La plataforma educativa Canvas sufrió un ciberataque atribuido al grupo de hackers ShinyHunters, que aseguró haber robado datos de más de 200 millones de usuarios y amenazó con publicar la información si las instituciones afectadas no se comunican antes del 12 de mayo. El ataque puso en alerta a casi 9.000 universidades y centros educativos de distintos países, incluidas Harvard y Stanford.
Los hackers bloquearon el acceso al sistema y afirmaron haber obtenido nombres, correos electrónicos, números de identificación estudiantil y mensajes privados.
Instructure, la empresa creadora del sistema de gestión del aprendizaje (LMS) Canvas, ha confirmado un incidente cibernético y la consiguiente filtración de datos que ha afectado a su entorno alojado en la nube, y sostuvo que la situación había sido “contenida”.
El grupo de ransomware ShinyHunters afirma ser el responsable del ataque y afirma haber sustraído unos 275 millones de registros relacionados con estudiantes, profesores y personal.
Los delincuentes facilitaron a Bleeping Computer una lista de 8.809 distritos escolares, universidades y plataformas de educación en línea cuyas instancias de Canvas, se vieron afectadas, con un número de registros por institución que oscila entre decenas de miles y varios millones.
Los estudiantes que intentaron iniciar sesión el jueves se encontraron con una nota del grupo criminal exigiendo un pago para evitar la filtración de datos.
Los hackers afirmaron haber vulnerado a Instructure «nuevamente», criticando que la empresa respondió a un incidente previo el pasado 1 de mayo solo con «parches de seguridad» en lugar de negociar.
El grupo asegura haber robado 3.65 terabytes de información, lo que equivale a unos 275 millones de registros de estudiantes, profesores y personal.
El ataque impactó a más de 8.000 instituciones a nivel global. Entre las universidades de renombre que reportaron el mensaje de los hackers o interrupciones se encuentran:
Ivy League y destacadas: Harvard, Princeton, Columbia, University of Pennsylvania, Stanford, Cornell, MIT y Georgetown.
Otras instituciones: Rutgers, Kent State, James Madison University, University of Washington, University of California (Riverside) y las universidades de Oxford y Cambridge en el Reino Unido.
A nivel escolar (K-12), se reportaron afectaciones en distritos de al menos 11 estados, incluyendo California, Florida, Georgia, Carolina del Norte, Tennessee, Virginia y Wisconsin.
Instructure informó que, aunque el sistema fue restaurado completamente el viernes por la mañana, cierta información personal fue expuesta.
Entre los datos comprometidos se encuentran: nombres completos, direcciones de correo electrónico, números de ID de estudiante y mensajes privados entre usuarios.
Hasta el momento, la empresa afirma que no hay evidencia de que se hayan filtrado contraseñas, fechas de nacimiento, datos financieros o identificadores gubernamentales.
Los expertos señalan que la filtración de mensajes privados es crítica, ya que los estudiantes suelen usar Canvas para comunicar información sensible sobre salud mental, médica o solicitudes de adaptaciones académicas.
En el mensaje de advertencia de los ciberdelincuentes se menciona: «Si alguna de las escuelas incluidas en la lista afectada está interesada en evitar la publicación de sus datos, consulte con una firma de asesoría en ciberseguridad y contáctenos en privado por TOX para negociar un acuerdo.
Tienen hasta el final del día del 12 de mayo de 2026 antes de que todo sea filtrado.
