Riesgo Digital

Te hackearon mientras estudiabas para los exámenes: el ataque a Canvas que afecta a 9.000 universidades – Riesgo Digital
UrgenteShinyHunters hackea Canvas — 9.000 instituciones afectadas en todo el mundo PlazoUltimátum vence el 12 de mayo · Los datos de 275M de usuarios en riesgo Harvard, Georgetown, Penn, Duke entre las universidades afectadas · Segunda brecha en 7 días DatoInstructure reporta «100% uptime» en su panel de estado — mientras el mundo reporta caídas Afectados: EEUU, Reino Unido, Australia, Nueva Zelanda, Países Bajos, Suecia UrgenteShinyHunters hackea Canvas — 9.000 instituciones afectadas en todo el mundo PlazoUltimátum vence el 12 de mayo · Los datos de 275M de usuarios en riesgo Harvard, Georgetown, Penn, Duke entre las universidades afectadas · Segunda brecha en 7 días DatoInstructure reporta «100% uptime» en su panel de estado — mientras el mundo reporta caídas Afectados: EEUU, Reino Unido, Australia, Nueva Zelanda, Países Bajos, Suecia
275M
Ultimátum activo · Vence 12 mayo 2026
Alertas Ransomware Educación Breaking

Te hackearon
mientras estudiabas
para los exámenes

ShinyHunters entró en Canvas, la plataforma que usan 30 millones de estudiantes en todo el mundo. 275 millones de registros robados. 9.000 universidades y colegios afectados. Y un ultimátum que vence el 12 de mayo.

Por Riesgo Digital · 9 de mayo de 2026 · 5 min de lectura · ???? Noticia viva
275MRegistros robados según ShinyHunters
9.000Instituciones educativas afectadas
2.ª vezSegundo ataque en 7 días al mismo sistema
12 mayPlazo del ultimátum para pagar o publicar
Alertas · Ransomware · Educación Digital · Internacional

El jueves 7 de mayo, millones de estudiantes de todo el mundo intentaron entrar en Canvas para estudiar para sus exámenes finales. En vez de sus apuntes y tareas, encontraron un mensaje del grupo de hackers ShinyHunters: habían hackeado Instructure, la empresa detrás de Canvas, y tenían los datos de 275 millones de personas. La plataforma o pagaba antes del 12 de mayo, o los datos se hacían públicos.

No es un incidente aislado. Es el segundo ataque en siete días al mismo sistema. Y es la demostración más clara hasta la fecha de por qué el sector educativo se ha convertido en el objetivo favorito del cibercrimen organizado.

Alcance confirmado: Canvas es la plataforma de gestión académica más utilizada en Norteamérica, con más de 30 millones de usuarios activos globales y más de 8.000 instituciones como clientes. Harvard, Georgetown, Penn, Duke, Wake County Public Schools y universidades de Reino Unido, Australia, Nueva Zelanda, Países Bajos y Suecia han confirmado verse afectadas.

La cronología de un ataque en dos actos

  • 1 de mayo — Primer ataque

    Instructure comunica que ha sufrido «un incidente de ciberseguridad perpetrado por un actor criminal». Afirma que la brecha quedó contenida al día siguiente. Datos expuestos: nombres de usuario, correos electrónicos, IDs de estudiantes y algunos mensajes privados.

  • 3 de mayo — Ultimátum en la dark web

    ShinyHunters publica en Ransomware.live que tiene acceso a 275 millones de registros y miles de millones de mensajes privados. Fija el 12 de mayo como fecha límite para negociar.

  • 7 de mayo — Segundo ataque: escalada visible

    ShinyHunters sustituye las páginas de inicio de sesión de miles de centros educativos con su mensaje de rescate. Estudiantes de todo el mundo son desconectados en plena semana de exámenes finales. Canvas entra en «modo mantenimiento». Harvard, Georgetown y decenas de universidades confirman la caída.

  • 8 de mayo — Silencio oficial y contradicción

    Instructure reporta «100% de uptime» en su panel de estado oficial mientras miles de usuarios reportan caídas en todo el mundo. La empresa no publica nada en redes sociales sobre el ataque.

  • 9 de mayo — Hoy

    Canvas está operativo «para la mayoría de usuarios». Varias universidades ya han ampliado plazos de entrega y modificado calendarios de exámenes. La investigación forense continúa. El ultimátum sigue activo: faltan 3 días.

