NUEVA YORK – 5 de mayo de 2026. La infraestructura digital de más de 8.000 instituciones educativas enfrentó una crisis sin precedentes. La plataforma Canvas, fundamental para la gestión de cursos y tareas, dejó de funcionar durante varias horas debido a un ataque informático. Según reportes oficiales, el grupo de hackers ShinyHunters se atribuyó la responsabilidad de la vulneración. Por consiguiente, los datos personales de millones de estudiantes y profesores en todo el mundo se encuentran comprometidos.
Impacto en universidades de élite
En primer lugar, la interrupción afectó a centros de alto prestigio como Harvard y la Universidad de Míchigan. Por una parte, los estudiantes se vieron impedidos de acceder a sus materiales en plena temporada de exámenes finales. Por otra parte, la empresa propietaria, Instructure, confirmó que el software estuvo fuera de línea gran parte del día. No obstante, la compañía aseguró que los servicios principales ya han sido restablecidos para la mayoría de sus usuarios.
Magnitud de la filtración de datos
Asimismo, los detalles del ataque revelan una escala masiva. ShinyHunters afirmó haber accedido a la información de 275 millones de personas vinculadas a casi 9.000 centros educativos. De igual modo, el director de seguridad de Instructure, Steve Proud, admitió que los atacantes obtuvieron nombres, correos electrónicos y mensajes privados. Debido a que la empresa no cedió a las extorsiones iniciales, el grupo criminal amenazó con filtrar miles de millones de mensajes el próximo 12 de mayo.
Un historial de ataques corporativos
En cuanto al perfil de los atacantes, ShinyHunters es un grupo conocido por vulnerar empresas de gran escala. Anteriormente, el colectivo ha atacado a gigantes como Microsoft, Ticketmaster y AT&T. En esta ocasión, su mensaje apareció directamente en las páginas de Canvas de los estudiantes. En dicho texto, los hackers criticaron a la empresa por intentar aplicar «parches de seguridad» en lugar de negociar un acuerdo económico.
Finalmente, Instructure aclaró que no hay pruebas de que se hayan violado contraseñas o información financiera. Gracias a la intervención de expertos forenses, la vulneración se considera «contenida» desde el punto de vista técnico. En conclusión, el incidente resalta la vulnerabilidad de las plataformas educativas ante el cibercrimen organizado en 2026.
