Hackers robaron datos de 275 millones de estudiantes y maestros a través de Canvas, la plataforma que usa más del 40% de las universidades

El 7 de mayo, estudiantes de Harvard que intentaron acceder a Canvas se encontraron con algo inesperado: en lugar del portal de la universidad, apareció un mensaje del grupo de hackers ShinyHunters afirmando haber penetrado nuevamente a Instructure, empresa que opera Canvas, y exigiendo a las escuelas afectadas negociar antes del 12 de mayo o ver publicados los datos de sus estudiantes y docentes. Lo mismo ocurrió en UC Irvine y en al menos otras dos instituciones que TechCrunch identificó ese día. La brecha, según documentó TechCrunch, es en realidad el segundo ataque de ShinyHunters a Instructure en menos de dos semanas.

El primer ataque ocurrió el 30 de abril. Instructure lo confirmó el 1 de mayo, reconociendo que los hackers explotaron una vulnerabilidad para acceder a su entorno en la nube. La información comprometida incluye nombres, correos electrónicos, números de identificación estudiantil y mensajes privados intercambiados entre usuarios de la plataforma. La compañía descartó que contraseñas, fechas de nacimiento, información gubernamental o datos financieros hayan sido robados. Tras el incidente, lanzó parches de seguridad y desactivó temporalmente Canvas Data 2 y Canvas Beta.

En su carta de extorsión, publicada el 3 de mayo por el sitio Ransomware.live, ShinyHunters amenazó con filtrar miles de millones de mensajes privados entre estudiantes y maestros si Instructure no respondía antes del 6 de mayo. "Tomen la decisión correcta, no sean el próximo titular", escribieron. Para presionar más, el 7 de mayo desfiguraron directamente los portales de inicio de sesión de varias escuelas con el mismo mensaje de extorsión. La desfiguración fue posible a través de un segundo ataque, separado del primero, según Inside Higher Ed. ShinyHunters también acusó a Instructure de haber ignorado sus primeras demandas y simplemente haber aplicado parches de seguridad.

La escala de lo robado es significativa. ShinyHunters afirma haber obtenido datos de 8,809 instituciones educativas en todo el mundo, con un total de hasta 275 millones de registros de estudiantes, maestros y personal administrativo. BleepingComputer, que recibió la lista de instituciones, confirmó que los volúmenes por institución varían desde decenas de miles hasta varios millones de registros. Las instituciones afectadas reportadas incluyen escuelas y universidades en Estados Unidos, Reino Unido, Nueva Zelanda, Australia, Suecia y Países Bajos.

El ataque del 7 de mayo resultó especialmente disruptivo porque Canvas fue puesto en modo de mantenimiento durante varias horas, según documenta Wikipedia en su entrada sobre el incidente. El tiempo es particularmente malo: el ataque ocurre en pleno final de semestre para muchas instituciones en el hemisferio norte, en algunos casos durante períodos de exámenes finales.

Canvas no es una plataforma menor: más del 40% de los colegios y universidades de Estados Unidos la utilizan. Instructure declara tener más de 8,000 instituciones como clientes en todo el mundo, lo que hace que el número de escuelas listadas por ShinyHunters sea, por sí solo, una señal de la amplitud potencial del ataque. Instructure no ha respondido preguntas específicas sobre el rescate exigido, y se ha limitado a mantener un registro público de actualizaciones a cargo de su Chief Information Security Officer.

ShinyHunters no es un actor nuevo ni desconocido. El grupo, descrito por el analista de Emsisoft Luke Connolly como una red informal de adolescentes y jóvenes adultos con base en Estados Unidos y el Reino Unido, según Time, opera desde 2020. En 2024 estuvo detrás del robo de datos de 560 millones de clientes de Ticketmaster. En los primeros meses de 2026 ha atacado a Salesforce, al servicio de seguridad Aura, a Vimeo y ahora a Instructure, configurando uno de los períodos más activos del grupo.

Si eres estudiante, docente o trabajas en una institución educativa y usas Canvas, lo más probable es que tu nombre, correo electrónico y número de identificación estén entre los datos robados. Para quienes tengan hijos afectados, la recomendación de Malwarebytes es esperar la notificación oficial de la escuela o de Instructure, verificar que sea legítima antes de hacer clic en cualquier enlace, y estar alerta a correos de phishing que puedan usar la información robada para hacerse pasar por la institución educativa. El 12 de mayo es la fecha límite que ShinyHunters ha dado para publicar todo si no hay negociación.