herramientas de exportación de Canvas para extraer los datos.
El patrón que nadie quiere ver: la educación como objetivo sistemático
El ataque a Canvas no ocurre en el vacío. El sector educativo lleva años siendo el más atacado del mundo en términos de frecuencia de incidentes, y los motivos son estructurales: enormes volúmenes de datos personales, infraestructuras fragmentadas entre campus y dispositivos personales, presupuestos de seguridad históricamente bajos y usuarios poco formados en ciberseguridad.
En el caso de Canvas, la complejidad es mayor. El sistema se usa para todo: tareas, calificaciones, mensajes entre estudiantes y profesores, recursos de examen. Desactivarlo en semana de finales no es solo un problema técnico. Es un problema académico, económico y emocional para millones de personas.
⏱ Ultimátum activo
ShinyHunters ha fijado el 12 de mayo de 2026 como fecha límite. Si Instructure no negocia antes de esa fecha, el grupo amenaza con publicar todos los datos robados de forma pública y gratuita. A partir de ese momento, 275 millones de registros podrían estar al alcance de cualquier persona con una conexión a internet.
Qué debes hacer ahora mismo si usas Canvas
Cambia tu contraseña de Canvas inmediatamente, especialmente si la reutilizas en otros servicios como el correo electrónico, redes sociales o plataformas de videojuegos. Cada cuenta merece una contraseña única.
Activa la verificación en dos pasos en todos los servicios donde uses el mismo correo electrónico que en Canvas. Si ese correo cae, todo lo vinculado a él queda expuesto.
Desconfía de cualquier comunicación que mencione Canvas, Instructure o tu institución educativa en los próximos meses. Los atacantes tienen tu nombre real, tu correo y tu centro educativo — sus mensajes de phishing serán muy convincentes.
No hagas clic en enlaces de correos o SMS sobre el incidente. Accede siempre directamente a las webs oficiales escribiendo la URL en el navegador.
Si eres menor de edad o tienes hijos afectados: revisa los mensajes privados que se intercambiaron en Canvas. Los mensajes privados forman parte de los datos supuestamente robados y podrían usarse para extorsión o acoso dirigido.
Instructure ha dicho que Canvas está «completamente operativo». Lo que no ha dicho es si pagó, si negoció, si los datos siguen en manos de ShinyHunters o si el 12 de mayo el mundo se despertará con 275 millones de registros disponibles en cualquier foro de la internet abierta.
El sector educativo lleva años siendo el más atacado del mundo. Cada vez que una institución paga, financia el siguiente ataque. Cada vez que no paga, sus usuarios asumen el riesgo. No hay respuesta buena cuando el sistema de protección falla antes de que llegue el ataque.