Qué datos tienen y por qué importa cada uno

Dato robadoCómo puede usarseRiesgo
Nombre + correo electrónico Phishing dirigido simulando comunicaciones del centro educativo o de Instructure Alto
ID de estudiante Acceso a otros sistemas del campus vinculados al mismo identificador Alto
Mensajes privados Extorsión, exposición de información sensible, daño reputacional Alto
Datos de matrícula y cursos Contexto para ataques de ingeniería social ultra personalizados Medio-Alto
Credenciales de acceso Reutilización en otros servicios si el estudiante usa la misma contraseña Alto
El detalle más preocupante: ShinyHunters afirma haber accedido a los datos a través de las funciones de exportación y las APIs propias de Canvas. Si es cierto, no fue una intrusión técnica sofisticada: el sistema les abrió la puerta con sus propias herramientas de administración.

Quiénes son ShinyHunters y por qué son tan peligrosos

Perfil del grupo · ShinyHunters

ShinyHunters es un grupo informal de adolescentes y jóvenes adultos con base principalmente en Estados Unidos y Reino Unido. No son un estado-nación ni una organización criminal tradicional: son jóvenes con habilidades técnicas avanzadas y sin escrúpulos.

Su historial es largo: atacaron a Ticketmaster en 2024 intentando vender datos de usuarios en la dark web. Han sido vinculados a brechas en más de 60 empresas. El Departamento de Justicia de EEUU ya sentenció a un miembro del grupo ese mismo año.

Su método es siempre el mismo, documentado por Mandiant (Google): phishing de voz para robar credenciales de empleados y páginas de inicio de sesión falsas con la imagen corporativa de la víctima. Una vez dentro, exportan masivamente datos desde plataformas cloud.

Lo que hace este caso especialmente preocupante es la escala: nunca antes habían atacado a una plataforma con acceso a tantos menores de edad.

«Se trata de un incidente de ciberseguridad a nivel nacional.»

— Director de Tecnología de la Universidad de Iowa · 7 de mayo de 2026

El impacto real: exámenes cancelados, familias en pánico y el Senado de EEUU reaccionando

Los datos son una cosa. Lo que ocurrió en el mundo real el 7 de mayo es otra. Instituciones como Columbia, Harvard, Princeton y Georgetown tuvieron que cancelar o modificar sus actividades académicas mientras el ataque dejaba al descubierto el riesgo de la digitalización masiva en la educación.

Los estudiantes accedían al sistema de gestión de exámenes en el peor momento posible. Los profesores tuvieron que improvisar entregas alternativas de materiales en cuestión de horas. Melanie Topchyan, estudiante de último año en la Universidad de California en Riverside, perdió una prueba el jueves y expresó su preocupación por no poder mantener el ritmo académico. No fue la única.

6,65 TB de datos robados según ShinyHunters
+40 países con instituciones afectadas
41% de la educación superior norteamericana usa Canvas
K-12 Afecta también a colegios de primaria y secundaria, no solo universidades

También resultaron perjudicados distritos escolares de California, Florida, Georgia y Texas. No solo universidades de élite. En los Países Bajos, 44 instituciones educativas confirmaron estar afectadas. En Australia, el gobierno activó la Oficina Nacional de Ciberseguridad para coordinar la respuesta.

La reacción política fue inmediata. El líder demócrata del Senado estadounidense, Chuck Schumer, envió una carta a la administración Trump solicitando reforzar las defensas contra riesgos cibernéticos, en particular ante el avance de la inteligencia artificial. No es habitual que un ataque a una plataforma educativa llegue al Senado en menos de 48 horas. Que ocurriera dice mucho sobre la gravedad percibida del incidente.

El detalle que más incomoda: Instructure seguía reportando «100% de uptime» en su panel de estado oficial mientras miles de usuarios reportaban caídas en todo el mundo. La brecha entre la comunicación corporativa y la realidad vivida por estudiantes y profesores no es un detalle menor: es exactamente el tipo de opacidad que permite que los datos ya robados lleven días circulando antes de que alguien tome precauciones.

Por qué este ataque importa más allá de los datos robados

La pregunta de fondo no es cuántos registros robó ShinyHunters. La pregunta es qué significa que una plataforma usada por el 41% de la educación superior norteamericana pueda ser comprometida dos veces en siete días, con un segundo ataque más grave que el primero.

Canvas aloja calificaciones, expedientes académicos, datos de contacto, direcciones IP de acceso y, en muchos casos, información financiera vinculada a las matrículas. No es una red social ni una app de ocio. Es la infraestructura sobre la que millones de personas construyen su futuro académico y profesional.

Por qué este caso es un punto de inflexión

Es la filtración educativa más grande de la historia

275 millones de registros supera cualquier brecha anterior en el sector educativo. Para contexto: la filtración de Equifax en 2017, que sacudió el sistema financiero mundial, afectó a 147 millones de personas.

