Ciberataque a Canvas expone datos de 275 millones de usuarios
El pasado 2 de mayo la plataforma de aprendizaje en línea Canvas sufrió una interrupción masiva después de que el grupo de ciberdelincuentes ShinyHunters anunciara haber accedido a los sistemas de la empresa propietaria, Instructure. El ataque dejó fuera de línea a cientos de miles de usuarios en todo el mundo y desencadenó una alerta de seguridad a nivel global.
Según la nota de rescate publicada por los atacantes, se habría sustraído información de 275 millones de personas pertenecientes a cerca de 9 000 centros educativos. "Última advertencia: paga o los filtraremos. Toma la decisión correcta, no acabes siendo noticia", exigió el grupo en un mensaje difundido en la red. La magnitud del robo convierte este hecho en uno de los mayores incidentes de ciberseguridad en el sector educativo.
Instructure confirmó que el incidente fue contenido el mismo día y que los servicios de Canvas se restablecieron parcialmente el viernes. La compañía describió el ataque como perpetrado por un "actor malicioso" y aseguró que, tras contener la amenaza, la plataforma volvió a operar con normalidad, aunque sigue monitorizando cualquier actividad sospechosa.
Los datos comprometidos incluyen nombres, direcciones de correo electrónico, identificadores de estudiante y mensajes intercambiados dentro de la herramienta. La empresa descartó la filtración de contraseñas, información financiera o identificadores gubernamentales, limitando el alcance a información personal y académica.
Los hackers exigen un rescate y amenazan con publicar los ficheros si no se cumple su demanda. Instructure ha recomendado a sus clientes reforzar la seguridad de sus cuentas, habilitar la autenticación multifactor y revisar cualquier actividad inusual. Mientras tanto, las instituciones afectadas están evaluando medidas de mitigación y preparando comunicados para sus comunidades.
El impacto se extiende a universidades y colegios de EE. UU. y de España, entre los que se encuentran la Universitat Oberta de Catalunya (UOC), la Universidad Francisco de Vitoria (UFV) y la Universitat Católica San Antonio de Murcia (UCAM). Estas entidades dependen de Canvas para la gestión de cursos y la interacción docente‑estudiantil, lo que convierte la brecha en un riesgo para la continuidad académica.
De cara al futuro, Instructure seguirá trabajando con equipos de respuesta a incidentes y con autoridades para rastrear a los responsables. Los usuarios deben permanecer alerta, cambiar sus contraseñas en caso de duda y seguir las recomendaciones de seguridad que la empresa publica en su portal. La evolución del caso será vigilada de cerca por la comunidad educativa y por expertos en ciberseguridad, que señalan la necesidad de fortalecer los sistemas de aprendizaje en línea.
World Password Day ha recordado la importancia de contraseñas robustas, una medida que cobra aún más sentido tras este ataque.
Temas relacionados
Editora de Tecnología
Editora de tecnología. Especialista en inteligencia artificial y transformación digital.
¿Te ha gustado este artículo?
Suscríbete a nuestro boletín y recibe las mejores noticias en tu correo cada día.
