Rescate o filtración: hackers amenazan con exponer mensajes privados de millones de estudiantes
La plataforma que tu hijo usa a diario para entregar trabajos, ver notas y mensajear con el profesor podría tener las horas contadas como espacio privado. Un grupo de ciberdelincuentes ha lanzado un ultimátum a la empresa que la gestiona: pagar antes de que finalice este 12 de mayo o ver publicados 3,65 terabytes de datos robados. El plazo vence esta noche.
Treinta millones de usuarios. Nueve mil instituciones. Desde colegios de primaria en Estados Unidos hasta ministerios de educación en Europa y Oceanía. Esa es la dimensión real del agujero —considerado ya el mayor ataque contra datos estudiantiles de la historia.
Canvas, Instructure y los autores del robo
La plataforma es Canvas, gestionada por la empresa estadounidense Instructure. Los atacantes son ShinyHunters, un grupo cibercriminal con varios golpes sonados a sus espaldas. Según sus propias declaraciones, tienen en su poder 275 millones de registros: nombres, correos electrónicos, números de identificación estudiantil, expedientes académicos y —lo más delicado— mensajes privados entre alumnos y profesores.
Instructure ha dicho públicamente que no hay evidencia de contraseñas comprometidas, ni datos financieros, ni fechas de nacimiento, ni documentación oficial. Eso tranquiliza algo. Pero el resto —nombres reales, correos activos, conversaciones privadas con el tutor— es material más que suficiente para extorsionar, suplantar identidades o acosar a quien aparezca en esa lista.
Canvas' parent company Instructure has been hacked, and the site is being held for ransom after suffering a data breach
— internet hall of fame (@InternetH0F) May 7, 2026
Over 9000+ schools have reportedly been affected and ~225 million users worldwide had their personal information potentially compromised pic.twitter.com/UxZ7o8cx6N
El apagón en plena semana de exámenes
El 7 de mayo los hackers dieron un paso más. Alteraron la página de inicio de sesión de Canvas para que cualquier estudiante que intentara acceder viera directamente la nota de rescate, no su cuenta. Instructure desconectó el sistema en cuestión de horas y sustituyó el mensaje por un aviso de mantenimiento.
El problema es cuándo pasó. Semana de exámenes finales. En Estados Unidos, el sistema de la Universidad de California y la Universidad Estatal de Arizona tuvieron que paralizar su actividad durante horas. En Australia y buena parte de Europa, varias universidades prefirieron desconectar Canvas de sus redes antes que arriesgarse. Los alumnos recibieron prórrogas de urgencia a toda prisa.
Qué hacer ahora si usas Canvas
Instructure no ha confirmado si pagará el rescate. Los expertos lo desaconsejan de forma unánime: pagar no garantiza que los datos no se filtren igualmente. El origen del ataque apunta a una vulnerabilidad en las cuentas gratuitas para profesores —el plan "Free-For-Teacher"— que la plataforma ofrece sin coste.
Si Canvas es la herramienta de tu hijo o la tuya, hay dos pasos que no conviene aplazar: cambiar la contraseña del correo electrónico vinculado a la cuenta y activar la verificación en dos pasos en todos los servicios conectados. Y desconfiar de cualquier mensaje que use datos personales reales —nombre, institución, curso— para parecer legítimo. Con la información que ShinyHunters dice tener, ese tipo de engaños se vuelven mucho más convincentes.
Algunas instituciones ya no esperan a ver qué pasa esta noche. La Universidad de Columbia Británica ha comenzado a mover a docentes y estudiantes hacia Moodle —la alternativa de código abierto— y hacia herramientas de Microsoft SharePoint. No son las únicas que están mirando la puerta de salida.
Nueve mil centros, treinta millones de usuarios, una sola empresa. Cuando esa empresa tiene un problema así de gordo, no hay plan B para nadie.
