A fines de abril de 2026, el grupo cibercriminal ShinyHunters accedió a Canvas LMS, la plataforma educativa digital usada por más de 30 millones de personas en todo el mundo. Lo que siguió fue una de las brechas más grandes en la historia del sector educativo.
El hackeo a Canvas no solo expuso datos personales de estudiantes y docentes. También interrumpió el acceso a cursos, calificaciones y materiales justo durante el período de exámenes finales en cientos de universidades. En consecuencia, el incidente tuvo un impacto inmediato y concreto en la vida académica de millones de personas.
Canvas es un sistema de gestión de aprendizaje, es decir, la plataforma digital donde universidades y colegios alojan materiales de cursada, tareas y comunicaciones entre docentes y alumnos. Su desarrollador, la empresa Instructure, cuenta con más de 8.800 instituciones como clientes y opera en más de 20 países.
¿Cómo ocurrió la brecha de seguridad en Canvas?
El acceso no autorizado ocurrió el 25 de abril de 2026. ShinyHunters explotó una vulnerabilidad en el programa Free-for-Teacher, un plan gratuito que Canvas ofrecía a docentes individuales, para infiltrarse en los sistemas de Instructure y moverse lateralmente hacia datos de instituciones completas.
Instructure detectó la intrusión cuatro días después, el 29 de abril, y la declaró contenida el 2 de mayo. Sin embargo, el 7 de mayo el grupo ejecutó una segunda oleada. Esta vez, desfiguró los portales de inicio de sesión de aproximadamente 330 instituciones con mensajes de extorsión visibles para todos los usuarios. Instructure debió volver a bajar la plataforma.
Según Bitdefender, ShinyHunters ya había apuntado a Instructure en septiembre de 2025 a través de su entorno Salesforce. Por lo tanto, este ataque representa el segundo compromiso de infraestructura de la empresa en menos de un año.
El alcance: 275 millones de registros y casi 9.000 instituciones
ShinyHunters afirmó haber robado 3,65 terabytes de datos de aproximadamente 275 millones de registros pertenecientes a casi 9.000 instituciones. Los datos comprometidos incluyen nombres, direcciones de correo electrónico, números de identificación estudiantil, inscripciones a cursos y mensajes privados entre usuarios.
Instructure confirmó que no hay evidencia de que contraseñas, fechas de nacimiento, documentos de identidad gubernamentales ni información financiera hayan sido afectados. No obstante, el grupo afirmó tener acceso a miles de millones de mensajes privados intercambiados entre estudiantes y docentes.
Entre las instituciones afectadas se encuentran Harvard, MIT, Columbia, Princeton, Georgetown, Stanford, Oxford y Rutgers. También reportaron impacto distritos escolares de California, Florida, Texas, Georgia y otros diez estados de EE.UU. A nivel internacional, el incidente alcanzó instituciones en el Reino Unido, Australia, Canadá, Nueva Zelanda, Suecia, Países Bajos, Hong Kong y Singapur.
De la extorsión al acuerdo: cómo terminó el ataque a Instructure
El 11 de mayo, Instructure anunció haber llegado a un acuerdo con ShinyHunters y declaró haber recibido confirmación digital de destrucción de los datos robados, conocida como shred logs, es decir, registros que certifican el borrado permanente de archivos. La empresa aseguró que el acuerdo cubre a todas las instituciones clientes y que ninguna necesita negociar de forma individual con el grupo.
Los términos económicos no fueron divulgados. Sin embargo, medios como Inside Higher Ed interpretaron el comunicado como una confirmación implícita del pago de un rescate, aunque Instructure no lo admitió de forma explícita.
Asimismo, el 13 de mayo se presentó una demanda colectiva contra Instructure, es decir, una acción legal conjunta de múltiples afectados que busca responsabilizar a la empresa por los daños derivados de la brecha. El FBI también confirmó estar al tanto del incidente.
Qué revela este incidente sobre la infraestructura cloud
El ataque a Canvas pone de relieve un problema estructural que va más allá del sector educativo: una vulnerabilidad en un programa secundario —las cuentas gratuitas para docentes— fue suficiente para comprometer datos de 275 millones de personas alojados en la misma plataforma.
En entornos cloud mal segmentados, un punto de entrada menor puede escalar rápidamente a un compromiso total. Por eso, la seguridad no puede ser una capa añadida después: debe estar integrada en el diseño de la infraestructura desde el inicio.
Además, el impacto operativo fue inmediato. Miles de estudiantes perdieron acceso a sus materiales durante los exámenes finales. Docentes tuvieron que improvisar canales alternativos de comunicación en horas. En consecuencia, el costo real de la brecha no fue solo reputacional: fue funcional, académico y legal.
Elegir dónde alojar datos e infraestructura no es un detalle técnico. Es una decisión que define qué pasa cuando las cosas fallan.
G2K Cloud es una infraestructura cloud segura, estable y de alto rendimiento, diseñada para que empresas y desarrolladores alojen, ejecuten y escalen sus aplicaciones en un entorno donde la seguridad forma parte del diseño, no de la reacción. ¿Querés evaluar tu infraestructura actual? El equipo de G2K está disponible para acompañarte.