Afecta a menores de edad a escala masiva

Canvas no es solo para universitarios. Millones de estudiantes de colegios de primaria y secundaria usan la plataforma. Sus datos — incluyendo mensajes privados — están en manos de criminales. La legislación de protección de menores en muchos países convierte esto en un problema legal de primera magnitud.

El riesgo de inteligencia no es ciencia ficción

Los servicios de inteligencia ven en esta filtración una mina de oro para reclutamiento y operaciones encubiertas. En 2018, el FSB ruso utilizó datos académicos filtrados de estudiantes occidentales para alimentar campañas sofisticadas de reclutamiento. Los datos de perfil académico, intereses, contactos y comunicaciones privadas de millones de futuros profesionales en 40 países es exactamente el tipo de información que los actores estatales llevan años intentando conseguir.

Demuestra que el modelo de seguridad cloud tiene un problema estructural

Los LMS universitarios son un objetivo especialmente atractivo: acumulan datos de cientos de millones de personas, están a menudo subalimentados en presupuesto de seguridad respecto a su importancia real, y la presión pública durante semanas de exámenes añade un vector de coerción único. ShinyHunters no encontró una vulnerabilidad técnica exótica: aparentemente usó las propias herramientas de exportación de Canvas para extraer los datos.

El patrón que nadie quiere ver: la educación como objetivo sistemático

El ataque a Canvas no ocurre en el vacío. El sector educativo lleva años siendo el más atacado del mundo en términos de frecuencia de incidentes, y los motivos son estructurales: enormes volúmenes de datos personales, infraestructuras fragmentadas entre campus y dispositivos personales, presupuestos de seguridad históricamente bajos y usuarios poco formados en ciberseguridad.

En el caso de Canvas, la complejidad es mayor. El sistema se usa para todo: tareas, calificaciones, mensajes entre estudiantes y profesores, recursos de examen. Desactivarlo en semana de finales no es solo un problema técnico. Es un problema académico, económico y emocional para millones de personas.

El precedente más cercano: El ataque a PowerSchool — otra plataforma de gestión educativa — expuso datos de millones de estudiantes y profesores de EEUU. En ese caso, se presentó una acusación contra un estudiante universitario de Massachusetts. ShinyHunters lo referenció explícitamente en su comunicación: «Instructure, igual que PowerSchool, no aprendió.»

⏱ Ultimátum activo

ShinyHunters ha fijado el 12 de mayo de 2026 como fecha límite. Si Instructure no negocia antes de esa fecha, el grupo amenaza con publicar todos los datos robados de forma pública y gratuita. A partir de ese momento, 275 millones de registros podrían estar al alcance de cualquier persona con una conexión a internet.

Qué debes hacer ahora mismo si usas Canvas

  1. Cambia tu contraseña de Canvas inmediatamente, especialmente si la reutilizas en otros servicios como el correo electrónico, redes sociales o plataformas de videojuegos. Cada cuenta merece una contraseña única.

  2. Activa la verificación en dos pasos en todos los servicios donde uses el mismo correo electrónico que en Canvas. Si ese correo cae, todo lo vinculado a él queda expuesto.

  3. Desconfía de cualquier comunicación que mencione Canvas, Instructure o tu institución educativa en los próximos meses. Los atacantes tienen tu nombre real, tu correo y tu centro educativo — sus mensajes de phishing serán muy convincentes.

  4. No hagas clic en enlaces de correos o SMS sobre el incidente. Accede siempre directamente a las webs oficiales escribiendo la URL en el navegador.

  5. Si eres menor de edad o tienes hijos afectados: revisa los mensajes privados que se intercambiaron en Canvas. Los mensajes privados forman parte de los datos supuestamente robados y podrían usarse para extorsión o acoso dirigido.

Para verificar si tu institución está en la lista: Instructure ha comenzado a notificar a las instituciones afectadas. Contacta directamente con el servicio de TI de tu universidad o centro educativo y evita hacer clic en cualquier notificación que llegue por correo electrónico — podría ser phishing que ya usa los datos robados.

Instructure ha dicho que Canvas está «completamente operativo». Lo que no ha dicho es si pagó, si negoció, si los datos siguen en manos de ShinyHunters o si el 12 de mayo el mundo se despertará con 275 millones de registros disponibles en cualquier foro de la internet abierta.

El sector educativo lleva años siendo el más atacado del mundo. Cada vez que una institución paga, financia el siguiente ataque. Cada vez que no paga, sus usuarios asumen el riesgo. No hay respuesta buena cuando el sistema de protección falla antes de que llegue el ataque.

#Canvas #ShinyHunters #Ransomware #Ciberseguridad #Educación #RiesgoDigital #FiltraciónDatos #Instructure #SeguridadDigital

More posts